Говоря об управлении рисками, нельзя не сказать и кое-что о том, что лежит за рамками обсуждаемого выше цикла – пресловутом «человеческом факторе», без которого, к сожалению, не обходится ни одна компания в мире. Очевидно, что количество инцидентов в сфере ИБ напрямую зависит от того, как хорошо сотрудники выполняют требования корпоративной политики информационной безопасности и насколько, вообще, они лояльны своему работодателю. Ответственность за эти два показателя в немалой мере лежит на HR-департаменте, а также на службе внутренней безопасности, проверяющей кандидатов при приеме на работу.
В любой более-менее крупной компании есть HR-отдел, который отвечает за поиск и отбор сотрудников. К сожалению, его сотрудники зачастую рассматривают свои задачи достаточно узко: они заняты поиском кандидатов, формально удовлетворяющих требованиям в вакансиях, присылаемых другими отделами, и при этом мало заботятся обо всем, что находится за рамками этих требований. Именно так в компанию легко попадают люди, за плечами которых уже не один ИБ-инцидент, произошедший по их вине.
В идеале, каждый сотрудник при приеме на работу должен проходить через строгий фильтр в виде проверки отделом внутренней безопасности (причем проверки не поверхностной, а весьма основательной), включающей, среди прочего, и проверку фигурирования в прошлом сотрудника различных ИБ-инцидентов. Еще одним фильтром должно стать психологическое собеседование, которые бы определило не только насколько сотрудник подходит к уже существующему в компании трудовому коллективу, но и насколько он склонен к причинению вреда работодателю путем умышленного распространения его конфиденциальных данных, уничтожения информации и т.д. Финальным этапом этих проверок должно стать подписание перед принятием сотрудника на испытательный срок соглашения о неразглашении информации, полученной во время работы в компании. Это соглашение должно быть безукоризненным с юридической точки зрения, кроме того, оно должно быть составлено в полном соответствии с корпоративными политиками и стандартами в области информационной безопасности.
Также HR-отдел должен, в идеале, заниматься постоянной работой по повышению лояльности сотрудников компании к своему работодателю. Методик проведения такой работы существует масса, и многие из них показали свою успешность при применении в российских условиях.
К сожалению, такая идеальная ситуация практически не встречается в России – разве что в немногочисленных филиалах западных компаний, которые всерьез озабочены своей кадровой безопасностью. Остается лишь надеяться, что их способы и опыт будут постепенно перенимать и остальные организации.
Что же именно стоит перенимать? Для того чтобы усилить кадровую безопасность компании, необходимо расширить функции HR-отдела так, как описано выше. Для этого может понадобиться «доукомплектовать» отдел новыми штатными единицами, включая не только новых HR-менеджеров, но и психологов и юристов. Также необходимо наладить взаимодействие этого отдела с отделами информационной и внутренней безопасности, которые должны принять активное участие не только в отборе кандидатов на замещение вакантной должности, но и тщательно контролировать новых работников в течение их испытательного срока.
