8. КАДРОВОЕ ОБЕСПЕЧЕНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
8. КАДРОВОЕ ОБЕСПЕЧЕНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
8.1. Подбор персонала
Большинство систем не может функционировать без участия человека, что является верным и для комплексных систем ЗИ. Группа обеспечения таких систем, с одной стороны, ее необходимый элемент, с другой — он же может быть причиной и движущей силой нарушения и преступления. Сотрудник предприятия является определяющей фигурой в обеспечении сохранности сведений. Он может выступать в качестве создателя интеллектуальной собственности предприятия (совершенствуя технологию, создавая какие-либо товары и др.). При этом значительная часть ценнейшей для предприятия информации не отражается в технической документации, а остается в голове. И в дальнейшем, накопив опыт, многие из них потенциально готовы в будущем реализовать свой идей на практике. Кроме того, если сотрудник привлекается к закрытым работам, руководитель предприятия вынужден предоставить ему наиболее ценную информацию, полученную другим работником.
Проведя анализ статистических данных по отечественным и зарубежным источникам, можно сделать вывод, что около 70 % (а по некоторым источникам эта цифра еще выше) всех нарушений, связанных с безопасностью информации, совершаются именно сотрудниками предприятия. Можно выделить 5 причин этого факта:
1) при нарушениях, вызванных безответственностью, сотрудник целенаправленно или случайно производит какие-либо действия по компрометации информации, связанные со злым умыслом;
2) бывает, что сотрудник предприятия ради самоутверждения (для себя или коллег) затевает своего рода игру «пользователь — против системы». И хотя намерения могут быть безвредными, будет нарушена сама практика безопасности. Такой вид нарушений называется зондированием системы;
3) нарушение может быть вызвано и корыстным интересом. В этом случае сотрудник будет пытаться целенаправленно преодолеть систему защиты для доступа к хранимой, перерабатываемой и обрабатываемой на предприятии информации;
4) за рубежом известна практика переманивания специалистов, так как это позволяет ослабить конкурента и дополнительно получить информацию о предприятии. Таким образом, не обеспечив закрепление лиц, осведомленных в секретах, талантливых специалистов, невозможно в полной мере сохранить секреты предприятия. Вопросам предупреждения текучести кадров в зарубежных фирмах уделяют большое внимание. Представители японской администрации рассматривают компанию как совокупность различных ресурсов. При этом люди стоят на первом месте, т. к. именно они воплощают технологию и в них в первую очередь заключается конкурентоспособная сила фирмы. То есть текучесть кадров четвертая причина;
5) специалист, работающий с конфиденциальной информацией, испытывает отрицательное психическое воздействие, обусловленное спецификой этой деятельности. Поскольку сохранение чего-либо в тайне противоречит потребности человека в общении путем обмена информацией, сотрудник постоянно боится возможной угрозы утраты документов, содержащих секреты. Выполняя требования режима секретности, сотрудник вынужден действовать в рамках ограничения своей свободы, что может привести его к стрессам, психологическим срывам, а как результат — нарушении безопасности информации.
Понимая ведущую роль кадров в сохранении секретов, руководителям предприятия важно помнить, какие личные качества человека не способствуют сохранению доверенной ему тайны. То есть причины нарушения безопасности информации связаны с психологическими особенностями человека, его личными качествами, следовательно, и способы предотвращения перечисленных нарушений вытекают из анализа побудительных мотивов: тщательный подбор персонала, подготовка персонала, поддержание здорового рабочего климата, мотивация и стимулирование деятельности сотрудников.
В любой профессиональной деятельности есть стабильные составляющие и переменные, связанные с конкретными условиями, в которых эта деятельность осуществляется. При подборе кадров важно принимать во внимание обе составляющие, т. е. дается описание психологических характеристик, соблюдение которых необходимо для выполнения определенных профессиональных обязанностей. В психограмму включаются требования, предъявляемые профессиональной деятельности, к психологическим процессам (памяти, воображению, восприятию), психическим состояниям (усталости, апатии, стрессу), вниманию как состоянию сознания, эмоциональным (сдержанность, индифферентность) и волевым (настойчивость, импульсивность) характеристикам. Некоторые из этих психологических требований являются основными, главными, без них вообще невозможна качественная деятельность.
Психологическое несоответствие требованиям профессии особенно сильно проявляется в сложных ситуациях, когда требуется мобилизация всех личностных ресурсов для решения сложных задач. Поэтому это особенно важно в рамках комплексной системы защиты информации.
