Особенности работы с IT-персоналом
- создать условия, при которых работнику будет невыгодно осуществлять действия, наносящие ущерб компании и ее руководству (эти условия должны включать целую систему мер по моральному и материальному стимулированию, заинтересованности в результатах труда, формированию престижности работы именно в этой компании, заботе о внешнем и внутреннем имидже компании;
- постоянно заботиться о формировании и поддержании оптимального социально-психологического климата в коллективе, создании корпоративной культуры (в описание корпоративной культуры могут быть внесены пункты, прямо определяющие поведение сотрудников при столкновении с конкурентами;
- организационно исключить соблазн возможности противоправных действий;
По статистике, 10 % сотрудников ни при каких ситуациях не будут совершать противоправные действия, 10% будут их совершать всегда, а 80 % совершают правонарушения при наличии возможностей. Цель кадровой политики заключается в устранении возможности совершения противоправных действий для этих 80 %.
- при построении системы безопасности учитывать: чем сильнее она связывается с человеческим фактором, тем слабее она становится.
- в случае, если возникает проблема ценного кадра, то есть возникает группа сотрудников, которых сложно заменить в случае их увольнения по причине специфических многопрофильных задач, которые они решают (например, на производстве один и тот же сотрудник и работает на станке и его ремонтирует), можно порекомендовать разбить их функциональные обязанности на части, которые будут решать разные сотрудники (одни работают на станках, другие их ремонтируют);
- обратить особое внимание на сотрудников, наиболее подверженных вербовке (секретари, системные администраторы и иные сотрудники которые знают коммерческие секреты или могут их узнать);
- осуществлять защиту от хендхантеров (охотниками за головами). Эта защита, как правило, заключается в мотивации персонала, ограничении распространения информации о наиболее квалифицированных сотрудниках, установлении обязательств, по которым сотрудники обязаны компании (например, выдача кредитов), заключение договоренностей с конкурирующими компаниями и компаниями, занимающимися хендхантингом и т.д.;
- помнить, что лучший принцип кадровой политики - это принцип кнута и пряника; в организации, где персонал заинтересован в прибыли компании, вопросы безопасности решаются гораздо проще;
- максимально использовать систему мотивации для эффективной работы с персоналом (желательно создать базу данных, где напротив каждой фамилии сотрудника компании должны быть проставлены мотивы, почему этот человек работает в данной компании, а не у конкурента -чем больше мотивов, тем дольше и качественнее сотрудник проработает в компании);
- заключить договор о сохранении коммерческой тайны сотрудником компании;
- напоминать работникам о необходимости соблюдения определенных правил поведения с возобновлением соответствующей подписки;
- ввести четкое разграничение полномочий между сотрудниками компании с целью исключения конфликтов, связанных с пересечением сфер производственных отношений, полномочий, подчиненности и т.д.;
- предупреждать ситуации, при которых работник или близкие ему люди могут оказаться в безвыходном критическом положении при возникновении острых жизненных проблем; профилактика таких ситуаций (в частности, долгов, материальных затруднений) должна осуществляться путем кредитования работников, создания кассы взаимопомощи и др. -работники должны быть уверены, что в случае возникновения у них материальных или иных трудностей, компания придет к ним на помощь;
- ознакомить сотрудников с правилами и процедурами работы с конфиденциальной информацией в компании под роспись, создать необходимые инструкции, в том числе должностные;
- разработать и внедрить программы обучения сотрудников психологически грамотным действиям во внештатной ситуации (пожар, стихийное бедствие, внеплановые проверки правоохранительных органов и др.);
- применять организационные меры, способствующие сохранению коммерческой тайны (пример типового положения о коммерческой тайне - в Приложении) Каждый работник должен владеть только той информацией, которая необходима ему для качественного и успешного выполнения своих обязанностей (и не больше). Проявление интереса к сведениям, выходящим за рамки служебной компетенции, не должно оставаться без внимания коллег. О них следует немедленно информировать СБ и руководство компании;
- ни один сотрудник компании не должен обладать всей полнотой полномочий для бесконтрольного создания, авторизации, уничтожения и изменения информации, а также проведения операций по изменению состояния защищенности компании;
Отдельно стоит сказать об использовании таких методов, как создание сети осведомителей, проверка личных почтовых ящиков, прослушивание телефонов. Несмотря на эффективность" подобных методов, когда служба безопасности владеет всей полнотой информации и имеет все возможные способы воздействия на сотрудников, последствия их применения могут быть самыми плачевными. . Вербовка отдельных осведомителей порождает атмосферу взаимного недоверия подозрительности, а в такой обстановке невозможна слаженная и продуктивная работа команды сотрудников, Применение методов на грани закона (например, прослушивание сотовых телефонов) в случае предъявления претензий со стороны контролирующих органов может стать поводом для дополнительного расследования и источником серьезных проблем для компании.
