Безопасность персонала

Существует тенденция сосредоточиться исключительно на мерах безопасности при трудоустройстве персонала и пренебрегать непрерывным обеспечением безопасности. Для обеспечения принципа непрерывности безопасности необходимо учитывать следующие параметры :

  • Выявление изменений.
  • Контроль доступа.
  • Безопасность проходов и права доступа.
  • Практика управления.
  • Манипуляция.
  • Защитные мониторинги.
  • Расследование.

Выявление изменений

Все сотрудники являются потенциально уязвимыми к обстоятельствам, которые могут существенно изменяться. Эти обстоятельства находятся в диапазоне от стрессовых личных кризисов до преднамеренных и вредоносных угроз от третьих лиц. Обстоятельства, приводящие к уязвимости персонала могут быть очень тонкими и трудно распознаваемыми, могут включать в себя финансовые трудности, давление со стороны знакомых и семьи, или ощущение несправедливости на работе.

Кадровые службы и линейные менеджеры должны продолжать оценивать своих сотрудников и после их назначения. Это необходимо для выявления любого меняющегося или подозрительного поведения, которое может указывать на потенциального инсайдера. Возможные признаки включают в себя:

  • применение наркотиков или злоупотребление алкоголем;
  • выражения поддержки экстремистских взглядов, действий или инцидентов;
  • внезапное или резкое изменение религиозной, политической или социальной принадлежности;
  • необъяснимые изменения в образе жизни;
  • внезапные изменения в расходах;
  • внезапная потеря интереса к работе, или чрезмерная реакция на изменение карьеры, или разочарование в ней;
  • признаки стресса, такие как излишне эмоциональное поведение;
  • изменения в условия работы, например, работа в одиночестве или в нерабочее время, работа в выходные и праздничные дни;
  • необычайный интерес к мерам безопасности или к работам за пределами компетенции сотрудника;
  • частые необъяснимые отлучки;
  • повторяющееся несоблюдение принятых процедур безопасности.

Это не исчерпывающий список. Отдельные случаи могут иметь уникальные особенности. Важно отметить, что некоторые из этих признаков могут быть результатом плохого здоровья, и вы должны учитывать это при рассмотрении конкретной ситуации.

Целесообразно проводить регулярные оценки безопасности, возможно, раз в год. Сотрудники могут быть проинформированы по поводу проведения периодических проверок, таких как личностные тесты или проверка отчетов, а так же интервью, на которых анализируются приведенные выше факторы риска.

Если у вас есть сомнения по поводу существующего персонала, вы можете провести дополнительную проверку. Проверка будет менее значимой для сотрудников работающих в организации длительное время, особенно если в компании проводятся регулярные проверки безопасности (например, ежегодные оценки безопасности), но вы должны уделить особенное внимание проверке сотрудников продвигающихся по служебной лестнице - особенно, если речь идет о значительном увеличении их доступа к конфиденциальной информации , системам или сайтам компании.

Контроль доступа

В организации должен быть документ четко описывающий политику в отношении контроля доступа. Одним из последствий такой политики должны стать ограничение доступа к активам организации в соответствии с требованиями должностей сотрудников. Таким образом, сотрудникам выдаются только доступ к информации или системам, которые необходимы для выполнения их непосредственной работы.

Безопасность проходов и права доступа

Ношение пропусков для всех сотрудников позволяет службе безопасности быстро определять кто должен быть в здании, а кто не должен. В идеале на пропуске должна быть размещена фотография владельца, но не указана компания или здание, к которому пропуск дает доступ.

Различие цвета или стиля пропусков позволяет службе безопасности определять уровень доступа сотрудника или посетителя и быстро вычислять сотрудников или посетителей, зашедших в области, к которой они не имеют законного доступа.. Физический контроль может быть использован для ограничения доступа к особо значимым территориям.

При выдаче пропусков, для контроля и анализа их использования, важно определять срок их действия и фиксировать когда владелец лишается доступа к определенным зонам или в целом не может им воспользоваться.

