Основные угрозы безопасности в кадровой сфере
Секция: Технические науки
лауреатов
участников
лауреатов
участников
IV Студенческая международная научно-практическая конференция «Технические и математические науки. Студенческий научный форум»
Основные угрозы безопасности в кадровой сфере
ВВЕДЕНИЕ
В качестве субъекта угроз кадровой безопасности для организации обычно выступают как работник, так и работодатель, потому что у каждого из них присутствует возможность обработки персональных данных. Именно они ответственны за сохранность и неразглашение конфиденциальной информации.
Объектом угроз выступают ресурсы работодателя. Они могут представлять из себя человеческие, финансовые, информационные и другие ресурсы.
Основную роль в обеспечении информационной безопасности в организации играет анализ и изучение рисков и угроз, исходящие от персонала компании или в ее адрес. Поэтому, на сегодняшний день, актуальной проблемой является определение сущности и содержания угроз безопасности в кадровой сфере. Данный анализ позволяет не только комплексно представить внешнюю и внутреннюю среду организации, но и выявить, а также сгруппировать факторы, имеющие деструктивный характер, относящиеся к персоналу организации. Далее эти данные могут лечь в основу разработки методических подходов к обеспечению информационной безопасности в кадровой сфере [2].
В качестве угроз обычно описывают следующие нарушения:
· порядка использования технических средств, способные обеспечить несанкционированный доступ к персональным данным;
· нарушение установленного режима обеспечения сохранности сведений, носящих конфиденциальный характер;
· нарушение установленного порядка в финансовой отчетности;
· любые действия, носящие преступный или противоправный характер, совершенные по личным мотивам или в интересах третьих лиц.
К угрозам информационной безопасности также часто причисляют и ошибки работников, связанные с низким уровнем профессионализма и добросовестности [6].
1. Основные понятия безопасности и рисков
Кадровая безопасность – это сложная и многоуровневая система. В ней непрерывно происходят процессы взаимодействия и противостояния интересов субъекта с угрозами (как внешними, так и внутренними). Этим можно и объяснить специфику субъектно-объектных отношений в кадровой безопасности. Важно отметить, что в качестве субъекта и источника угроз могут выступать персонал, который имеет доступ к конфиденциальной информации и имеет возможность деструктивно воздействовать на эту информацию, а также сама организация, вернее сказать неэффективно работающая система обеспечения информационной безопасности. Не стоит и объяснять, что сбалансированность интересов всех участников трудовых отношений – это основополагающий элемент в кадровой безопасности.
С точки зрения организации мер по обеспечению кадровой безопасности основной задачей является определение и классификация основных угроз, которые направлены со стороны персонала компании или в ее адрес. Реализация данных угроз в отношении конфиденциальных данных организации может нанести реальных ущерб. Для группировки и определения всех типов угроз необходимо сформировать совокупность опасных факторов. Для этого требуется не только определить угрозы, которые нарушают кадровую безопасность, но и источники этих угроз.
Угрозы информационной безопасности отличаются друг от друга источниками возникновения этих угроз, типами их деструктивного поведения, а также последствиями реализации данного типа угроз. В основном угрозы чаще всего являются антропогенными. Это означает, что большая часть всех угроз возникают в связи с деятельностью людей (работников, конкурентов, клиентов и так далее). Уровень влияния человеческого фактора на информационную безопасность организации различна. Иногда угрозы возникают в связи с низкой квалификацией персонала, иногда в связи со злым умыслом, а иногда из-за неосознанных ошибок сотрудников организации [7].
При возникновении необходимости рассмотрения проблем обеспечения информационной безопасности в отделе кадровой работы отдельное внимание необходимо уделить изучению факторов, которые провоцируют возникновение угроз информационной безопасности и создают опасность ее реализации. К таким факторам можно отнести:
- низкий уровень или полное отсутствие внутрикорпоративной социальной ответственности. Очень часто возникает такая ситуация, когда угрозы кадровой безопасности приводят к полному игнорированию интересов наемных работников организации. При этом невыполнение обязательств перед работниками (задержки выплаты или уменьшение заработной платы, незаконное увольнение и так далее) может провоцировать недобросовестное поведение со стороны сотрудников;
- отсутствие корпоративной культуры. Корпоративная культура подразумевает под собой нетерпимость ко всем возможным противоправным действиям со стороны руководства компании и ее работников, формирование определенных материально-нравственных ценностей и норм в отношении поведения работника и работодателя;
- низкая эффективность контроля в процессе найма и отбора кандидатов для дальнейшей работы в компании, а также отсутствие грамотно составленной политики увольнения работников, что может поспособствовать совершению ими недобросовестных поступков;
- плохая проработка местной нормативно-правовой базы в области обеспечения безопасности компании, а также отсутствие эффективной системы, направленной на обучение работников основам противодействия угрозам информационной безопасности;
- неэффективная система мотивации работников, добросовестно выполняющих свои трудовые обязанности и меры по пресечению возникновению угроз информационной безопасности.