Но описание психологических требований недостаточно, чтобы, ориентируясь только на них, подбирать человека для работы. При подборе кадров необходимо ориентироваться не только на отдельные характеристики психики, а на черты личности как ее системные свойства. Выделим наиболее результативные методы изучения личности:
— изучение жизненного пути личности;
— изучение мнения коллектива, в котором работает личность;
— изучение ближайшего окружения личности;
— создание ситуации, наиболее подходящей для проявления профессионально важных качеств и свойств;
— изучение высказывания личности о собственной роли в делах коллектива.
К качествам, соответствующим работе в таких условиях, относятся: честность, добросовестность, принципиальность (строгое следование основным правилам), исполнительность, пунктуальность, дисциплинированность, эмоциональная устойчивость (самообладание), стремление к успеху и порядку в работе, самоконтроль в поступках и действиях, правильная самооценка собственных способностей и возможностей, осторожность, умение хранить секреты, тренированное внимание и неплохая память.
Качества, не способствующие сохранению доверенной тайны: эмоциональное расстройство, неуравновешенность поведения, разочарование в себе, отчужденность от коллег по работе, недовольство своим служебным положением, ущемленное самолюбие, эгоистичные интересы, нечестность, употребление наркотиков и алкоголя, постепенно разрушающих личность.
8.2. Подготовка персонала для работы в новых условиях
С целью максимальной эффективности использования вновь принятого на работу человека, необходимо, принимая на работу нового сотрудника, не ограничиваться ознакомлением его с техникой безопасности, режимами работы, с рабочим местом, навыками владения средствами и предметами труда. В качестве примера влияния адаптационного периода рассмотрим результаты исследования феномена «летунов», т. е. людей, часто меняющих профессию или место работы, которые показывают, что в начале их трудового пути, как правило, был неудачный опыт адаптации к предприятию и коллективу. В результате, столкнувшись с первыми трудностями на работе, с первыми сложностями, с конфликтами, такой человек в силу особенностей психики уходит от этих трудностей путем увольнения с работы по собственному желанию.
Причина этих явлений условия, не способствующие адаптации вновь принятого работника. Такими неблагоприятными условиями могут быть условия обыденные, удобные, даже рациональные с точки зрения работников хорошо приспособившихся к окружающей их производственной среде. Поэтому трудности новичков не замечаются. Условно сложная адаптация может быть разделена на виды: профессиональная, социально-организационная, социально-психологическая.
Профессиональная адаптация — это адаптация к самой трудовой деятельности со всеми обеспечивающими ее предметными и временными составляющими. Она характерна при обстоятельствах, возникающих при первом знакомстве человека с условиями его новой работы. Эта адаптация неизбежна при всех изменениях, происходящих на предприятии или на рабочем месте.
Социально-организационная адаптация включает в себя знакомство с работой органов управления и обеспечения работы предприятия (отдел кадров, администрация и т. д.), со сферой жизни коллектива, связанной с бытом и отдыхом.
Социально-психологическая адаптация связана с вхождением нового работника в первичный коллектив.
8.3. Мотивация
Мотивация — это процесс побуждения себя и других к деятельности для достижения личных целей или целей организации. Мотивация, определяющая отношение к деятельности, — это личное побуждение к деятельности, т. е. побуждение, основанное на потребностях личности, ее ценностных ориентациях, интересах. Среди мотивов в первую очередь следует выделить интерес к деятельности, чувство долга, стремление к профессиональному росту. Мотивация на основе интереса связана с удовлетворением стремления к знанию и развитию. Причем существует два аспекта этой мотивации: интерес к деятельности и интерес к самому себе как субъекту, овладевшему этой деятельностью. Продуктивность мотивации, основанной на интересе к деятельности, связана с содержательностью, т. е. той стороной деятельности, которая вызывает наибольший интерес. Мотивация на основе чувства долга связана с потребностью соответствовать требованиям организации, ее нуждам. Особое значение составляют мотивы, основывающиеся на принципе взаимной ответственности и требовательности, характерные для коллективных отношений. Мотивация на основе стремления к профессиональному росту может проявиться когда человек уже достаточно прочно чувствует себя как субъект деятельности. Тогда обостряется желание быстрее достичь некоторых стандартов деятельности или превзойти их.
Напрашивается способ мотивации, связанный со стимулированием или другими словами, мотивация через потребности. Поскольку характер каждого человека — это соединение самых разнообразных черт, то, следовательно, существует огромное число человеческих потребностей, которые, по мнению каждого человека, приводят к удовлетворению его потребностей. Например, потребность в утверждении собственного «я» одного человека можно удовлетворить, признав его лучшим работником отдела, а удовлетворить аналогичную потребность кого-то другого — означает признать лучшим фасоном его одежды, объявив всем, что он одевается лучше других в группе.
