Забезпечення виконання персоналом політики інформаційної безпеки
Людина була завжди найуразливішим об’єктом для загроз витоку та втрати інформації. Можна встановити найсучасніші системи технічного захисту, видати мільйони нормативних актів, які регулюють захист інформації, але доки буде ігноруватися людський фактор (тобто фактор людського впливу на інформацію, загрози, які йдуть від людей та причини цих загроз), доти юридичні, організаційні та технічні засоби будуть мало ефективними. Персонал організації частіше всього стає причиною витоку інформації. Ще в 2005 році організація CERT провела дослідження E-Crime Watch Survey, в ході якого було опитано більше 800 компаній, кожна друга компанія хоч би раз протягом року постраждала від витоку даних. Аналітики підрахували, що 33,0 і 20,0 % всіх інцидентів витоку даних викликані нинішніми і колишніми співробітниками відповідно . Це свідчить про те, що проблема зради співробітників є достатньо актуальною. Проведення заходів по направленню персоналу на виконання правил, затверджених на підприємстві, дозволяє знизити ризик витоку інформації через співробітників. Якщо керівництво компанії буде аналізувати вчинки співробітників не як спробу всіма можливими способами нашкодити роботі компанії, а як спробу задовольнити власні потреби, де шкода компанії є побічним ефектом, тоді вдасться вдовольнити співробітників та не нашкодити діяльності організації. Це допоможе значно зменшити ті кошти, які підприємства витрачають на усунення наслідків дій внутрішніх порушників (інсайдерів). Забезпечити зацікавленість співробітників у виконанні норм ПІБ є однією з головних задач ефективного її виконання. Якщо сам співробітник буде зацікавлений у виконанні цих норм, то ефективність такого виконання буде дуже високою. Проблема полягає у тому, що, з одного боку існують наукові праці, що аналізують загрози ІБ від персоналу (але вирішення цих загроз пропонують розглядати з технічної та юридичної сторони), а з іншого велика кількість напрацювань по ефективному управлінню персоналом та виявленням причин невдоволення співробітників, але вони майже не мають свого відображення у відкритих джерелах, які описують вирішення загроз людського фактору втрати та витоку даних. Втрата даних в організації може відбуватися з різних сторін. І забезпечувати її цілісність та конфіденційність потрібно відповідно до сфери загроз. Якщо це технічний аспект, то й використовувати в першу чергу потрібно технічні засоби. Якщо мова йде про втрату даних через неправильну організацію процесу захисту, отже потрібно краще організувати захист інформації. Та коли мова йде про людський фактор, способи захисту повинні в першу чергу будуватися на основах менеджменту та психології. В напрацюваннях з управління персоналом йде мова про те, як організувати виробничий процес, враховуючи потреби персоналу організації. Класична теорія управлінського циклу складається з планування, організації, мотивації та контролю: 1) планування – процес підготовки рішень, який включає постановку мети, визначення вихідних передумов, з'ясування альтернатив, вибір найкращої альтернативи, висновки та виконання плану; 2) організація – спрямована на впорядкування діяльності управлінця та виконавців; 3) мотивація – робота, спрямована на стимулювання (матеріальне й моральне) та створення у працівників психологічних спонук до праці; 4) контроль – процес перевірки й зіставлення фактичних результатів із завданнями. Велике значення має правильна організація мотивування, уміле використання засобів переконання, і застосування саме тих засобів, які є найбільш ефективними в конкретній ситуації. Мотивація є головною функцією управління, бо без неї неможливе виконання поставлених задач. Якщо буде відсутня функція планування, робота буде виконуватися погано й мало ефективно. Теж саме можна сказати й про функції організації та контролю виконання. Але за відсутності мотивації до праці, робота не буде виконуватися взагалі. Ефективне управління неможливе без розуміння