Одной из наиболее острых и болезненных является проблема информирования начальства о проступках коллег. Она тесно связана с межкультурными различиями и спецификой корпоративных культур.
С точки зрения российского менталитета такие поступки обычно классифицируются как "стукачество" и доносительство: человек, замеченный в информировании начальства, моментально теряет уважение коллектива, ведь ему нельзя доверять, и он, вероятно, только и ждет того, чтобы представить коллег в невыгодном свете. С точки зрения западного менталитета все прагматично: тот, кто допустил, например, халатность, нанес ущерб компании, а это, в свою очередь, отразится и на твоих доходах, значит, в твои обязанности входит информирование руководства.
По вопросам, касающимся этики и межличностных коммуникаций, невозможно давать однозначные рекомендации, необходимо лишь отметить, что недопустима вербовка отдельных тайных осведомителей. В таком случае компания относится к своему сотруднику не как к личности, отвечающей за свои поступки, а как к потенциальному правонарушителю.
В целом же проблема информирования начальства допускает множество вариантов, определяемых конкретной корпоративной культурой, и здесь определяющее значение будет иметь то, насколько приемлемы лично для вас ценности и нормы данного коллектива.
Особенности работы с IT-персоналом
По роду работы IT -персонал знаком с системами IT-безопасности компании или сам за нее отвечает, поэтому у него может быть соблазн, используя свое служебное положение, украсть защищаемую информацию для дальнейшего ее использования в корыстных целях. Как можно этому противостоять?
1. Желательно, чтобы совмещение в одном лице функций администратора компьютерной сети и администратора информационной безопасности сети не происходило.
2 . Не поручайте сотрудникам IT-безопасности решать все вопросы по безопасности, оставляйте часть функций за пользователями (генерацию ключей шифрования и т.д.).
Кроме того, наиболее опасную информацию лучше хранить и носить с собой, например, на флеш-карте или съемном жестком диске.
Виды мошенничества на рабочем месте
Уровень 1. Мелкие разовые хищения. Люди склонны иногда совершать мелкие кражи, не объясняемые рациональными причинами.
Такие хищения не создают системы и не приносят заметных экономических убытков. В большинстве случаев они происходят без предварительной подготовки и продумывания: человек просто хватает то, что, по его мнению, плохо лежит.
Главное средство защиты от них не создавать соблазнов.
Уровень 2. Систематические хищения среднего размера: надбавка к зарплате. Этот уровень хищений отличается от первого тем, что совершается из экономических мотивов, носит систематический характер, продуман и обычно обеспечивается мерами безопасности. Расхищаются обычно незначительные (на фоне общего денежного потока) суммы: менее вероятно, что на них обратят внимание.
Такие хищения, в отличие от предыдущей группы, несут значительный ущерб для компании. Их опасность в том, что, хотя никто особо не афиширует своих подвигов, в коллективе вырабатывается негласное отношение к ним как к обыденности.
Менеджмент таких организаций, как правило, не повышает сотрудникам зарплату, поскольку считает, что те всё равно своё возьмут. Такая атмосфера быстро коррумпирует новых сотрудников. Важная психологическая особенность этого типа хищений отсутствие у ворующих чувства вины.
Если в организации или отдельных подразделениях сложилась такая атмосфера, то победить её полностью можно лишь уволив старый персонал и наняв новый. Попытки менеджмента бороться с такими хищениями путём налаживания системы учёта и контроля внедряются с большим трудом, зачастую вызывая возмущение у персонала, вплоть до увольнений.
