|
|
|
|
Как выстроить программу повышения осведомленности персонала об инсайдерских угрозах
Некоторые последствия разоблачений Сноудена напрямую касаются частных компаний и организаций. Эксперты отмечают, что там сегодня усиливают внимание к вопросам предупреждения сознательных утечек информации и других злоумышленных действий инсайдеров.
Подготовке программы повышения осведомленности сотрудников об инсайдерских угрозах посвящена публикация на сайте csoonline.com (April 15, 2014). Авторы статьи, И.Уинклер и С.Манке, отмечают: скандал вокруг Сноудена продемонстрировал, что даже в такой закрытой, засекреченной организации как ЦРУ изобличать инсайдерство – задача весьма сложная. Что же необходимо делать обычным, частным компаниям, чтобы стимулировать бдительность и осведомленность сотрудников, не прибегая к жесткой политике «охоты за ведьмами»?
Это действительно серьезная проблема. Ведь многие злоумышленники достаточно умны и осторожны, чтобы скрывать до поры до времени свои подлинные намерения. В то же время, считают авторы, любого инсайдера так или иначе выдают косвенные признаки. Уметь распознавать эти признаки и принимать соответствующие меры – цель программы повышения осведомленности (awareness), ориентированная на персонал компании.
Для того, чтобы такая программа была эффективна, необходимы следующие предпосылки:
- понимание проблемы;
- знание, что следует предпринимать;
- хорошая мотивация для таких действий.
Разъяснять угрозу инсайдерства следует на конкретных примерах репутационного, морального, материального ущерба. Разумеется, компании обычно скрывают, даже от своих сотрудников, подобные факты. Авторы советуют в таких случаях рассказывать о случаях инсайдерстве в данной компании, не называя дат, цифр и имен, т.е. анонимно.
Общий посыл программы: если вы заметили что-то подозрительное, доложите об этом. Основное внимание обращается на случаи нарушения внутренних политик и инструкций. Например, подглядывание в чужие мониторы, в документы на столе коллеги, просьбы поделиться своим паролем, нахождение в помещениях, где быть не следовало, другие факты неадекватного, нарушающего правила поведения.
Щекотливость проблемы заключается в том, что называть странным, подозрительным поведением, а что нет. Граница здесь довольно размыта. Авторы статьи приводят пример из собственного опыта работы в контрразведке. Сотруднику в одной организации показалось странным, что его коллега часто и подолгу разговаривает по телефону с китайцем. Доложил, куда следует. Расследование, проведенное ФБР показало, что этот коллега сливал информацию агенту китайской разведки.
Важно иметь в виду щепетильность многих людей в отношении такого явления как «стукачество». Играет свою роль и опасение вызвать неприязнь со стороны сослуживцев. Поэтому, подчеркивают авторы статьи, важнейшее требование – соблюдать полную анонимность, даже если она мешает проведению расследования.
К работе с персоналом по этой проблеме рекомендуется привлекать сотрудников отдела кадров и юридической службы, как минимум – для просмотра материалов, готовящихся в рамках программы повышения осведомленности.
|