мотивів і потреб людини і правильного використання стимулів до праці. Чому деякі люди в одних і тих же умовах працюють з цікавістю і задоволенням, а інші незадоволені? Чому для отримання високого результату одну людину потрібно похвалити, а іншій більше заплатити? Що спонукає людину до активної діяльності? Шлях до ефективного управління виробництвом лежить через розуміння мотивації трудової діяльності працівника. Тільки знаючи те, що рухає людиною, що спонукає її до роботи, які мотиви лежать в основі її дій, можна спробувати розробити ефективну систему форм і методів управління трудовими процесами і створити зацікавленість співробітників у дотриманні правил, регламентованих ПІБ. Для цього необхідно знати, як виникають або викликаються ті чи інші методи, як і якими способами вони можуть бути реалізовані. Для початку розглянемо, що саме потрібно для кадрового управління на підприємстві: Елементи, необхідні для ефективного управління кадрами: 1. Організаційні заходи – для того, щоб вимагати від співробітників дотримання певних правил, ці правила для початку потрібно створити, задокументувати, та довести до відома кожного співробітника. Доказом ознайомлення з правилами в такому випадку буде вважатися підпис особи. Нажаль на багатьох підприємств, якщо такі правили й існують, вони залишаються лише на папері. Не проводиться дій по організаціії дотримання та контролю за дотриманням таких правил. А тим більше правил поводження з чутливою інформацією. 2. Інформаційне забезпечення – до цього елементу входить забезпечення необхідною інформацією працівників під час роботи та надання детальної інформації про самих кандидатів на посаду. Перш ніж прийняти особу на підприємство, особливо на відповідальну посаду, потрібно дізнатися як можна більше про неї. Це стосується не лише біографії кандидата, але й його цілі у житті, мрії, та як саме він бачить себе на цьому підприємстві. 3. Підбір і розташування кадрів – даний елемент забезпечує співвідношення між особистісними характеристиками співробітника чи кандидата з посадою, яку він займає чи на яку претендує. Урахування особистісних характеристик включає в себе визначення темпераменту особи, її прагнення, здатність вчинити ті чи інші дії тощо. Тобто створюється психологічний портрет ідеального кандидата на певну посаду, а потім за допомогою різноманітних тестів та методик визначається чи відповідає кандидат цьому психологічному портрету. 4. Підвищення кваліфікації – це суттєвий елемент ефективного управління. Світ постійно динамічно розвивається і набуті один раз знання потрібно постійно вдосконалювати та поглиблювати. Співробітники підприємства повинні час від часу відвідувати семінари та лекції, що розширюють їх професійні знання, якщо в цьому є необхідність. 5. Впровадження провідного досвіду – розвиток новітніх технологій та розробок відбувається дуже швидко. Отже підприємство повинно слідкувати за появою нових технологій і використовувати їх, якщо в цьому є необхідність. 6. Робота з молодими спеціалістами – це важливий елемент управління. Молодих спеціалістів, які мають щойно закріплені знання, але без досвіду роботи, потрібно хоча б протягом пів року навчати безпосередньо роботі на підприємстві, корегувати їх дії та слідкувати за виконанням. Для цього можна назначити одного з досвідчених спеціалістів куратором для нього. Це дозволило б молодому спеціалісту швидше набути практичного досвіду, уникаючи багатьох непотрібних помилок. 7. Денталогічні (етичні) аспекти – полягають у прояві поваги між керівництвом та персоналом і персоналом між собою. 8. Стимулювання праці – полягає у заохоченні співробітників до праці шляхом забезпечені їх потреб. 9. Організація праці – включає в себе регламент офісної роботи, забезпечення матеріально-технічним обладнанням та інформаційними ресурсами. 10. Забезпечення соціального розвитку – передбачає покращення соціального статусу у суспільстві. Так склалось історично, що соціальний статус безпосередньо залежить від рівня доходу. 11. Ідейно-виховна робота – на неї покладено завдання виховувати патріотизм у співробітників компанії, згуртовувати колектив, виховувати повагу до колег та керівництва. Для цього підходять запровадження на підприємстві своїх традицій, проведення корпоративів, спільні подорожі та екскурсії. 12. Виробнича адаптація – включає в себе чотири аспекти: – Професійну адаптацію – співробітник протягом року повинен повністю освоїти свою професію і в цей час його не потрібно перенавантажувати можливими додатковими обов’язками. – Соціально-психологічну – приблизно три роки співробітник звикає до нових умов і колективу, після чого займає належне місце у ньому. – Культурно-побутову – співробітник адаптується до існуючих на підприємстві правил, обстановки тощо. – Суспільно-організаційна – це останній вид адаптації, що включає у себе повне звикання до колективу і можливість участі у його суспільному житті. Процес такої адаптації також прискорюється, якщо на підприємстві комфортна обстановка і дружній колектив. 13. Психологічні аспекти – це виявлення в загальному потреб персоналу та намагання задовольнити їх. 14. Робота з керівними кадрами – передбачає навчання керівників різних ланок зазначених вище елементів та теорій мотивації. Важливим фактором особи є система її потреб, мотивів, інтересів, тобто те, що визначає причини поведінки особи, допомагає пояснити прийняті рішення. С психологічної точки зору потреба особи – це усвідомлення відсутності чого-небудь, що викликає у людини спонуку до дії. Оскільки потреби викликають у людини прагнення до їх задоволення, то менеджери повинні створювати такі ситуації, які б дозволили людям відчувати, що вони можуть задовольнити свої потреби за допомогою певного типа поведінки, що приводить до досягнення цілей організації. У всіх випадках знання справжніх мотивів поведінки працівника допоможе уникнути втрати хорошого фахівця, попередити можливий конфлікт в колективі. Потреби можна класифікувати як первинні і вторинні. Первинні потреби викликані фізіологією людини, і вони, як правило, вроджені. Це потреби в їжі, воді, повітрі, сні, сексі, які забезпечують існування людини як біологічного виду. Вторинні потреби за природою своїй психологічні. Вони розвиваються у процесі розвитку і отримання життєвого досвіду. Вони набагато різноманітніші ніж первинні, багато в чому залежать від психологічної розвиненості особи, умов життя, соціальних норм, прийнятих в суспільстві, групі. Наприклад, потребі в успіху, пошані, прихильності, влади або потреба в приналежності кому або чому-небудь. Первинні потреби закладені генетично, а вторинні зазвичай з'являються з досвідом. Оскільки люди мають різний набутий досвід, то вторинні потреби людей розрізняються в більшій мірі, чим первинні. Так як людина постійно взаємодіє з соціумом і є його частиною, то можна виділити перелік найбільш поширених соціогенних потреб: – соціальній приналежності (групового членства); – соціального контакту (спілкування, інформації); – соціального контролю; – сексуальних стосунків; – співпраці (досягнення групових цілей); – адекватного взаємообміну; – дотримання групової норми; – аффіліації (дружби, альтруїзму, жертвування); – заступництва (допомозі, протегування); – лідерства; – почуття переваги над оточенням; – чіткого розподілу ролей в групі; – соціального престижу; – демонстрації (виставляння себе напоказ); – встановлення каузального локуса (приписування причин поведінки); – владарювання (підпорядкування собі інших людей); – власного підпорядкування іншим; – захисту від тиску або нападу; – відповідальності (обов'язковості); – отримання допомоги; – наслідування (імітації); – згуртованості та ін. Група провідних мотивів, що визначають поведінку працівника, називається мотиваційним ядром (комплексом), що має свою структуру, яка розрізняється залежно від конкретної трудової ситуації[26, с. 148]. Потреби неможливо безпосередньо спостерігати або вимірювати. Про їх існування можна судити лише по поведінці людей. Потреби виявляються в мотивах, що спонукають людину до діяльності, і стають формою їх прояву [27, с. 75]. Всю множину потреб особи складає джерело, мотив діяльності індивіда. Коли потреба відчувається людиною, вона будить в неї стан спрямованості. Способи досягнення ефективної праці на підприємствах пов'язані із спонуками людей. Спонука – це відчуття недоліку в чому-небудь, що має певну спрямованість [24, с. 90]. Воно є поведінковим проявом потреби і сконцентровано на досягненні мети. Мета в цьому сенсі – це щось, що усвідомлюється як засіб задоволення потреби. Коли людина досягає такої мети, її потреба виявляється задоволеною, частково задоволеною або незадоволеною. Міра задоволення, отримана при досягненні поставленої мети, впливає на поведінку людини в схожих обставинах в майбутньому. Люди прагнуть повторювати ту поведінку, яка асоціюється у них із задоволенням потреби, і уникати такої, яка асоціюється з недостатнім задоволенням. Цей факт називають законом результату. Спрощена модель мотивації через потреби зображена на рис. 3.1 Для кращого розуміння потреб у сфері трудової діяльності у таблиці 3.2 наведені приклади опитування співробітників України та США. [c] Таблиця (3.2) Що впливає на лояльність співробітника? Україна США Матеріальна винагорода 1 4 Цікава робота 2 1 Кар'єрні перспективи 3 2 Перспективи проф. росту 4 8 Репутація компанії 5 10 Психологічна атмосфера у колективі 6 7 Умови роботи 7 5 Корпоративна культура 8 9 Особистість начальника 9 3 Поведінка 10 6 Як видно, з вищенаведених таблиць, потреби співробітників різних країн відрізняються одні від одних. Більш того, вони відрізняються і в межах однією країни. На кожному підприємстві потрібно проводити аналіз потреб персоналу. Є багато різних методик по аналізу стану підприємства та його персоналу, виявлення потреб співробітників та мотивуючих їх факторів. Найпростіше соціологічне опитування співробітників може дати значний результат по виявленню мотивуючих факторів. Як приклад, на рис.3.2 наведені результати дослідження мотивуючих і демотивуючих факторів однієї великої німецької компанії. Протягом багатьох років серед співробітників цієї організації проводилося опитування персоналу. Ставилися такі питання: 1) що в моїй роботі мене мотивує більш за все… 2) що в моїй роботі мене демотивує більш за все… Результати цього дослідження показують, на що в першу чергу потрібно звернути увагу менеджеру з забезпечення ПІБ. Наведені вище дані є результатом дослідження однієї фірми. На кожному підприємстві вони будуть відрізнятися один від одного, бо на формування колективу і на потреби колективу впливають різні фактори. Проведення різних тестів та опитувань дозволять оцінити стан колективу, відношення співробітників один до одного та їхні прагнення. Без цього аналізу проводити діяльність по вмотивуванню персоналу не має сенсу, бо невідомо, що саме потрібно цьому колективу, які проблеми виникають під час здійснення поставлених перед колективом задач. Тільки за результатами аналізу стану колективу можна розробляти політику дій для покращення ситуації. Слід також зазначити, що проведення аналізу стану колективу підприємства повинно проводитися регулярно для виявлення нових потреб і для того, щоб перевірити, чи діють впроваджені методи. Для опитування персоналу можна використовувати різні методики та їх сукупності. Це такі методики, як: 1. Методика «Ціннісні орієнтації» М. Рокича – Тест особи, спрямований на вивчення ціннісно-мотиваційної сфери людини. Система ціннісних орієнтацій визначає змістовну сторону спрямованості особи і складає основу її стосунків до навколишнього світу, до інших людей, до себе самої, основу світогляду і ядро мотивації життєвої активності, основу життєвої концепції і «філософії життя». 2. Методика діагностики особи на мотивацію до успіху Т. Елерса – Особовий опитувач. Призначений для діагностики мотиваційної спрямованості особи на досягнення успіху. 3. Методика діагностики особи на мотивацію до уникнення невдач Т. Елерса – Особовий опитувач. Призначений для діагностики мотиваційної спрямованості особи до уникнення невдач. 