Лояльность и(или) квалификация?

Всем привет! Больной для многих работодателей вопрос — что в приоритете: лояльность своих сотрудников или их осведомленность в ИБ? Соглашусь с утверждением, что лояльность важнее квалификации. От лояльности достаточно просто прийти к осведомленности. А вот «залоялить» компетентного в чем-то сотрудника может никогда и не удастся.

Например, внедрение новых политик ИБ в отдельно взятом подразделении отдельно взятой компании. По приказу руководства разработана организационно-распорядительная документация (ОРД) и подобие технического задания на внедрение средств защиты информации при работе с одной из информационных систем. Желание директората закрутить гайки в плане ИБ конкретно и бесповоротно.

Естественно, внедрение новых технологий нарушило экосистему отдела. Рост требований по безопасности в информационной системе, к сожалению, редко когда пропорционально росту удобства работы в ней. Как правило, зависимость обратная. И как раз на этапе запуска новой политики, новых требований, дискомфорт максимален. В этот период очень важно предотвратить перерастания недовольства в саботаж и вредительство.

Они могут принимать разные вариации — от выполнения инструкций букву в букву — т.н. «Итальянская забастовка» — до неприкрытого, бравирующего пренебрежения к новым нормам и правилам. Хочу отметить, что борьбу с Итальянскими забастовками можно, а самое главное — нужно, начинать уже на этапе проектирования ОРД. Инструкции и регламенты, скаченные из Интернетов, в силу своей тупизны и неактуальности, будут вызывать негатив у персонала в первую очередь. Написать грамотную, актуальную, ВЫПОЛНИМУЮ инструкцию для информационной системы — обязанность безопасника. Пусть даже используя шаблоны.

Можно воспользоваться и таким приемом: ввести необязательные и крайне неудобные меры, сделав коллективу прививку от вредности, а затем заменить их грамотными и необходимыми, существенно облегчив людям жизнь. Но это опасный ход и делать его можно только при полной уверенности в своих силах.

На мой взгляд, дело еще и в нашем…. не знаю как назвать… пусть будет менталитете. С детства, лично у меня, складывается правило — «Удобно — значит безопасно. Неудобно — небезопасно». Это лучше всего проявляется в технике — допустим, чтоб использовать промышленный пресс, нужно дать ему команду двумя рычагами, задействовать обе руки. Неудобно, поскольку действие такое небезопасно. Отключить подушку безопасности в машине можно открытием двери и поворотом ключа зажигания. Неудобно — значит небезопасно.

Соответственно, внедряя неудобства мы провоцируем разрыв шаблона — раньше было удобно, значит безопасно. Выявлять таких, мягко говоря негибких, товарищей КРАЙНЕ необходимо на этапе внедрения. Нужно четко понимать для себя — кто из работников «лоялен», т.е. будет выполнять требования, а кто достаточно «компетентен», т.е. выполнять их не будет. Существуют конечно и «лояльные компетентные». Но в нашем свете — это первый тип. Надеюсь, «нелояльные некомпетентные» у вас не работают :).

Именно поэтому актуальна задача тестирования лояльности персонала. Мера безопасности, внедренная в лояльной среде, приносит пользу. В нелояльной, а еще хуже — еще и в компетентной, среде эта мера несет только вред, поскольку не исполняется, но и создает новые проблемы.

Рассмотрим на примере закрытия доступа к социальным сетям. Очень спорная тема, лично у меня отношения к этому строго отрицательное, но все же — хороший пример. Для преодоления ограничений «нелояльные компетентные» работники строят альтернативные маршруты трафика (сотовые операторы, wi-fi, анонимайзеры, прокси, в т.ч. https и т.д.), открывая новые и новые дырки в периметре обороны. Кстати, немного в сторону: приказ директора на закрытие одноклассников в корпоративной сети — первый шаг (пиво, шоколадка, и т.п.) в сторону склонению админа ко взяточничеству. Ему может понравится, и он будет открывать другие ресурсы за другие «шоколадки» другим «пользователям».

Как же выявить «нелояльного квалифицированного»? Теми же самыми средствами ИБ. Вводом легко преодолимого ограничения, которое после квалификации можно снять – сразу увидим и «лояльных» и «нелояльных квалифицированных», с различными подклассами. Можно вспомнить и метод провокации.

 

Связанные записи

Метки: , , , , , , , , , , ,