Недобросовестные партнёры и конкуренты.

 

В течении последних лет наряду с пособиями для хакеров на полках магазинов в изобилии появились книги по промышленному шпионажу, и некоторые из них уже являются рекордсменами продаж. В списках услуг охранно-сыскных структур присутствует получение информации и наблюдение за конкурентами и партнёрами, подобные функции выполняют и собственные службы безопасности многих компаний. Ещё одним инструментом добычи сведений являются недобросовестные служащие государственных структур.

 

В качестве источника информации недобросовестные партнёры и конкуренты используют Web-сайты, СМИ, материалы публичных выступлений. Для сбора информации в глобальной сети всё чаще привлекаются хакеры.

 

Но самым опасным для компании источником утечки конфиденциальной информации являются ее собственные сотрудники.

 

Конкуренты могут получать информацию в ходе беседы после выступлений и на специально организованных переговорах. При соответствующей подготовке недоброжелатели могут эффективно использовать современные психотехнологии, эксплуатировать желание субъекта показать себя влиятельным, осведомлённым, компетентным, использовать вредные привычки и скрытые потребности.

 

В первую очередь объектом воздействия становятся менеджеры и высококвалифицированные специалисты, так как именно они осведомлены в наибольшей степени.

 

Особенно полезными для недобросовестных конкурентов могут оказаться уволенные сотрудники, а также сотрудники, получившие приглашение, в том числе мнимое, на работу. Находящиеся в штате работники также не всегда следуют интересам организации.

 

Не менее опасным для компании может оказаться воздействие заведомо ложной и модифицированной информации, которая передаётся по "доверенным" каналам, распространяется через СМИ, Web-сайты, публичные выступления.

 

 

2.2.2 Внутренние источники угроз.

Менеджеры.

Как лица, обладающие большими организационными полномочиями, наибольшую потенциальную угрозу для информационных ресурсов компании представляют менеджеры. Например, к потерям могут привести распоряжения предоставить пользователю неоправданно высокие права, реализовать в информационной системе небезопасный, но удобный функционал. Иногда информационные угрозы возникают вследствие неудовлетворительного выполнения руководителями контролирующих функций. Известны случаи, когда продавалось оборудование, с дисков которого не удалялась конфиденциальная информация компании и партнёров.

 

Во избежание возникновения ущерба целесообразно обязать менеджеров согласовывать решение вопросов, связанных с информационными рисками, с руководителем службы информационной безопасности.

 

Сотрудники.

 

Значительной угрозой информационной безопасности компании является низкая квалификация персонала, недостаточная для корректной работы с корпоративной информационной системой. Особо опасными являются некомпетентные сотрудники, выдающие себя за грамотных пользователей, или считающие себя таковыми.

Во многих компаниях отсутствует контроль над установкой на рабочих станциях программного обеспечения. Не понимая возможных последствий, сотрудник может установить на своём рабочем месте заинтересовавшую его программу или "патч", существенно снизив эффективность усилий по обеспечению корпоративной сетевой безопасности. Подобная угроза возникает и в случае подключения находящейся в локальной сети рабочей станции к Интернет через модем или мобильный телефон, оснащённый функцией цифровой связи.

 

Конечно, не будет лишним ещё раз упомянуть об угрозах, исходящих от приклеенных к мониторам стикеров с паролями и практики обмена паролями между работниками, выполняющими сходные функции.

 

В ряде случаев проблемы безопасности связаны с тем, что легальные пользователи используют необходимую для работы информацию не по назначению. Причиной может быть злой умысел, халатность, непонимание последствий распространения доступных им сведений. Очевидно, что данная проблема неразрешима только технологическими мерами.

 

Наибольшую опасность представляют сотрудники, обиженные на организацию и её руководителей. Поэтому случаи возникновения явных и скрытых конфликтов, несоответствия сложившейся ситуации ожиданиям сотрудников, могут рассматриваться как потенциальные предпосылки нарушений информационной безопасности. Особого внимания требуют связанные с такими ситуациями случаи увольнения. Как отмечалось выше, сотрудник, уволившийся из компании с чувством обиды, легко может стать источником информации для недоброжелателей.

 

IT-специалисты, администраторы и лица, выполняющие критичные операции.

 

Хочется обратить внимание на отбор кандидатов, которым предполагается доверить выполнение операций, требующих больших прав в информационной системе. Не меньшее значение, чем профессиональные навыки, имеют лояльность кандидата и способность сохранять приверженность интересам компании даже в сложных ситуациях. По этой причине лица, на вершине системы ценностей которых находится материальное вознаграждение, скорее всего, получат отказ. С особой осторожностью следует относиться к кандидатам, слишком часто меняющим работу, предоставившим недостоверные сведения, привлекавшимся к административной и уголовной ответственности, имевшим психические или невротические расстройства.

 

Желательно, чтобы кроме собеседования со своим руководителем, кандидат встретился с профессиональным психологом. Часто психолог проводит тестирование, которое выявляет особенности характера и потенциальные возможности кандидата. Также важно провести беседу, в ходе которой будут выявлены система ценностей и особенности поведения. Это позволит убедиться в том, что кандидат гладко "впишется" в корпоративную культуру, понять, какая система мотивации будет для него наиболее подходящей.

 

Особое внимание следует уделить тому, чтобы работа сотрудника в организации соответствовала его ожиданиям. В частности руководителю следует воздержаться от необоснованных обещаний. Психологический контракт важен так же, как формальный.

 

Традиционной проблемой, связанной с IT-сотрудниками, является контроль и оценка результатов деятельности. Немногие руководители способны воспринимать "птичий" язык и вникать в сущность их работы, в том числе в вопросы защиты данных. И немногие владеющие глубокими знаниями в IT, компетентны в вопросах управления.

 

Например, в IТ-подразделениях часто отсутствуют должностные инструкции и не проводятся аттестации. Иногда IТ-специалистов рассматривают как обслуживающий персонал, пытаются нагрузить дополнительной работой, не определённой должностной инструкцией. Это ухудшает выполнение прямых обязанностей, вызывает недовольство, отрицательно сказывается на лояльности, приводит к высокой текучке кадров. Наверняка многим известны случаи, когда увольняющийся администратор блокирует пароли сервера.