По теории Маслоу, все потребности человека можно расположить в виде строго иерархичной структуры. Верхний уровень образует вторичные потребности. К ним относятся потребности в самовыражения, уважения и социальные. А первичные потребности — безопасности, защищенности и физиологические потребности, образуют нижние уровни. Этим он хотел сказать, что потребности нижних уровней требуют удовлетворения и влияют на поведение человека прежде, чем на мотивации начнут сказываться потребности более высоких уровней. В каждый конкретный момент времени человек будет стремиться к той потребности, которая для него является наиболее важной или сильной. Прежде чем потребность следующего Уровня станет решающим фактором в поведении человека, должна быть удовлетворена потребность более низкого уровня. Для того чтобы следующий, более высокий уровень потребностей начал влиять на поведение человека, не обязательно удовлетворять полностью потребности более низкого уровня, т. е., хотя в данный момент одна из потребностей может преобладать, деятельность человека стимулируется не только ею. И хотя для большинства людей их основные потребности располагались приблизительно в том же порядке, как мы рассмотрели, однако бывают исключения.
Перечислим методы удовлетворения потребностей высших уровней.
I. Социальные потребности:
1) давайте сотрудникам такую работу, которая позволяет им общаться;
2) создавайте на рабочих местах дух единой компании;
3) проводите с подчиненными периодические совещания;
4) не старайтесь разрушить возникшие неформальные группы;
5) создавайте условия для социальной активности членов организации вне ее рамок.
II. Потребности в уважении:
1) предлагайте подчиненным более содержательную работу;
2) обеспечьте им положительную обратную связь с достигнутым результатом;
3) высоко оценивайте и поощряйте достигнутые подчиненными результаты;
4) привлекайте подчиненных к формулированию целей и выработке решений;
5) делегируйте подчиненным дополнительные права и обязанности;
6) продвигайте подчиненных по карьерной лестнице;
7) обеспечьте обучение и переподготовку, которая, повышает уровень компетентности.
III. Потребности в самовыражении:
1) обеспечивайте подчиненных возможностью для обучения и развития, которые позволили бы полностью использовать их потенциал;
2) давайте подчиненным сложную и важную работу, требующую их полной отдачи;
3) поощряйте и развивайте у подчиненных творческие способности.
Большое значение для мотивации имеет климат в коллективе. И если все-таки дело дошло до увольнения, очень важно, чтобы работник ушел, не затаив зла. Возможно, необходимо поговорить с ним, выяснить причины ухода и в том случае, если уход связан с конфликтом, чувством неудовлетворенности и т. д., потребовать еще раз разобраться в ситуации, и тем самым, возможно, поправить положение.
8.4. Разработка кодекса корпоративного поведения
Большинство компаний используют для создания и поддержания организационной культуры правила внутреннего трудового распорядка. Стоит заметить, что они не отвечают современным требованиям и к тому же не являются мотивационным инструментом. По соотношению доступности и результативности формирования и поддержания позитивной организационной культуры внедрение кодекса корпоративного поведения является наиболее эффективным. В таком кодексе должны быть максимально четко обозначены приоритетные цели и задачи организации, ее миссия, а также расставлены акценты во внутренних и внешних отношениях, с сотрудниками, клиентами, руководством. Это элемент традиционной корпоративной культуры, улучшающий и укрепляющий психологическую атмосферу коллектива.
Кодекс корпоративного поведения может выполнять три основные функции:
1) репутационная;
2) управленческая;
3) функция развития корпоративной культуры.
Репутационная функция кодекса заключается в формировании доверия к организации со стороны референтных внешних групп (государства, заказчиков, клиентов, конкурентов и т. д.). Наличие у компании кодекса корпоративного поведения становится общемировым деловым стандартом.
Управленческая функция кодекса состоит в регламентации поведения в сложных этических ситуациях. Повышение эффективности деятельности сотрудников осуществляется путем:
— регламентации приоритетов во взаимодействии со значимыми внешними группами;
— определения порядка принятия решений в сложных этических ситуациях;
— указания на неприемлемые формы поведения.
Корпоративная этика, кроме того, является составной частью организационной культуры и кодекс корпоративного поведения — значимый фактор ее развития. Кодекс призван выявлять приоритетные для организации ценности и доводить их до каждого сотрудника, как новичка, так и опытного профессионала. В идеале персонал будет ориентироваться на единые цели и тем самым повышать корпоративную идентичность, приверженность общему делу.