Очевидно, что факторы и условия, которые провоцируют возникновение угроз информационной безопасности могут носит как внешний, так и внутренний характер. Это обусловлено тем фактом, что организация не является обособленной, она выступает как часть национальной экономики. Этот факт предопределяет существование общих угроз безопасности, которые вызваны едиными тенденциями развития страны. Также организация является частью региональной экономики, что объясняет возникновения определенных видов угроз, вызванных ресурсными, природно-климатическими и социально-экономическими особенностями данного региона. И только после этого организация выступает как самостоятельный субъект хозяйственной деятельности, что предопределяет существование угроз, характерных именно для данной организации и для данной сферы деятельности. Как видно, состояние кадровой безопасности как пазл собирается из большой совокупности внутренних и внешних факторов [5].
Изучение факторов и условий, которые оказывают негативное влияние на состояние и развитие человеческих ресурсов, а также разновидностей угроз безопасности по природе их возникновения, позволяет выделить экономические, политические, демографические, технико-технологические, социальные, экологические, этнокультурные, правовые и их разновидности. Именно такой вид структуризации может быть использован в процессе изучения угроз информационной безопасности в кадровой сфере и их факторов, в связи с тем, что позволяет комплексно изобразить кадровые угрозы, появляющиеся на различных уровнях.
Данное обстоятельство определяет необходимость в изучении и выявлении общих угроз кадровой безопасности для организации, которые складываются на региональном и даже федеральном уровне, а также определения специфических угроз, характерных только для данной сферы деятельности или конкретной организации.
2. Безопасность информации конкретного предприятия
Кадровая безопасность – комплекс мер, которая направлена на предотвращение и устранение рисков и угроз, а также негативных для экономического состояния компании последствий, связанных с работой и поведение персонала, его интеллектуальным потенциалом, трудовыми отношениями в целом. Даже не стоит объяснять, что кадровая безопасность на сегодняшний день занимает главенствующее положение по отношению к другим элементам системы безопасности. Это связано с тем, что персонал задействован во всех процессах, которые происходят в компании, даже в процессе по обеспечению безопасности [1].
Как говорит статистика, около 6-9% составляют потери прибили предприятия, связанные с несовершенством системы безопасности. При этом, эта цифра характерна лишь для тех случаев, когда имело место умышленное нанесение вреда собственными работниками организации. Не представляется возможным оценить масштаб потерь и упущенной выгоды, которые вызваны ошибками работников, неграмотным использованием ресурсов, бездействие, отсутствием лояльности, непрофессионализмом персонала и так далее. Никакая даже самая совершенная система безопасности, а уж тем более стороння служба не в состоянии решить эти проблемы самостоятельно, без помощи подразделения, чьей прямой обязанностью является работа с людьми. Если построить эффективную работу служб по управлению персоналом, то можно снизить прямые и предотвратить косвенные убытки организации, вызванные человеческим фактором почти на 60%.
Существует три ключевых момента, которые определяют кадровую безопасность любой компании:
- организация мер безопасности при приеме на работу, включая прогноз благонадежности. Здесь существует прямая закономерность: кого компания принимает на работу, такие люди там и работают. Для «безопасного» найма персонала на работу необходимо рассмотрение вопросов: поиска надежных кандидатов на работу, отбор персонала, определение времени, необходимое для испытательного срока и адаптации;
- формирование лояльности персонала. К сожалению, в это направление обычно вкладывается недостаточно ресурсов, хотя безопасности организации напрямую зависит от того, насколько хорошее отношение работников компании к руководству и самой организации в целом;
- контроль за соблюдением правил и норм. Все правила и указания по обеспечению информационной безопасности не должны оставаться только на словах и расходиться по сарафанному радио. Все указания должны быть зафиксированы в регламентах, политиках безопасности и других нормативных документах организации. В работу работодателя (или начальника структурного подразделения) должно входить не только ознакомление своих подчиненных с данными регламентами, но и контроль за качеством их исполнения.
