Четыре группы самых опасных сотрудников
По вине которых происходит утечка конфиденциальных данных
Более половины компаний обеспокоены непреднамеренными случаями утечки конфиденциальных данных, произошедшими по вине сотрудников, говорит отчет Cybersecurity Insiders за 2018 г. Отправили документ на чужой адрес по ошибке, рассказали о маркетинговых планах по дружбе, случайно перешли по ссылке на фишинговом сайте – такая ненамеренная ошибка может привести к серьезным последствиям. Случайные инциденты особенно опасны тем, что спрогнозировать их почти невозможно. Но это если не знать, от кого ждать подвоха. Какие же сотрудники входят в группу с повышенным риском нарушений?
1. Потенциальные жертвы шантажа. Игроки, должники, люди с зависимостями входят в эту группу. Они часто становятся жертвами шантажа. Если кто-то окажет давление, они предпочтут пойти на преступление, чтобы сохранить личные секреты. Опаснее всего, если шантажу подвергается топ-менеджер. Реальный пример: транспортная компания начала систематически терять крупные заказы на этапе подписания договоров. Служба безопасности стала проверять вероятность слива информации конкурентам. Специалисты заметили, что один из наемных топ-менеджеров резко изменил поведение. Оказалось, что у него завязался роман с одной из сотрудниц. Служба безопасности предположила, что топ-менеджера этим шантажировали конкуренты. Руководителю была предоставлена заведомо ложная информация об условиях предстоящей сделки – и конкуренты действительно воспользовались этими данными.
2. Коллеги сотрудников, уволившихся со скандалом. Сотрудники, которые покинули компанию со скандалом или ушли к конкурентам, часто пытаются выяснить конфиденциальную информацию через бывших коллег. Торговая компания, в которой стояла IT-система контроля утечек информации (DLP) обнаружила, что один из сотрудников обсуждал по скайпу планы развития компании. Аккаунт собеседника принадлежал бывшему менеджеру по продажам, который ушел к конкуренту, но продолжал поддерживать тесные отношения с некоторыми коллегами. Бывший сотрудник пытался понемногу вытягивать информацию: узнавать об изменениях в политике компании и планах на будущее. Службе безопасности пришлось провести в компании профилактические беседы о неразглашении информации «по дружбе».
3. Неформальные лидеры – скептики. Позитивно настроенный неформальный лидер благотворно влияет на атмосферу в коллективе. Но если он настроен негативно, это имеет разрушительный эффект. Особенно опасно влияние такого лидера во время реорганизации бизнес-процессов. Компания рискует столкнуться с демотивацией коллектива и даже потерей ценных сотрудников. Реальный пример: сервисная компания изменила оргструктуру, часть офисов укрупнялась, часть – закрывалась. Персонал был предупрежден о грядущих переменах, но руководство упустило из виду неформального лидера, который открыто выражал недовольство, сомневался в успехе реформ и финансовой стабильности компании. Коллектив прислушивался к нему, беспокойство нарастало. Некоторые сотрудники потеряли вкус к работе, часть поговаривала о поиске новой работы. Руководству пришлось проводить встречи, подробно объяснять цели изменений и ближайшие планы, развеивать опасения сотрудников.
4. Нелояльные сотрудники. Для них корпоративные ценности – пустой звук. Они не беспокоятся о репутации компании, пренебрегают выполнением внутренних регламентов, пропускают мимо ушей любые предупреждения об угрозах безопасности. Такой сотрудник, разозлившись, без раздумий наследит в соцсетях или на форумах. Реальный пример: сотрудник производственной компании был возмущен системой оплаты труда. Обращаться к руководству с вопросами и предложениями он не стал, решив поделиться наболевшим на сайтах с отзывами о работодателях. Там он пожаловался на зарплату, некомпетентное руководство и плохо работающих коллег. Отзыв был полон эмоций, факты были перемешаны с домыслами. Самое неприятное – в пылу сотрудник выдал немало корпоративных секретов.
Группы потенциальных нарушений выявлены. Что делать с этим знанием? Защита от внутренних угроз информационной безопасности – это работа по многим направлениям.
– Прежде всего, нужно защищать данные – это типовая задача для службы безопасности. Если в компании принят регламент обращения с информацией, применяются наказания за нарушения и внедрены IT-системы контроля за утечками данных, сознательность потенциальных нарушителей возрастает многократно.
– Защита предполагает также анализ поведения сотрудников. Это более сложная задача, касающаяся не только утечек информации, но и кадровых рисков. Поэтому решать ее должны несколько подразделений. Служба безопасности сигнализирует, когда работник ведет переговоры с бывшими сотрудниками или конкурентами, злословит в интернете или создает группу неформальной оппозиции руководству. А служба персонала и администрация на основе полученной информации уже принимают конкретные управленческие меры. Такой подход снизит риск утечки данных по вине сотрудников в разы.