Содержание кодекса компании определяется, прежде всего, ее особенностями, структурой, задачами развития, установками ее руководителей.
Как правило, кодексы содержат две части:
— идеологическую (миссия, цели, ценности);
— нормативную (стандарты рабочего поведения).
При этом идеологическая часть может не включаться в содержание кодекса.
В профессионально однородных организациях (банки, исследовательские центры, консультационные компании) часто используются кодексы, описывающие в первую очередь узкоспециальные дилеммы. Эти кодексы являются производными от кодексов профессиональных сообществ. Соответственно, содержание таких кодексов в первую очередь регламентирует поведение сотрудников в сложных профессиональных этических ситуациях. В банковской деятельности, например, это доступ к конфиденциальной информации о клиенте и сведениям об устойчивости банка. Кодекс описывает правила обращения с такой информацией, запрещает использовать сведения в целях личного обогащения.
В первую очередь здесь решаются управленческие задачи. Дополнение такого кодекса главами о миссии и ценностях компании способствует развитию корпоративной культуры. При этом кодекс может иметь значительный объем и сложное специфическое содержание и адресоваться всем сотрудникам компании.
В больших неоднородных корпорациях сочетание всех трех функций становится сложным. С одной стороны, существует ряд политик и ситуаций, традиционно закрепляемых этическими кодексами в международной практике. Это политики по отношению к клиентам, поставщикам, подрядчикам. Описание ситуаций, связанных с возможными злоупотреблениями, например взятки, подкуп, хищения, обман, дискриминация. Исходя из управленческой функции, кодекс описывает стандарты образцового поведения в таких ситуациях. Такой кодекс имеет значительный объем и достаточно сложное содержание. Адресация его всем группам сотрудников в условиях значительной разницы в образовательном уровне и социальном статусе сотрудников затруднена. В то же время развитие корпоративной культуры компании требует единого кодекса для всех сотрудников — он должен задавать единое понимание миссии и ценностей компании для каждого сотрудника.
По сути, декларативный вариант — это только идеологическая часть кодекса без регламентации поведения сотрудников. При этом в конкретных ситуациях сотрудники сами должны ориентироваться, как им себя вести, исходя из базовых этических норм, обозначенных в кодексе. Однако в ряде случаев сотрудникам трудно оценить этическую правомерность конкретного поступка исходя из общих принципов.
Таким образом, декларативный вариант кодекса решает в первую очередь задачи развития корпоративной культуры. При этом для предоставления кодекса международному сообществу и решения конкретных управленческих задач необходима разработка дополнительных документов.
В развернутых вариантах кодекса с подробной регламентацией этики поведения сотрудников фиксируется конкретные поступки персонала в отдельных областях, где риск нарушений наиболее высок или возникают сложные этические ситуации. Эти регламенты описываются в виде политик в отношении заказчиков, государства, клиентов, политической деятельности, конфликта интересов, безопасности труда.
При этом большой объем и сложность содержания таких кодексов определяют их выборочную адресацию (см. табл. 3). В большинстве компаний такие кодексы разрабатываются для высшего и среднего менеджмента и не являются всеобщим документом, объединяющим всех сотрудников.
Итак, каждая компания определяет собственные задачи, Для решения которых она намерена использовать такой инструмент, как кодекс корпоративного поведения. Но создание кодекса, естественно, не ограничивается только написанием текста документа. Существует специфика исполнения подобных документов: заставить исполнять этический кодекс нельзя. Поэтому для того, чтобы он действительно работал, еще на этапе его создания необходимо предусмотреть процедуры, включающие в процесс разработки документа по возможности всех сотрудников компании. Только при условии принятия каждым сотрудником кодекса корпоративного поведения он будет реально исполняться.
Основным решением проекта стала идея «улицы с двусторонним движением»:
1) «сверху вниз» — определение базовых ценностей и целей высших руководителей, разработка на их основе проекта;
2) «снизу вверх» — каждому сотруднику предоставлялась возможность стать соавтором Кодекса через его обсуждение и внесение собственных предложений.
Общий план разработки состоит из трех этапов.
1-й этап. Проектирование. Разработка проекта кодекса с основным акцентом на цели и ценности, среди которых важное место отведено контролю безопасности и сохранности конфиденциальной информации. Здесь же указано отношение первых лиц и высшего руководства к существующей в организации проблематике этического характера.
Для этого проводится анализ существующих кодексов других компаний в контексте их применения.
Определялись базовые ценности и цели данной организации, а также наиболее актуальные сферы применения кодекса.
В итоге должна быть сформирована концепция кодекса, в том числе его идеология, формат, сферы применения и создается предварительный проект текста.