Уровень 3. Внутреннее предпринимательство. Это наиболее опасный уровень злоупотреблений, возникающий там, где сотрудникам предоставляется возможность распоряжаться крупными суммами и самостоятельно принимать крупные финансовые решения.
Формально работая на компанию, такие люди создают на её основе внутренний частный бизнес. Как правило, данный уровень присутствует в коммерческих структурах, где отдельные наёмные работники {торгующий персонал) реально оперируют сделками на крупные суммы, лично общаются с клиентами, имеют доступ к наличным и получают возможность так или иначе присваивать часть этих сумм.
Главный способ вычисления внутреннего предпринимателя отслеживание его расходов. Как правило, они совершают покупки не по средствам: Явный признак внутреннего предпринимательства {а также зачастую средних хищений) закрытость отношений трейдера с клиентом.
Трейдеры пытаются под предлогом того, что клиент не будет работать ни с кем, кроме меня максимально ограничить информацию о сделке, вплоть до попыток скрыть имя получателя комиссии.
Прием и увольнение сотрудников
При приеме кандидата на работу о нем путем анкетирования, а также интервью с бывшими коллегами собирается следующая информация:
- адресные, анкетные и паспортные данные;
- суждения бывших сослуживцев и руководителей о его профессиональных и моральных качествах;
- психологические особенности личности;
- качество исполнения ранее заключаемых договоров с другими партнерами;
При приеме на особо ответственные должности, а также в случае служебных расследований, о сотрудниках может быть также собрана следующая информация:
- преступления и административные проступки, совершенные им в прошлом;
- судебные процессы по гражданским делам, в которых он выступал в качестве истца или ответчика;
- ранее взятые финансовые обязательства;
- участие в религиозных организациях;
- связь с оргпреступностью и криминалом;
- связь с конкурентами;
- аморальные проступки (пьянство, внебрачные связи, наркотики и т.д.);
- наличие и характер связей в бизнес-среде, деловых и политических кругах, лоббировании интересов и прочее;
- информация о человеческих слабостях (пагубные пристрастия, вредные привычки) и др.
Требования к начальнику СБ
При поиске начальника СБ придерживаются следующего:
- перед поиском кандидата определяется приоритет в работе создаваемой
СБ. Это может быть устранение угрозы со стороны конкурентов, борьба с мошенничеством персонала, противодействие криминалу, нейтрализация воздействия правоохранительных и контролирующих органов. В зависимости от выбранного приоритета осуществляется поиск начальника СБ, специализирующегося по данным вопросам;
- в большинстве случаев на первом месте стоит не вопрос профессионализма, а вопрос лояльности, так как в силу выполняемых функций начальнику СБ будет известно не просто все о компании, а все проблемные (тонкие) места в ее работе, весь негатив, а порой и очень многое о частной жизни руководства;
- кандидат должен уметь мыслить масштабно, знать работу всех направлений работы СБ хотя бы в общих чертах; знать, каковы цели и задачи этих направлений, а также что нужно сделать для решения этих задач - причем вполне конкретно: пошагово и с примерным перечнем затрат на то или иное мероприятие;
- поиск кандидата на должность начальника СБ желательно проводить по своим каналам, а не использовать ресурсы Интернета;
- не стремиться делать акцент на выходца из силовых структур, так как они являются профессионалами, но только в своей узкой специальности, кроме того, люди, долгое время проработавшие в спецслужбах, часто не способны эффективно работать в коммерческих структурах, так как не чувствуют защиту государства;
- кандидат на должность начальника СБ должен какое-то время проработать в коммерческих структурах, чтобы понять особенность работы в них.