Практика управления

Когда сотрудники понимают, что процедуры безопасности введены, чтобы защитить их от преступной деятельности, включая терроризм, снижается вероятность, что они будут рассматривать требования службы безопасности как нежелательные или навязчивые. Целью является создание эффективной культуры безопасности, в которой риски понимаются, меры безопасности явно пропорциональны этим рискам, и сотрудники играют активную роль в поддержке этих мер. Достижение этой цели требует принятия стратегии общения по вопросам безопасности с персоналом для вовлечения их в реализацию системы безопасности.

Выявление недовольства на рабочем месте должно рассматриваться как важный аспект безопасности, хотя этим вопросом, как правило, занимается служба по работе с персоналом. Все сотрудники должны знать, как и кому они могут сообщить о проблемах на рабочем месте, при этом важно предоставить сотрудникам возможность передачи конфиденциальных сообщений.

Манипуляция

Защита информации организации является обязанностью всех сотрудников, и, чтобы она была полностью эффективна требуется подготовка по вопросам безопасности всех сотрудников.

В организациях могут быть попытки преднамеренного получения информации посредством манипулирования сотрудниками с помощью ряда методов воздействия.

Это иногда называют «социальной инженерией» - создание ситуации, в которой кто-то охотно предоставляют доступ к информации лицам несанкционированным на ее получение. Необходимо проводить работу с сотрудниками наиболее уязвимыми для таких атак.

Эти методы часто очень простые, используют такие человеческие качества как желание принести пользу или помочь коллеге, но они могут быть использованы с разрушительным эффектом. Злоумышленники могут получать информацию по частям в течение определенного периода времени, прося мелкие услуги или получая информацию через казалось бы, невинный разговор.

Нападающие, как правило, хорошо готовятся, узнают заранее о структуре компании и о принятой форме общения. Они могут нападать на нового сотрудника или представителя службы доставки. Они могут отправлять письма с вложениями, содержащими вредоносный код или делать вид, что потеряли пароль от своего компьютера.

Методы защиты от такого рода атак включают следующее:

  • обеспечение специальной подготовки сотрудников по выявлению манипулятивных попыток;
  • предупреждение всех сотрудников о внимательном отношении к запросам на получение информации с ограниченным доступом;
  • подготовить сотрудников к возможным атакам, включающим в себя требования предоставить закрытую информацию в спешке, с запугиванием, с подчеркиванием власти или отказом дать контактную информацию.

Защитный мониторинг

ИТ-системы должны быть защищены с помощью механизмов контроля, которые предупреждают администратора несанкционированном доступе. Например, системы будут автоматически обнаруживать необычные схемы поиска информации, или отслеживать включение конфиденциальной информации во внешние сообщения электронной почты. Работники должны быть осведомлены о характере, масштабах и причинах любого контроля, только в исключительных случаях оправдан скрытой мониторинг. Следующие пункты являются особенно важными:

  • Необходимо иметь четкое представление о целях защитного мониторинга.
  • Убедитесь, что мониторинг сосредоточен конкретно на людях и проблемах, которые вы пытаетесь решить.
  • Выбор формы контроля наиболее приемлемый для ваших сотрудников. Если мониторинг используются для соблюдения правил и норм, убедитесь, что сотрудники знают о них.
  • Информация, собранная в ходе мониторинга должна быть надежно защищена; некачественная обработка такой информации может серьезно повредить доверию и психологическому контракту между работодателями и работниками.
  • Четко доводите цели мониторинга до сотрудников, убедитесь, что они понимают необходимость мониторинга, и что собранная информация надежно удерживается.

Расследование

Случаи несоблюдения правил безопасности должны быть расследованы. Расследование варьируется в зависимости от личности, совершившей нарушение правил безопасности. Если личность не известна, то необходима тщательная работа со свидетелями нарушения.

Расследование включает в себя сбор информации, в некоторых случаях посредством интервью и компьютерной экспертизы, и последующий анализ доказательств. Важными принципами, которые необходимо учитывать при проведении расследования, являются:

  • Многие, если не большинство, нарушений имеют простое объяснение.
  • Где это возможно, сотруднику должна быть предоставлена возможность объяснить свои действия.
  • Этот вопрос должен решаться оперативно.
  • При любых признаках уголовного преступления необходимо сообщить в правоохранительные органы.
  • При расследовании необходимо обращать внимание на сбор доказательств, которые могут быть представлены в суде.

По данным сайта http://www.cpni.gov.uk

 Top