Интернет – взгляд на психологию пользователей и безопасность в организации

Интернет – взгляд на психологию пользователей и безопасность в организации

XXI-й век. Локальные конфликты, пробки и повышение цен на бензин. Люди вольно или невольно получают и обрабатывают огромные  информационные потоки.

Три стандарта сотовой сети, локальная сеть. В кармане – компьютер. Дома – компьютер. На работе – два компьютера. Холодильник «подписался» на рассылку рецептов, стиральная машинка «шлет е-мейлы», что она скучает. Почта корпоративная, личная на веб-сервисах, короткие сообщения, социальные сети, Twitter, торренты и файлообменные системы. Информацию теперь мы находим в Интернете. Телевизоры транслируют YouTube и IPTV. В целом, ничего плохого не произошло. Просто значительно ускорились процессы обмена и распространения информации: то, на что раньше уходила неделя, сейчас занимает час, и к этому уже все привыкли.

Это удобно и быстро, потому что позволяет нам лучше делать свое дело и  поддерживать отношения с нужными людьми. Общество получило возможность жить «двойной» жизнью – в реальном мире и в Интернете.

Интернет как часть нашей жизни

Компаний, которые не используют «глобальную паутину», уже практически не найти. Сети позволили нам значительно ускорить обмен информацией и повлияли на целый комплекс условий человеческого существования.  В наши дни распространение информации ничего не стоит. В результате мы отказываемся от «ненужных» нам СМИ. Это не означает, что газет и журналов больше не существует – теперь мы сами можем выбрать те из них, которые прямо сейчас нам больше подходят. Выбор поведения в информационном пространстве – наша личная ответственность. Мы получили возможность практически бесплатно обмениваться информацией и огромное количество способов реализаций такого рода обмена.

Интернет как территория столкновения интересов работника и работодателя

Несмотря на развитие современных ИТ-технологий, большинство из нас, все же, работает в офисе, а не из дома. Для огромного количества людей постоянная работа в коммерческой или государственной организации – основной источник дохода. Компании населяют сеть, используя возможности коммуникации для ведения бизнеса. И в этом постоянном движении более прибыльным является тот, у кого работа организована лучше, чем у конкурентов. Реализацией всех процессов занимаются люди. Следовательно, больший доход получит та организация, в которой работают более эффективные сотрудники.

Пример 1. Мы «работаем».

Представьте себе такой диалог:

– Ты где сейчас работаешь?

– В компании Х. Отличная компания. Платят неплохо. Хороший коллектив в департаменте. Весь день на «Одноклассниках» и в «Мамбе» сидим.

– А вам в компанию специалисты с моим опытом не нужны?

– Конечно, нужны! Руководство говорит, что людей не хватает. А наша кадровая служба даже объявила бонус тем сотрудникам, которые приведут кандидата, и он пройдет испытательный срок.

Контроль эффективности работы ложится во многом на самого работника, а не на его начальника. Степень участия в процессе производства начинает определять сам сотрудник: что ему прямо сейчас милее – «потрепаться» в социальной сети или сводить сложную таблицу в Excel в очередной раз?

В результате мы можем сформулировать конфликт следующего характера: работодателю невыгодно ограничивать сотрудника в средствах коммуникации. Да и полностью решить эту проблему он не может, так как кроме корпоративной сети есть еще варианты онлайн-общения. Но и оставлять рабочее время без контроля работодатель не хочет. Его желание состоит в том, чтобы работники компании действовали для благополучия его бизнеса.

Как сохранить компанию эффективной?

Компании невыгодно блокирование популярных ресурсов – всегда найдется способ обойти запреты. Невыгодно также тратить силы на «преследование» нарушителей: если люди еще работают, это означает, что они полезны. Несмотря на это, оставлять средства коммуникации без контроля – очень рискованно. Информация стоит дорого, и ее необходимо беречь.

Для иллюстрации последствий бесконтрольного использования средств коммуникации в примерах описаны ситуации, с которыми нам приходится сталкиваться в последние два года.