4. Методика «Моніторинг трудових мотивів» – Призначена для експрес-діагностики як індивідуальних, так і групових мотивів трудової діяльності. Теоретичним конструктом методики є давно визнана в практиці менеджменту двохфакторна теорія мотивації Ф. Герцберга, що дозволяє зробити якнайповніший аналіз і інтерпретацію трудової мотивації персоналу. Методика Ф. Герцберга була адаптована і модифікована доцентами кафедри психології особи Санкт-петербурзького інституту психології і акмеологии В. Р. Келихом і Ю. Л. Старенченко. У структуру методики закладено вісім шкал: – прагнення до матеріального благополуччя; – прагнення до визнання оточенням; – прагнення до відповідальності і самостійності; – рівень залежності від керівника; – прагнення до кар'єрного зростання; – прагнення до досягнення успіху в роботі; – прагнення до особового зростання; – рівень залежності від групи. Первинні заходи мотивації складалися виходячи з аналізу історичного досвіду поведінки людей і застосування простих стимулів примушення, матеріального і морального заохочення. Найбільш відомою і до цих пір широко вживаною є політика «батога і пряника». «Батогом» раніше найчастіше був страх страти або вигнання з країни за невиконання наказів. Політика «батога і пряника» підкуповує простотою мотивів і стимулів до досягнення поставленої мети. Вона переважає в екстремальних ситуаціях, коли мета чітко позначена (перемогти ворога, узяти фортецю, усунути аварію і ін.), і навряд чи придатна для виконання складних проектів з великою тривалістю і значним числом учасників. [20, с. 43] Велике значення в задоволенні потреб мають стимули. Розповсюджена думка, що стимул – це винагорода. Це не зовсім правильно, оскільки слово походить від латинського буквально: загострена палиця, якою кололи звірів і гладіаторів на арені, примушуючи їх битися, і має протилежне значення – примушення. Тому правильніше говорити, що стимул – це спонукання до дії або причина поведінки людини. У сучасному понятті розрізняють чотири основні форми стимулів: 1) Примушення. Історія свідчить про широкий спектр форм примушення, починаючи із страти, тортур і фізичного покарання до позбавлення майна, громадянства і звання. У демократичному суспільстві на підприємствах використовуються адміністративні методи примушення: зауваження, перехід на іншу посаду, перенесення відпустки, догана, звільнення з роботи. 2) Матеріальне заохочення. Сюди відносяться стимули в матеріально-речовинній формі: заробітна плата і тарифні ставки, винагорода за результати, премії з доходу або прибутку, компенсації, путівки, кредити на покупку автомобіля або меблів, позики на будівництво житла і ін. 3) Моральне заохочення. Стимули, направлені на задоволення духовних і етичних потреб людини: подяки, почесні грамоти, дошки пошани, почесні звання, вчені ступені, дипломи, публікації в пресі, урядові нагороди і ін. 4) Самоствердження. Внутрішні рушійні сили людини, які спонукають її до досягнення поставленої мети без прямого зовнішнього заохочення. Наприклад, написання дисертації, публікація книги, авторський винахід, будівництво міста, зйомка фільму, здобування другої вищої освіти і ін. Це самий сильний стимул, але він проявляється у самих розвинутих членів суспільства. Примушення було одним з перших засобів зацікавленості людей у здійснені певних дій. Цей метод мотивації дуже поширений і в наші дні. Погрожуючи відповідальністю за вчинення правопорушення, керівництво компанії намагається примусити співробітників виконувати правила ПІБ. Не надаючи співробітникові потрібних для цього ресурсів та знань, керівництво ставить перед співробітником мету і погрожує покаранням. Такий спосіб не є надійним, бо якщо співробітник буде виконувати правила лише при погрозі покарання, від зрадить компанію при першій нагоді, коли відчує, що зможе цього покарання уникнути. Також він може бути просто неспроможним виконати цю роботу через відсутність потрібних ресурсів, знань чи дуже великого об’єму