Не только хакеры: «человеческий фактор» и его роль для безопасности компании

618ebc24aa368106895f5868efc899fb.jpg
В Консалтинговой группе BI TO BE работают консультанты и тренеры, чей уровень квалификации в сочетании с уникальными компетенциями, делает их особенно востребованными в наши дни.

Так, наш эксперт Татьяна Валентиновна Тулупьева вошла в топ-100 самых цитируемых российских исследователей по данным РИНЦ, которые работают в сфере кибернетики (№34). Однако, к сожалению, еще немногие потенциальные заказчики понимают, сколь важным и перспективным направлением для бизнеса занимается этот консультант и бизнес-тренер.

Вот уже несколько лет как в центре внимания нашего эксперта – риски, связанные с социальными воздействиями извне. «Природа человеческой уязвимости и знание злоумышленником методов социального воздействия могут привести к тому, что у заинтересованных лиц появится доступ к важной информации организации. Задача отделов по работе с персоналом или служб безопасности организаций - учесть особенности сотрудников и правильно выстроить профилактическую работу, чтобы предотвратить нарушение конфиденциальности информации», - говорится в описании к одной из множества научных статей консультанта BI TO BE Татьяны Тулупьевой.

Информационная безопасность стала одним из самых актуальных трендов, но оценка рисков – серьезный вызов для компании. Поэтому огромная проблема, связанная с обеспечением безопасности, стала дробиться на небольшие подзадачи. Дается оценка интенсивности поведения в условиях информационного дефицита, анализируется уровень защищенности информационных систем в контексте социоинженерных атак, изучается рискованное поведение, уязвимость пользователя и его психологические особенности.

«Специалисты научились бороться со злоумышленниками, которые атакуют информационные системы извне, то есть применяющими хакерские методы. Но данные методы защиты информации оказываются совершенно неэффективными, если угроза безопасности находится внутри самой информационной системы и исходит от сотрудников, которые пользуются ресурсами данной системы. При реализации такой угрозы принято говорить о «человеческом факторе», которым умело пользуются преступники нового поколения, так называемые социоинженеры. Согласно В.Бычеку и Е.Ершовой, четверть внешних угроз информационной безопасности, по мнению респондентов, составляют приемы социальной инженерии. (...) В Российской Федерации в силу сложившихся традиций данному аспекту безопасности уделяется слишком мало внимания. Этому способствует, в частности, уверенность ряда ответственных за безопасность сотрудников, что любая утечка информации вызвана лишь несовершенством технической составляющей системы безопасности. Актуальность данной проблемы обусловлена еще и тем, что российские компании выходят на международный рынок, а это значит, что им придется столкнуться с теми проблемами, которые существуют в мировом масштабе; при этом необходимо обратить внимание на них сейчас, а не после понесенных убытков», - читаем мы в статье «Анализ уровня защищенности информационных систем в контексте социоинженерных атак: постановка проблемы» на Общероссийском математическом портале.

Избавиться совсем от рисков, связанных с человеческим фактором – невозможно, люди – не машины, но свести их к минимуму – можно вполне. Потери, которые ежегодно подсчитывают компании из-за утечек информации, исчисляются миллионами – от годами нарабатываемой клиентской базы до сугубо конфиденциальных документов, касающихся новых проектов и стратегий конкуренции. Внешне «надежный человек» в кризисной ситуации проявляет совсем иные качества, а в проектном управлении это приводит к необратимым катастрофическим последствиям.

Проведение оценки персонала или мероприятия по командообразованию с учетом факторов рискованного поведения могло бы дать руководству компании весьма полезные данные, а обучение топ-менеджмента, ответственного за персонал, выявлению признаков ненадежности сотрудников должно стать обязательным условием подготовки и развития.