2-й этап. Обсуждение. Обсуждение проекта кодекса в трудовых коллективах, во всех подразделениях организации и сбор предложений по доработке текста кодекса и системы его исполнения.
На этом этапе важно провести работу по следующим позициям:
— разъяснение сотрудникам смысла, значения и сфер применения кодекса;
— привлечение рядовых сотрудников к процессу создания Кодекса;
— создание позитивного общественного мнения в отношении кодекса среди персонала, а также подготовка менеджмента и квалифицированных сотрудников как ресурса по внедрению кодекса в практику ежедневной деятельности.
Процесс обсуждения включает в себя такие элементы, как:
— очная и заочная формы обсуждения проекта кодекса, которые позволяет сотрудникам стать соавторами кодекса;
— оригинальная методика групповой работы по обсуждению проекта кодекса, как с руководителями, так и с неформальными лидерами общественного мнения, которые бы инициировали дальнейшее обсуждение документа в трудовых коллективах;
— оперативная обработка и передача данных очного обсуждения для незамедлительного использования в параллельно идущем заочном обсуждении в корпоративных средствах массовой информации;
— интерактивная модульная схема информационной кампании, позволяющая вести в диалоговом режиме разъяснение ключевых смыслов кодекса и отвечать на самые актуальные вопросы.
Очное обсуждение ориентировано на включение в диалог работников, заинтересованных в будущем своей организации, у которых есть что высказать и предложить ради повышения общего морального климата.
Заочное обсуждение (информационная кампания в корпоративных и федеральных СМИ, а также в корпоративных виртуальных сетях) теоретически может охватить более высокий процент сотрудников, чем физически осуществимо при очном учете масштабов корпорации. В период обсуждения Кодекса должны быть задействованы все доступные средства, печатные издания, освещение темы на корпоративном сайте организации, в стенгазетах.
Обратная связь
Само обсуждение кодекса уже является началом его внедрения. Процесс обсуждения служит основой для поиска общих интересов сотрудников и руководства, построения единой ценностно-целевой картины и развития диалога между сотрудниками и руководством.
3-й этап. Интеграция. Этот этап включает анализ всех поступивших предложений, внесение изменений в содержание проекта, выработка механизмов исполнения и внедрения документа.
После обсуждения документа проводится анализ предложений, полученных от сотрудников, и на его основе корректируется содержание кодекса.
Кроме того, на этом этапе применяется схема построения механизмов внедрения и исполнения кодекса, основанная на изучении опыта других компаний, а также на предложениях сотрудников.
Итогом третьего этапа проекта становится создание окончательного варианта текста кодекса, его полиграфическое исполнение и распространение среди персонала.
Спустя некоторое время возможна ситуация, когда однажды принятый кодекс корпоративного поведения потеряет актуальность, морально устареет. В этом случае высшему руководству требуется созвать комиссию по его пересмотру, и в случае решения о неизбежности внесения изменений, разработать новый проект кодекса, с обязательным учетом прошлого опыта.
Формирование позитивной корпоративной культуры с учетом специфики безопасности затрагивает изменение таких существенных представлений, как внутренний психологический климат коллектива, фундаментальные ценности, устоявшиеся паттерны поведения, совокупность формальных и неформальных требований к персоналу в виде норм, и, наконец, общие представления представителей коллектива об окружающей среде, организации и индивидуальности каждого из сотрудников.
Все эти понятия являются составляющими организационной культуры и обусловливают деятельность, осуществляемую сознательно или неподконтрольно отдельными нормами субкультур организации, которые должны быть скорректированы таким образом, чтобы не противостоять первичным ценностям безопасности, установленным основной доминирующей культурой, не находиться в оппозиции к ним.
Чтобы действия, преследующие цели укрепления механизмов безопасности, были адекватно восприняты и приняты коллективом, они должны быть не только разумны, но и соответствовать базовым представлениям сотрудников о правильности, чему способствует изучение и понимание корпоративной культуры. Подсознательного неприятия или даже открытого противодействия политике безопасности можно избежать, если своевременно провести тщательное наблюдение, в ходе которого должен быть выявлен преобладающий тип корпоративной культуры каждого структурного подразделения, который может варьироваться в зависимости от функциональных, возрастных, профессиональных, географических или иных особенностей. Также крайне важно определить неформальных лидеров выявить наиболее авторитетные субкультуры, значительно влияющие на внутреннюю жизнедеятельность организации. Важно выбрать наиболее эффективно работающую субкультуру и использовать ее в качестве исходной позиции для введения инноваций.