Исходя из всего того, что было изложено выше, основными задачам подразделения, занимающегося работой с персоналом организации, являются: обеспечение кадровой безопасности; организация системы работы с персоналом таким образом, чтобы данную систему можно было назвать «безубыточной», а также формирование четкой корпоративной культуры, которая позволит минимизировать возможные потери. Данную деятельность не стоит рассматривать как отдельное направление в работе менеджера по персоналу. Этим правилам должны подчиняться все этапы, процедуры и процессы, направленные на управление персоналом. В данном случае необходимы не столько дополнительные ресурсы, сколько переопределение целей и задач.
Для того чтобы обеспечить кадровую безопасность необходима согласованная работа многих служб организации. В первую очередь, службы персонала и службы безопасности. Каждый работник организации, каждый возможный кандидат на вакантную должность, в первую очередь должен рассматриваться как источник потенциальных угроз. Нужно помнить, что риски могут возникать не только в связи со злым умыслом работника, но и из-за непрофессионализма, невнимательности или недобросовестной работы сотрудника. Очень опасными для организации являются работники с низкой квалификацией. Однако, слишком квалифицированные работники представляют не меньшую опасность, так как это приводит к той ситуации, что работник не может в полной мере применить свой профессионализм, что заставляет его быть недовольным своей работой и условиями труда. Также на возникновение рисков оказывает влияние отсутствие четко закрепленных юридических правоотношений и неадекватная оценка результатов. Предотвращение потерь и убытков, как результат хорошей организации системы кадровой безопасности, может выступать одним из критериев эффективности работы службы персонала.
Контроль за выполнением правил по обеспечению кадровой безопасности можно подразделить на внешний и внутренний. К внешнему контролю можно отнести контроль, который осуществляется органами государства, вышестоящими организациями и так далее. Внутренний контроль осуществляется непосредственно руководством компании и самими сотрудниками. Установив в компании правила и регламенты по обеспечению кадровой безопасности, необходимо следить за их выполнением. В организации должно быть выделено подразделение или должностное лицо (часто этим занимаются руководители структурных подразделений), которое будет осуществлять контроль работы персонала, сопоставлять уровень фактически достигнутых результатов с уровнем, который установлен внутренними нормативными документами. Такой контроль позволить не только обнаружить проблему, которая может привести к необратимым негативным последствиям, но и решить ее до того, как она будет осуществлена.
Эффективность контроля зависит от соблюдения ряда требований. Он должен быть систематическим, непрерывным (предварительный, текущий, итоговый, далее – повторение цикла), своевременным, оперативным, объективным, тщательным, разнообразным по формам (например, проверка, письменный отчет, личная беседа, контрольный журнал, совещание). При постановке кратковременных и конкретных задач можно сделать контроль не только реальным, но и создать определенный стандарт, относительно которого будет измеряться результат.
Особое внимание необходимо уделить на то, как сотрудниками конкретной организации соблюдается трудовой распорядок, требования должностных инструкций, обязательства о неразглашении конфиденциальных данных и так далее. По результатам контрольных мероприятий подготавливаются административные решения. Они могут принимать как позитивный (премия, объявления благодарности работнику), так и негативный характер (замечание, объявление выговора, депримирование, увольнение). Однако, работодатель должен иметь в виду, что дисциплинарное взыскание чаще усугубляет проблему, а не решает ее. Наказание обычно унижает работника, иногда может приводить и к формированию враждебного отношения сотрудника к работодателю и компании в целом. Чаще наказание в определенном смысле «обучает» работника тому, как в следующий раз данное нарушение «замаскировать», чтобы больше не попасться. Управление людьми считается наукой в той же степени, что и искусством. Здесь просто необходимо проявлять мудрость.
Задачи специалистов подразделений, занимающихся работой с персоналом, в области кадровой безопасности разнообразны и ответственны. Очень важно своевременно выявлять работников, чья деятельность или поведение может привести к убыткам или упущенной для компании выгоде. При этом, наверно, самой главной задачей является выстраивание доверительных отношений с персоналом, повышение его лояльности к руководству и организации в целом формирование высокой корпоративной культуры и внедрение таких норм трудовой этики, которые будут способствовать предотвращению должностных преступлений [3].
3. Служба безопасности
Основными условиями эффективности работы с персоналом выступают согласованность деятельности службы безопасности по различным направлениям (внутренняя, информационная, правовая, техническая безопасность и так далее) и тесное взаимодействие с другими структурными подразделениями (с отделом кадров, спецотделом и т.д.).