роботу для однієї людини. Нажаль, випадки, коли співробітник не справляється з поставленими перед ним задачами через вищенаведені причини, дуже розповсюджені. І відповідальність в таких випадках повністю перекладається на співробітника, що не виконав завдання, хоча повинна б була розподілитися і на керівництво, що не створило йому певних для цього умов. Тож примушення ніколи не потрібно використовувати як єдиний спосіб вплинути на людини, бо єдиною її метою буде тоді уникнення покарання, і аж ніяк забезпечення ПІБ. Можна виділити три основні типи мотивації працівників : 1) працівники, орієнтовані переважно на змістовність і громадську значущість праці; 2) працівники, орієнтовані здебільшого на оплату праці та інші матеріальні цінності; 3) працівники, у яких значущість різних цінностей збалансована. З цього виходить, що, наприклад, створення робочих місць із складнішими завданнями і великою відповідальністю має позитивний мотиваційний ефект для багатьох працівників, але зовсім не для усіх. Керівник завжди повинен мати на увазі елемент випадковості. Можна привести і іншу класифікацію типів мотивації працівників: – «Інструменталіст». Мотивація такого працівника орієнтована на голий заробіток, бажано готівкою і негайно. Він індиферентний до форми власності, працедавця, інших заохочень. По професії до таких мотиваційних типів відносяться вантажники, зокрема портові, водії таксі і інші люди, що займаються приватним візництвом. – «Професіонал». Працівник такого типу вважає найважливішою умовою діяльності реалізацію своїх професійних здібностей, знань і можливостей. До цієї професійної групи відносяться люди, що займаються творчістю в різних проявах. Це і програмісти, і учені, і музиканти (композитори), і художники. Хоча серед двох останніх категорій часто зустрічаються люди, орієнтовані в своїй діяльності на успіх і визнання тих оточуючих. Але багато справжніх творців створюють заради самого процесу творчості незалежно від зовнішньої реалізації своїх творінь. Для них досягненням є саме позитивне рішення творчої задачі, що стоїть перед ними. – «Патріот». Основа його мотивації до праці – високі ідейні і людські цінності. Це люди, метою діяльності яких є принесення людям добра і гуманізму. За радянських часів таких людей було досить багато в будь-якій сфері діяльності. Зараз їх значно менше, це вчителі шкіл і викладачі вузів, керівники дитячих кружків, лікарі, що працюють в системі державної охорони здоров'я, військові. Тобто всі ті, хто працює ради тієї справи, якою він займається, оскільки вважає її необхідною людям, не дивлячись на те що при цьому вони отримують від держави і суспільства дуже скромну матеріальну винагороду. – «Господар». Мотивація такого типу заснована на досягненні і примноженні багатства, власності. Потреби таких працівників практично не обмежені. Це клас підприємців, тобто людей, які йдуть на ризик заради того, щоб виграти і збільшити власне багатство, при цьому даючи реальну користь суспільству шляхом створення нових продуктів і надання додаткових робочих місць, хоча на відміну від попереднього типа працівників вони думають в першу чергу не про благо суспільства, а про своє власне благополуччя. – «Люмпен». Такий працівник віддає перевагу збалансованому розподілу матеріальних благ. Його постійно переслідують відчуття заздрості і незадоволення порядком розподілу благ в суспільстві. Він не любить відповідальності, індивідуальних форм праці і розподілу. Для мотивації немає якогось одного кращого способу. Те, що ефективно для мотивації одних людей, виявляється абсолютно неважливим для інших. В нашому суспільстві на першому місці серед заходів мотивації стоїть матеріальне заохочення. Керівники, які намагаються зацікавити своїх співробітників, в першу чергу роблять це саме через матеріальне заохочення. Більшість роботодавців на цьому і зупиняються. Але, потрібно хоча б ознайомити персонал з існуючими загрозами. Персоналу потрібно роз’яснювати, для чого існують ті правила, які вони повинні виконувати.