Увольнение сотрудника, имевшего доступ к конфиденциальной информации
При увольнении сотрудника, имевшего доступ к конфиденциальной информации,
рекомендуется проводить следующие мероприятия:
- сделать резервную копию файлов пользователя;
- организовать передачу дел;
- выяснить причины увольнения;
- выяснить будущее место работы;
- выявить мотивацию сотрудника и его лояльность к компании;
- выявить объем известной ему информации (особенно конфиденциальной);
- установить возможные риски угрозы разглашения конфиденциальной информации и принять меры к их нейтрализации;
- поменять коды доступа, компьютерные пароли, ключи криптозащиты, которые были известны увольняющемуся сотруднику;
- проверить, чтобы увольняющийся сдал имеющиеся у него источники конфиденциальной информации;
- проанализировать деятельность подразделения, где работает увольняющийся сотрудник: не было ли пропаж или утери документов с коммерческой информацией, образцов готовой продукции, ключей от кабинетов и сейфов и иных предметов, носящих конфиденциальный характер;
- провести специальный инструктаж с увольняющимся сотрудником о сохранении конфиденциальной информации после увольнении;
- установить, с кем в коллективе увольняющийся сотрудник поддерживал приятельские или дружеские отношения. Эти работники должны пройти специальный инструктаж и находиться под контролем, так как через них возможна утечка информации или иные негативные действия против компании;
- провести беседу с персоналом, в ходе которой объяснить им причины увольнения их коллеги;
- оповестить всех сотрудников фирмы, а также партнеров, постоянных клиентов и иных лиц, с которыми поддерживаются тесные взаимоотношения, о том, что сотрудник уволен.
Использование полиграфа в работе СБ
В ряде иностранных и российских компаний получило распространение использование детектора лжи (полиграфа) при приеме персонала на работу, а также при проведении различных служебных расследований.
Для получения информации с помощью полиграфа необходимо получить от сотрудника письменное соглашение на тестирование; кроме того, существует немало способов обмануть полиграф, и препятствовать им может только высокопрофессиональный полиграфолог. Нельзя рассматривать информацию, полученную на полиграфе как единственное доказательство неблагонадежности работника, необходимо использовать и другие методы в комплексе.
Следует отметить, что использование детектора лжи рекомендуется лишь в том случае, когда отсутствуют другие способы проверки истинности имеющейся информации или когда такая проверка сопряжена с очень большими материальными затратами. Кроме того, запрещено применение полиграфа по отношению к лицам, регулярно употребляющим сильнодействующие аппараты, страдающим психическими заболеваниями и т. д.
Личная безопасность
Жизнь и здоровье собственников и топ-менеджеров компаний могут стать объектом посягательств со стороны преступных сообществ и других бизнесменов.
Обычно такие преступления совершаются с целью устранения конкурентов или получения выкупа. Обеспечение личной безопасности, это дело не только сотрудников охранных предприятий, но и самой потенциальной жертвы, так из осторожности не следует заводить подозрительных знакомств, распространять информацию о своих доходах и т. д. Личная безопасность это отдельная и специальная тема, нет смысла останавливаться на ней подробно.
Здесь уместно сделать лишь несколько замечаний.
Как и всякое серьезное преступление - покушение на жизнь и свободу серьезно готовится. Выделяют четыре этапа подготовки.
1 этап - Разведывательно-информационная подготовка.
2 этап - Техническая и материальная подготовка.
3 этап - Исполнение убийства или похищения.
4 этап - Зачистка преступления и сокрытие исполнителей теракта.
Общие меры по обеспечению личной безопасности.
1. Создание информационного вакуума вокруг объекта.
2. Разработка признаков готовящегося теракта и их постоянное отслеживание.
3. Обучение объекта мерам безопасности и их неукоснительному соблюдению.
4. Разработка безопасных маршрутов передвижения и их постоянное изменение.
5. Наблюдение за обстановкой по месту жительства и работы (2 точки, которые невозможно избежать при передвижении). Определение возможных секторов обстрела и их блокирование.
6. Постоянное изменение времени выезда и приезда домой и на работу.
7. Обучение ближайшего окружения вопросам безопасности: члены семьи, секретарь-референт, водитель, заместители.
8. Инженерно-техническая защита жилого и служебного помещений.
9. Научитесь фиксировать в памяти внешние признаки подозрительных лиц (словесный портрет).
10. Отработка сигналов опасности для передачи родственникам и знакомым при угрозе объекта.
11. Наличие номеров телефонов антитеррористических центров правоохранительных органов.
12. Легендирование мест объекта и наблюдение за обстановкой в этих местах.
13. Определение мест возможного совершения теракта.
14. Работа с корреспонденцией и личными посланиями, передаваемыми через курьеров.
Для защиты своей жизни, здоровья, имущества физические лица могут приобретать и применять оружие.
