Безопасность компании в повседневной деятельности
Поэтому необходимо добиваться от сотрудников понимания и четкой установки на совершенствование деловых качеств - аккуратности, пунктуальности, обязательности, методичности, дисциплинированности. В этом случае коллективу легче привить писаные и неписаные правила, которые непосредственно касаются защиты информации.
В большинстве западных компаний действует двухуровневая система внутренней без
опасности. Первый уровень обеспечивается штатной службой безопасности. Второй обеспечивают сами сотрудники. Взаимодействие службы безопасности с коллективом обеспечивают координаторы из числа сотрудников промежуточного уровня.
Эффективность такой схемы в наших условиях вполне реальна. Однако необходимо создать определенную "прослойку" имеющих одинаковые принципы и этические нормы людей. В том случае, если численность этой группы окажется достаточно большой, вновь прибывшие сотрудники окажутся под давлением общепринятых в коллективе взглядов. Часто моральный аспект проблемы внутрифирменного мошенничества, хищений и т.д. недооценивается. Но идеологической работой заниматься необходимо, так как идеологическое поле не терпит пустоты. Если в организации не уделяется внимание формированию системы ценностей, их место может занять стихийная, суррогатная система.
Если все знают, что путь документа можно проследить в любой момент времени, что постоянно ведется выборочный контроль деловой переписки, что при совместной работе с информацией четко определены права и обязанности, желание мошенничать быстро сходит на нет. Рекомендуется объяснить сотрудникам, что такого рода контроль преследует своей целью процветание и стабильность фирмы, предупреждение ошибок в работе, формирование "чувства локтя".
По возможности, следует построить профили сотрудников. Для психологического профиля это совокупность показателей, описывающих личностные качества, тип поведения, ценностные приоритеты. Также можно составить профиль работы в информационной системе (порядок работы с приложениями и сетевыми ресурсами, Интернетом). В том случае, если имеется информация о существенном изменении каких-либо параметров поведения сотрудника, есть смысл как минимум побеседовать с ним или обратить на этого человека пристальное внимание. Для того чтобы не возникало возмущения со стороны работников, рекомендуется в один из подписываемых документов вписать пункт с формулировкой, похожей на приведенную (пример взят из книги И. Конеева и А. Белова "Информационная безопасность предприятия"): "Средства вычислительной техники, объекты информационного пространства и сама информационная сеть, включая программное, сетевое, организационное, нормативное обеспечение, являются собственностью организации и переданы сотрудникам организации во временное пользование для выполнения служебных обязанностей".
Кроме того, в прошлом номере мы говорили, что сотрудник при приеме на работу должен дать подписку о том, что его личность может стать объектом внимания службы безопасности. Каждый руководитель должен сам определить для себя этичность и целесообразность таких действий по отношению к сотрудникам. В конце концов на практике можно столкнуться с таким же грамотным подчиненным, потеряв в результате его доверие в лице возможного союзника и сторонника.
Вполне реально создание системы мотивации, которая обеспечивает безопасное поведение персонала и содержит следующие принципы:
- доступность (в идеале заработать проще, чем украсть);
- ощутимость (премия не менее 20% от оклада; оклад больше наиболее вероятного ущерба от воровства);
- минимальный разрыв между результатом труда и стимулирующей выплатой по времени;
- создание "разности потенциалов" за счет баланса мер наказания и поощрения;
- сочетание различных мер воздействия.
По совершенно объективным причинам новичок слабо представляет себе специфику своей новой работы. Конечно, его ввели в курс дела, ознакомили с будущими обязанностями. Но это не значит, что он сориентировался в новой обстановке. Поэтому необходим краткий курс обучения, знакомящий нового сотрудника с компанией и приводящий его поведение к "общему стандарту". В адаптационный период сотрудник знакомится с режимом работы, конфиденциальной информацией в организации, правилами поведения в типовых ситуациях, стратегией компании. Информация об организации, структуре управления, логике движения информационных потоков, о моральном кодексе сотрудников, памятка об основных правилах могут выдаваться в виде буклета.
Безусловно, до этого момента необходимо подписать с сотрудником соглашение о неразглашении сведений, составляющих коммерческую тайну, так как сами процедуры конфиденциального делопроизводства могут быть включены в перечень сведений, составляющих коммерческую тайну. Каждый сотрудник должен быть ознакомлен с теми частями Положения о коммерческой тайне, которые касаются лично его. Также необходимо разъяснить сотруднику все его обязанности в отношении сохранения коммерческой тайны, ответить на его вопросы. В конечном итоге у сотрудника должно сформироваться благоприятное мнение о службе безопасности, понимание обоснованности определенных правил и заведенного порядка. Работник должен быть твердо уверен, что при соблюдении четко определенных разумных требований и правил ему лично ничего не грозит, что главной функцией службы безопасности является предупредительная, а не карательная функция.
Например, стоит объяснить ценность для организации находящегося у сотрудника документа. Напомните, что при передаче конфиденциального документа он обязан взять расписку у того сотрудника, которому передается информация, или перерегистрировать документ на другое имя у секретаря. Поясните, что если документ будет утерян или разглашен, то эти несколько неудобные меры помогут определить степень его виновности или невиновности в этом неприятном инциденте. Необходимо рассказать о важной воспитательной роли, которая отводится правилам работы с документами, о повышении общей культуры и организованности работы в результате принятия этих правил. И конечно, не стоит забывать старую пословицу: "Повторение - мать учения". Все инструктажи и тренинги необходимо периодически повторять, проверять знания сотрудников на предмет знания ими правил и регламентов деятельности организации.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Конеев И. Р., Беляев А. В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003.
2. Ильин А.И., Синица Л.М. Планирование на предприятии. Мн., 2002.
3. Котлер Ф. Основы маркетинга. М., 1991.
4. Методические рекомендации по планированию, учету и калькулированию себестоимости продукции на промышленных предприятиях Министерства промышленности / Под ред. Л.Г. Сивчик. Мн., 1998.
5. Основные положения по разработке и применению систем сетевого планирования и управления. М., 1967.
6. Практикум по курсу «Экономика предприятий» / Под ред. В.Я. Хрипача. Мн., 1997.
7. Липсиц И.В. Бизнес-план - основа успеха. М., 1994.