Как создать программу по профилактике злонамеренных действий

Иногда всего лишь один случай может превратить благонадежного сотрудника в угрозу для компании.

По мнению Ника Кавалансии, учредителя премии Microsoft Most Valuable Professional, за злым умыслом всегда стоят намерения. Чтобы их выявить, необходимо создать программу по профилактике злонамеренных действий. Когда есть понимание, какой путь проходит сотрудник от «звезды компании» до потенциального нарушителя, такая программа имеет все шансы на успех.

Что понимать под намерением?

Весь процесс найма должен быть прозрачным для руководства, тогда есть возможность выявить негативные факторы поведения. Но проще сказать, чем сделать, поскольку большинство сотрудников предпочитают отделять личное от работы, и зачастую они убеждены, что из-за определенных событий в их жизни их карьера может оказаться в опасности. У них вряд ли будет желание рассказывать о тяжело заболевшем родственнике или финансовых проблемах в семье. Руководство же не всегда в курсе нарастающих проблем внутри коллектива. Такие случаи, когда стажер видит, как старший менеджер выдает его работу за свою или особо выделяет кого-то среди коллег, могут создавать враждебную атмосферу в организации.

Такие вещи происходят довольно часто. Внешние обстоятельства могут негативно влиять на сотрудников, поэтому не все могут ощущать себя счастливыми на работе. Но иногда ситуация становится настолько серьезной, что сотрудник может оказаться в отчаянии и совершить что-то экстраординарное. Ник Кавалансия говорит, что часто злонамеренное поведение очень сложно выявить, поскольку сотрудник никак себя не выдает. Именно поэтому случайные изменения в поведении сотрудника требует внимательной оценки. Под потенциальной угрозой, исходящей изнутри компании, понимается случайное распространение вредоносного ПО или разглашение конфиденциальной информации. Но к таким случаям нужно относиться крайне серьезно, поскольку они также наносят большой урон компании.

Профиль безопасности должности

Профиль стоит составить на каждого сотрудника в компании, хотя и невозможно с точностью предусмотреть все, что может случиться с работником. Создание профиля позволит выявить самые уязвимые места в работе, но не потенциального нарушителя. На что нужно ориентироваться при составлении профиля:

  • Какую должность занимает сотрудник? Чем выше должность, тем больше у него доступа к корпоративной и финансовой информации, интеллектуальной собственности компании и другой конфиденциальной информации.
  • В каком департаменте работает сотрудник? Важно знать, к какой информации он имеет постоянный доступ.
  • Имеет ли сотрудник административный доступ, какого он типа и насколько он ограничен? Чем больше прав, тем меньше шансов, что о его действиях кто-то узнает.

При желании углубиться в оценку рисков, можно добавить анкету, с помощью которой будет легче определить, как отслеживается доступ работника к информации, какой тип доступа ему предоставлен и как часто он пользуется удаленным доступом. Эта информация позволит создать точный профиль безопасности, который выявит подходящий уровень мониторинга для конкретного сотрудника или департамента, при этом, конечно, не стоит забывать о праве на частную жизнь. Таким образом возможно высветить любые изменения и выявить признаки потенциальной угрозы.

Создание программы по профилактике злонамеренных действий

Профиль безопасности позволяет определить потенциальные уязвимости, и также помогает уменьшить количество угроз по отношению к сотруднику исходя из его рабочих обязанностей и жизненных обстоятельств. Но знать, где скрыты угрозы, — только часть решения. Профиль безопасности имеет важнейшее значение при создании комитета по профилактике злонамеренных действий внутри компании.

Первая задача комитета определить, что в компании понимают под внутренним риском. Каждая компания определяет его по-своему, но сложно защититься от угрозы, если нет четкого представления, в чем она заключается. Вдобавок следует определить, какие активы требуют максимальной защиты. Результатом станет разработка цели программы, например, выявить главные угрозы, отследить источник утечки данных и другие инциденты в цифровой среде или попросить сотрудников фиксировать свои опасения о потенциальных угрозах.

Далее, разработать документацию для всей компании, определить политику использования данных и создать план для защиты корпоративных активов. Сотрудники буду охотнее следовать правилам, если точно знают, для чего они введены, а также не будут препятствовать контролю, если знают, что он оправдан.

Наконец, комитету вместе с заинтересованными лицами следует проработать план действий на случай, если сотрудник создаст угрозу внутри компании, и решить, как и когда проводить оценку норм поведения и порядок действий при увольнении сотрудника.

Чем более прозрачно поведение человека, его обязанности и жизненные обстоятельства, тем выше шансы выявить негативное поведение. Программа по профилактике злонамеренных действий — это руководство, которое поможет контролировать и предупреждать угрозы.

 

Статья подготовлена по матриалам сайта securityintelligence.com.