Как сделать, чтобы политики безопасности работали?

Как сделать, чтобы политики безопасности работали?
Сегодня многие компании обладают очень смутным представлением о методах, защищающих от внутренних угроз. Однако в большинстве из таких организаций предусмотрены политики информбезопасности, их должно быть достаточно для защиты от всего чего угодно. Единственная проблема – практическая реализация данных политик. Просто чтобы такие политики работали, необходима воля руководства компании к их соблюдению. Методы, которые должны применяться при этом, известны достаточно давно – это дисциплинарные взыскания, касающиеся тех, кто не хочет соблюдать требований по обеспечению безопасности, а также контроль профильных служб и проведение необходимого инструктажа среди сотрудников компании.
Если в вашей компании подобные меры ранее не практиковались, то не стоит ждать от их введения мгновенного эффекта. Вероятно, чтобы политики безопасности начали эффективно функционировать, прежде придётся уволить некоторых из самых злостных нарушителей правил.

Кадровая политика во многом определяет успешность защиты компании от утечек данных и от внутренних угроз в целом. Как говорится, «на жадину не нужен нож», и работника, который имеет доступ к важной информации, можно подкупить или запугать. Потому очень важно уделять повышенное внимание психологической составляющей обеспечения информбезопасности организации. Однако далеко не все организации могут позволить себе штатного психолога. Но если такая возможность есть, ее также можно использовать для выявления сотрудников, которые находятся в слишком возбужденном или, наоборот, слишком подавленном состоянии. В итоге причиной данного психического состояния вполне могут быть или  возможность получения солидного вознаграждения, или угрозы, которыми сопровождается невыполнение сотрудника требований конкурентов по предоставлению засекреченной информации об организации, где он работает. На первый взгляд это может показаться паранойей, но, поверьте, такие случаи вовсе не редкость.

Во время приема новых сотрудников на работу и во время выдвижения на руководящие должности старых работников также нужно учитывать как их послужной список и навыки, так и их психологические особенности. Слишком пугливому или слишком жадному человеку не стоит доверять серьезные должности, которые обеспечивают доступ к конфиденциальным данным, потому что в итоге может серьезно пострадать вся организация. Всегда нужно помнить и о мотивации работников. Конечно, это не относится к ответственности отдела информбезопасности. Тем не менее, если сотрудник ощущает себя ненужным собственной компании, то тогда даже самые изощренные средства борьбы со шпионажем не заставят его отказаться от желания принести ей вред.
Alt text
Комментарии для сайта Cackle

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.