Задачей службы безопасности, с одной стороны, является выявление лиц, которые склонны к мошенничеству, хищению, недобросовестной работе и прочему, а с другой стороны способствовать созданию единой команды проверенных добросовестных сотрудников. С этой целью на предприятии проводятся организационные и организационно-технические мероприятия, используются личные наблюдения и беседы, а также результаты информационно-аналитической работы [8].
При построении деятельности организации таким образом, служба безопасности должна стремиться к тому, чтобы проводить ее бесконфликтно, но принципиально и компетентно.
Организационные мероприятия, проводимые в организации, включают:
- регламентацию внутрикорпоративных процедур, в том числе разработку нормативных документов (приказов, распоряжений, положений, инструкций);
- организацию контроля за экономической деятельностью организации;
- разъяснительно-обучающую работу с сотрудниками (проведение занятий по сохранению коммерческой тайны, изложение методов действий конкурентов в отношении организации и т. п.);
- профилактическую работу с сотрудниками (выявление лиц, склонных к различным правонарушениям, разъяснение последствий правонарушений и т. п.).
Организационно-технические мероприятия включают:
- организацию физической и технической охраны объекта (в т. ч. контроль режима работы сотрудников, регистрацию посетителей, предотвращение утечки информации по техническим каналам и пр.);
- анализ детализированной распечатки переговоров по служебным телефонам, использования электронной почты, интернета для изучения связей сотрудников и содержания информации;
- анализ использования копировальной техники (с целью предотвращения утечки информации, представляющей коммерческую тайну);
- контроль за поведением сотрудников в местах, находящихся в зоне открытых камер видеонаблюдения.
Личные наблюдения и беседы позволяют изучить:
- личностные особенности сотрудников компании;
- особенности психологического климата в коллективе;
- степень удовлетворенности сотрудников условиями труда, заработной платой и т. п.
Важным направлением в работе службы безопасности по предотвращению нанесения материального ущерба компании является осуществление контроля за работниками. Работники службы безопасности сами должны отлично разбираться в экономических и юридических особенностях деятельности организации для выполнения требований разработанных положений и инструкций, которые регламентируют функции каждого участника договорного процесса [4].
При изучении договора, работник службы безопасности должен обращать внимание на предмет договора, порядок расчета, ценообразование, условия выполнения и другие тонкости данного документа. Необходимо убедиться, что сотрудник, который уполномочен заниматься договорной работой, выполняет все положения инструкций и регламентов, а также может грамотно ответить на все вопросы.
Одна из важнейших мер контроля за персоналом со стороны службы безопасности в процессе финансово-хозяйственной деятельности организации — взаимодействие со службой внутреннего аудита по проверке финансово-хозяйственной деятельности. Одновременно с аудиторами работник службы безопасности должен изучать отчет по выявленным нарушениям в процессе проведения проверки, которые могут или уже нанесли ущерб компании. К таким нарушениям можно отнести необоснованные расходы на различные виды деятельности, образование дебиторской задолженности и другие нарушения. При анализе данных проверки, работники службы безопасности могут выявить конкретных работников, имеющих отношения к каждому из нарушений, и доложить руководству компании о результатах проверки для принятия мер по устранению нарушений [3].
Во время проведения проверок служба безопасности также может использовать полученные в повседневной работе материалы, которые могут указывать на нанесение ущерба организации в проверяемом структурном подразделении, которые могут подтвердиться в результате проверки или нет.
Особое внимание при работе с персоналом необходимо уделять вопросам обеспечения защиты конфиденциальной информации, утечка которой может нанести ущерб организации. В данном случае подразумевается не только экономический, но и имеджевый ущерб. В организации должны быть разработаны нормативные документы и регламенты, которые будут регламентировать правила доступа к такой информации, а также правила ее обработки, хранения и возможностям передачи. При приеме на работу нового сотрудника, работник службы безопасности должен ознакомить его с данными документами и регламентами. Также, не лишней является и практика, когда новый работник подписывает обязательство о неразглашении конфиденциальной информации.
Практика показывает, что конкуренты зачастую получают интересующие их сведения через несовершенства регламента по защите конфиденциальной информации, а также через нарушение ее работниками самой организации или через человеческие слабости и пороки.
Контролируя соблюдение работниками прописанных требований по обеспечению информационной безопасности, работники службы безопасности могут выявить факты их нарушения. Для этого используются организационные, технические меры, а также работа с доверенными лицами. При анализе причин утечки информации, работники службы безопасности должны не только находить виновное лицо и наказывать его, но и предлагать методы и способы устранения данных утечек.