Правовыми основами приобретения и применения оружия являются Федеральный закон от 13 декабря 1996 г. Об оружии" и подзаконные акты, изданные органами государственной власти РФ.
В соответствии с законодательством РФ для приобретения оружия необходимо получить лицензию, выдаваемую органами внутренних дел. Срок действия лицензии на приобретение оружия - шесть месяцев со дня выдачи лицензии. Заявление о выдаче лицензии рассматривается указанными органами в течение одного месяца со дня его подачи.
Приобретенное оружие необходимо зарегистрировать на бланке лицензии в двухнедельный срок в органах внутренних дел по месту жительства.
Без лицензии приобретаются:
- механические распылители, аэрозольные и другие устройства, снаряженные слезоточивыми или раздражающими веществами;
- электрошоковые устройства и искровые разрядники;
- пневматическое оружие с дульной энергией не более 7,5 Дж и калибра до 4,5 мм включительно;
- конструктивно сходные с оружием изделия;
- пневматические винтовки, пистолеты и револьверы с дульной энергией не более 3 Дж;
- сигнальные пистолеты и револьверы калибра не более 6 мм и патроны к ним, которые по заключению МВД РФ не могут быть использованы в качестве огнестрельного и газового оружия.
Задание 4
Какое значение для деятельности Вашей организации имеют вопросы обеспечения кадровой безопасности? Есть ли проблемы в организации, связанные с угрозами, исходящими от сотрудников?
Задание 5
Приведите примеры нематериальной мотивации. Почему мотивация сотрудников напрямую связана с кадровой безопасностью?
Задание 6
Проранжируйте рекомендации по построению кадровой работы с точки зрения их первоочередности для обеспечения безопасности Вашей организации. Какие рекомендации следует отнести к наиболее актуальным?
Выберите группу рекомендаций, входящих в первую пятерку, применительно к Вашей организации.
Задание 7
Какие особенности необходимо иметь ввиду при подборе кандидата на должность начальника службы безопасности компании?
Задание 8
Перечислите, какие мероприятия наиболее важны при увольнении сотрудника, имевшего доступ к конфиденциальной информации?
Информационная безопасность и коммерческая тайна
Понятие информационной безопасности
Информационная безопасность компании - это состояние защищенности информационных ресурсов компании, которое достигается деятельностью руководства и СБ по защите информации.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- соблюдение конфиденциальности информации ограниченного доступа;
- реализацию права на доступ к информации.
Что НЕ может быть коммерческой тайной? (по законодательству РФ)
Федеральный закон О коммерческой тайне, принятый 29 июля 2004 года
определяет:
- что информация, представляющая КТ, должна быть зафиксирована на материальном носителе;
- что понимается под законным способом получения КТ (получение в результате исследований, систематических наблюдений, получение на основании договора и др.);
- сведения, которые не могут являться КТ.
Можно выделить несколько групп таких сведений:
- сведения, позволяющие идентифицировать юридическое лицо или индивидуального предпринимателя (учредительные документы, документы, подтверждающие запись о юридических лицах и индивидуальных предпринимателях в соответствующих государственных реестрах, документы, дающие право на осуществление предпринимательской деятельности (лицензии), список лиц, имеющих право действовать без доверенности от имени юридического лица);
- сведения, относящиеся к работникам и условиям труда в коммерческих и некоммерческих организациях (о численности и составе работников, наличии свободных рабочих мест, о системе оплаты труда, об условиях труда, в том числе об охране труда, о задолженности работодателей по выплате заработной платы и по иным социальным выплатам, о показателях производственного травматизма и профессиональной заболеваемости);
- сведения о некоммерческих организациях (о размерах и структуре доходов и расходов, размерах и составе имущества, об использовании безвозмездного труда граждан в деятельности некоммерческой организации);
- сведения о государственных и муниципальных унитарных предприятиях, государственных учреждениях (о составе имущества, об использовании ими средств соответствующих бюджетов (смета), об условиях конкурсов, аукционов по приватизации объектов государственной или муниципальной собственности);
- сведения, связанные с выполнением требований безопасности (о
загрязнении окружающей среды, о состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, о факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасность каждого гражданина и населения в целом (например, безопасность пищевых продуктов или лекарственных препаратов);
