Компании, где людей не ценят-первые жертвы инсайдеров. Скупой платит дважды, а тупой-трижды. Нельзя выжимать из людей все соки и надеяться на лояльность. Вообще управление персоналом-целая наука. Если песоналом управляют с умом-инсайдеры, как класс, отсуствуют.
Статья написана мной с целью, лишь только обозначения общей темы, только как, раскрытие имеющейся проблемы. Так, например, следует понимать, что инсайдеры - это не только сотрудники, ворующие конфиденциальную информацию или портящие имидж компании, а в том числе и сотрудники, неумышленно разглашающие конфиденциальные сведения и приносящие другой вред компании просто в силу того, что это возможно в самой компании в результате принятой там системы работы. Статья адаптирована для понимания топ-менеджерами компаний, поэтому по максимуму из него убраны все специализированные термины. Весь материал изложен на основе личного практического опыта и его у меня хватит на книгу, методы противодействия и предотвращения вырабатывались в течении нескольких лет... в одной статье можно их лишь обозначить.
По мелочам придираться? Самая большая группа это банальная ошибка от недостаточной осведомленности (человек просто не знает, как правильно делать, его не просветили), но у Вас в "неумышленниках" числятся только глупость и лень. Тем самым Вы явно относите связанные с ними инциденты на счет их личностных недостатков, а не своих профессиональных.
Алексей Лукацкий пишет: А как посчитать эффективность описанных мер защиты от инсайдеров?
Интересный вопрос, причем настолько, что никто и не считает обычно эту эффективность. А не считают, потому что сами меры в комплексе как правило не применяются, т.к. сотрудники служб управления персоналом эту работу как важное направление своей рабочей деятельности вообще в настоящее время не видят в упор. Важно понимать, что оценка может быть проведена только путем сравнения экономических показателей компании до и после выполнения комплекса мер. В оцениваемые экономические показатели включаются не только доходные, но и расходные статьи бюджета компании . Обычно по моему мнению бывает так, что служба управления персоналом с этими показателями не сталкивается и за них естественно не отвечает
Ригель пишет: это банальная ошибка от недостаточной осведомленности (человек просто не знает, как правильно делать, его не просветили), но у Вас в "неумышленниках" числятся только глупость и лень. Тем самым Вы явно относите связанные с ними инциденты на счет их личностных недостатков, а не своих профессиональных.
Посмотрите внимательно еще раз, я пишу в тексте статьи об этом (пример с отправкой содержимого музыкального диска). Речь идет не о профессиональных недостатках сотрудника безопасности, а не достатках принятой в компании системы работы. Встречный вопрос к вам: "кто по вашему мнению должен предупреждать сотрудника о том, как правильно, что либо делать? Сотрудник отдела ИБ, администратор сети или может быть его непосредственный начальник в организации (где работает, например, 3000 человек)?" И как предусмотреть все варианты возможной глупости?
Гость пишет: по-любому виноват начальник - рыба гниет с головы
Ха! Во-первых, не "по-любому": 20% вина самих исполнителей. Во-вторых, такая формулировка вообще ведет к полному разложению системы (за что и ненавижу этот афоризм), ибо начальник виноват, но он не виноват, т.к. у него тоже есть начальник, а тот виноват, но не виноват, т.к. у него тоже есть начальник, а тот ... В результате все звенья системы кивают на самое первое лицо и оправдывают этим полную административную дисфункцию организации, как составного организма.
Олег Кузьмин (Alkor) пишет: кто по вашему мнению должен предупреждать сотрудника о том, как правильно, что либо делать? Сотрудник отдела ИБ, администратор сети или может быть его непосредственный начальник в организации (где работает, например, 3000 человек)?
Раз контора небольшая, то любой из вышеперечисленных. Но обычно это коллективная роль всех юнитов, занятых в программе осведомления, и вопрос разделения решается по функциональному признаку (документационное обеспечение учит бюрократической культуре, кадры работе с подчиненными, ИТ работе с системами и т.п.), а в одиночку никто не потянет.
Как вам, например, такой случай. Некий не рядовой сотрудник уже упомянутой компании - оператора связи осенью 2004 года решил воспользоваться корпоративной почтой для отправки содержимого музыкального диска объемом 700 Мб своему другу.
Braindead админ - дыра в любой системе.У остальных сервер просто не будет пытаться это слать вообше... а виноваты как всегда кто угодно кроме админов, ага.
Ха! Во-первых, не "по-любому": 20% вина самих исполнителей. Во-вторых, такая формулировка вообще ведет к полному разложению системы (за что и ненавижу этот афоризм), ибо начальник виноват, но он не виноват, т.к. у него тоже есть начальник, а тот виноват, но не виноват, т.к. у него тоже есть начальник, а тот ... В результате все звенья системы кивают на самое первое лицо и оправдывают этим полную административную дисфункцию организации, как составного организма.
Ну если подходить формально, то в любом случае виноват начальник. Задача начальника следить за подчиненными (формально). А раз не доследил значит виноват. А на счет поднятии по лестнице подчиненности, то если вышестоящий начальник не согласен с мерами предлагаемыми нижестоящим (более компетентным) то это уже вина вышестоящего начальника, в противном случае ответственного лица. А что касается вины исполнителей в 20 % это вообще непонятная величина. В рамкам предприятия виноват начальник а в рамках конкретного случая сам провинившийся. С какой точки зрения нужно смотреть, чтобы получить эти 20%?
Добрый день. Мои советы для воспитания лояльных сотрудников: 1) Маленькая, но достаточная зарплата, премия, зависящая от результатов деятельности. 2) Достаточная загрузка работой, умелое распределение задач между сотрудниками (задача непосредственного руководителя) 3) Необходимо выделять какое-то время (обед), какой-то объем интернет трафика для поощрения сотрудников (например, для посещения сайтов развлекательного характера с учетом работы серьезного антивируса, не запрещать использовать средства коммуникации, например ICQ и т.п.). Люди оценят те свободы, которые им даны и которые они не всегда получат в другой организации. Главное - требовать и строго требовать выполнения поставленных производственных задач, а не придираться к 2 минутному опозданию (если работа не связана с клиентами) или 3 Мб трафика с сайта знакомств. ТОгда сотрудники будут получать удовлетворение от работы, смогут переключаться между различными видами деятельности (спросите психологов насколько это актуально для производительности). Возьмите пример Гугла - одной из крупнейших компаний мира.
Все остальное - на совести администраторов и безопасности. Пользователь не должен иметь прав в сети больше, чем ему нужно для выполнения непосредственных обязанностей. Если он в принципе может отправлять файлы в 700 Мб, ИМХО, это вина администратора почты. Должна быть защита от дурака.
Ригель пишет: Раз контора небольшая, то любой из вышеперечисленных. Но обычно это коллективная роль всех юнитов, занятых в программе осведомления, и вопрос разделения решается по функциональному признаку (документационное обеспечение учит бюрократической культуре, кадры работе с подчиненными, ИТ работе с системами и т.п.), а в одиночку никто не потянет.
Об этом и идет речь. Не любой из вышеперечисленных, а только тот кто за это отвечает. И в этом месте обычно как раз и начинается забюрокрачивание всей системы, т. е . обычно создается некий бумажный монстр из инструкций, которые никто не выполняет. Я же предлагаю несколько иной подход, при наличии необходимых инструкций, каждый новый пользователь (сотрудник) получает зачетный лист с вопросами, которые ему необходимо знать. В течение предположим первого месяца работы он не допускается к критически важным системам и данным (испытательный срок очень кстати), а изучает все необходимое и сдает зачеты по обозначенным вопросам ответственным за них в компании направленцам (их фамилии проставляются в зачетном листе). Тогда админ не будет мучиться и учить каждого нового бухгалтера как входить в систему, работать с программой и прочими..., сотрудник ИБ примет зачет по своему направлению, ну и т.д.
Олег Кузьмин (Alkor) пишет: обычно создается некий бумажный монстр из инструкций, которые никто не выполняет. новый пользователь (сотрудник) получает зачетный лист с вопросами, которые ему необходимое и сдает зачеты по обозначенным вопросам ответственным за
Нет какого-то единственно верного способа, по-разному можно делать.
Но видится интересный момент: в Вашем варианте осведомление смешивается с обучением, а смотреть надо ширше. Скажем, Вам может потребоваться "до-довести" до людей не талмуд, а какую-то крохотную дельту, поправочку. Малюсенький такой патчик накатить на знания тех, кто уже работает. С будущими работниками все просто - этот новый аспект в талмуд молодого бойца включается. Но у Вас еще и 3000 уже обученных сидит. Если степень информатизации высокая, "патчики" будут требоваться часто. Неужто по-старинке через ознакомление с приказом якобы директора? По каждой ерунде?
Нельзя однозначно определить эффективность работы службы безопасности, равно как и финансовые потери, (не)произошедшие в результате "информационных инциндентов".. Зачастую весь маркетинг в сфере ИБ - гадание на кофейной гуще.
Начиная с определенной "критической" массы персонала - управляемость стремится к нулю. Необходима жесткая(окая) и абсолютная политика безопасности, что требует значительных(!) финансовых и трудовых затрат. Кто сможет озвучить разумный процент затрат (финансовых/трудовых) на безопасность.? По отношению к нативному бизнес-процессу.? Это 10/90 или 30/70.? Или больше.?
Целесообразно службу информационной безопасности иметь в лице самих информационщиков. Это менее затратно да и правильнее. Системный администратор всегда компетентнее своего коллеги-безопасника в технических вопросах, читай - вопросах безопасности.. Мотивация персонала - ключевое слово.