Несут ли компании убытки в случае реализации описанных сценариев? Бесспорно, несут. В первом сценарии убытки состоят в  расходах на бездельников и новых сотрудников, набираемых на дополнительно открытые вакансии. Последствия второго – большое число  необеспеченных кредитов, которые могут быть выданы банком, потеря дохода из-за действий конкурентов, которые сделали грамотные выводы на основании внутреннего документа и скорректировали свои кредитные продукты.

Руководство организаций серьезно озабочено подобным положением вещей. Для того, чтобы защитить себя от рисков, связанных с Интернетом, они пытаются применить модели из реальной жизни. Компании создают «правила игры»: формируют политики информационной безопасности, используют технические средства реализации этих политик – межсетевые экраны, системы фильтрации, системы контроля доступа и т.д. К самим средствам мониторинга и контроля постоянно предъявляются все новые требования. Теперь, чтобы адекватно контролировать действия пользователей, система должна иметь возможность  интерпретировать HTTP-поток, уметь «вычленять» оттуда различные протоколы, реализованные «поверх» него и раcпознавать Web/2.0-приложения, такие как почтовые сервисы, форумы, социальные сети («Одноклассники», Livejournal, «В Контакте» и др.).

Существующие на рынке технические средства позволяют компании выполнять мониторинг различных по составу и объему потоков информации и, на основании проведенного анализа, закрывать доступ на определенные ресурсы или предоставлять доступ по расписанию, обеспечивать фильтрацию передаваемого контента.

«Бездумное» ограничение свободы часто приводит к обратному результату: сотрудник или теряет возможность качественно исполнять свои должностные обязанности, или находит способ обойти созданное препятствие. Высока вероятность, что для «черного входа» он будет пытаться использовать новейшие технические достижения, средства контроля которых в настоящий момент компания еще не внедрила.

Шаги к успеху

По моему опыту, значительная часть нарушений при работе с использованием Интернета происходит скорее по невнимательности или случайно, чем по злому умыслу. Положительный эффект в данном случае дает активная позиция службы информационной безопасности и руководства компании в области повышения знаний сотрудников в части ИБ.

Я считаю, что в сложившихся обстоятельствах руководство компаний может сделать следующие эффективные шаги:

  1. разработать и держать в актуальном состоянии политику информационной безопасности компании. Политика должна быть описана простым языком. Основные ее положения необходимо рассказывать новым сотрудникам на первом же инструктаже;
  2. внедрить средства, действительно реализующие эту политику. Не можете позволить себе некоторые средства контроля – уберите соответствующие пункты из политики;
  3. информировать сотрудников о том, что практически все действия в корпоративной сети могут контролироваться. Следует определить и явно озвучить правила и ответственность за их нарушение;
  4. скорректировать схемы мотивации персонала.

 

Пример 2. Мы «общаемся»

 

 

Фрагмент конфиденциального документа банка Y опубликован на Facebook. Опубликованный документ – схема и ее описание, объясняющие внутренние правила  предоставления кредитов физическим лицам.

О наличии должностных инструкций, регулярной оценке сотрудников, своевременной индексации оклада, социальном пакете и т.д. упоминать не буду – эта работа проводится в большом числе компаний. Эффективным может быть введение нормативов на выполнение определенных типовых операций. В этом случае персонал мотивирован на то, чтобы контролировать свою загрузку в рабочее время.

Желая предупредить возможные возражения насчет описанных выше рекомендаций, я хотел бы отметить, что не понаслышке знаю о дефиците квалифицированных кадров на рынке труда, о «космических» ценах за найм персонала, о «хантинге» через социальные сети. Прошу вас задуматься над следующей мыслью – для удержания своей позиции на рынке компания должна идти вперед; для выхода на новые рынки и получения новых клиентов компания вынуждена «бежать командный кросс». Результат засчитывают по последнему участнику, пересекшему финиш.

Если ваша команда неэффективна, вы не победите.

Небольшой пример в заключение – все сотрудники компаний Кремниевой долины подписывают соглашение о неразглашении. Многие из них переходят на сторону конкурентов, а также открывают свой бизнес на основе идей, наработанных в прежней компании. На них никто не показывает пальцем. Топ-менеджмент понимает, что люди, вовлеченные в новый бизнес, тоже будут доступны на рынке труда. И через некоторое время появится шанс нанять неплохие головы с нужным опытом для достижения успеха.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru