Людям надо верить. Информацией обмениваться. Барьеры разрушать. Это залог успеха современной компании, говорят теоретики менеджмента. Но в российских компаниях действуют обратные процессы: ограничение доступа к информации – важная сфера деятельности HR-служб.
Офис близ Таганки. Широкая улица, аптека на углу. Невзрачная металлическая дверь с традиционным в таких случаях интеркомом. Темный подъезд, шлюзовая система дверей. Охрана из романтических девяностых. Здесь оказывают услуги по защите информации.
«Есть три составляющих корпоративной безопасности,– говорит эксперт.– Кадровая политика, взаимодействие с регулирующими органами и сопротивление бизнес-разведке. Самый сложный вопрос – кадровый».
Некоторые понимают информационную безопасность еще более широко, включая сюда правила разграничения доступа к информации, документооборота внутри компании, системы технической защиты данных и даже правила корпоративной этики.
Из-за такого многообразия вопросы информационной безопасности перестали быть исключительно прерогативой HR-службы. В создании информационного занавеса всегда найдется работа для юристов, работников ИТ-служб, служб безопасности, а также топ-менеджеров и владельцев компании.
Биты информации
– До свиданья,– охрана провожает меня, поигрывая бейсбольными битами. Когда встречали, бит в руках не было. Наверное, прятали под столом. Теперь стесняться нечего. «Посетитель уходит»,– передает «специалист по HR» по рации.
Первая компания, специализирующаяся на информационной безопасности, куда я пришел побеседовать, к собственной безопасности относилась не менее серьезно. Как потом выяснилось, большинство таких фирм выросли из охранных агентств. Также выяснилось, что подавляющая часть подобных услуг касается в основном обеспечения «физической безопасности данных», а не внедрения организационных моделей.
В целом же услуги по информационной безопасности можно разделить на две группы. На языке провайдеров услуг звучит это как «не пустить крысу» и «убить крысу». Такая вот образная лексика. Первая группа – способы отбора и найма персонала, которые должны снизить риск принятия на работу агентов компаний-конкурентов и просто морально неустойчивых граждан. Они – источник будущих информационных утечек. Способы эти, в принципе, хорошо известны: познакомиться с персональными данными и проверить на наличие в «черных» базах данных. Внешние специалисты по информационной безопасности внесли разнообразие, предложив применить к соискателям специальные психотесты (до 500 вопросов). Выбор небогатый, но лучшего, как считают эксперты, пока не придумано.
Убить крысу
Гораздо сложнее «убить крысу». Тестирование выдающихся результатов не дает, искать бегающие глаза шпиона – занятие на любителя, а полиграф (детектор лжи) можно использовать только с разрешения проверяемого.
Наверное, поэтому наиболее популярны пришедшие с американского континента иезуитские методы контроля персонала и проверки на лояльность. Например, скрытое видеонаблюдение, «контрольные кражи», «таинственные покупатели», которые могут не только оценить профпригодность, но и стать барьером на пути утечки информации. А она может оказаться гораздо большей бедой, чем плохо обслуженный клиент: «При утечке информации, представляющей коммерческую тайну, приходится оперировать понятием упущенной выгоды,– говорит Вячеслав Панкратьев, эксперт компании "Евроменеджмент".– Стоит ли напоминать о том, как трудно определить ее размеры, а тем более добиться, чтобы фактический виновник их возместил?»
«В 2003 году МТС и "Вымпелком" в один и тот же день вышли практически с одинаковой маркетинговой инициативой,– говорит Наталья Громова, генеральный директор компании "ЭйчАрЭксперт",– значит, из какой-то компании информация ушла». «Вымпелком» нашел виновника и, по заявлениям представителей компании, планировал принять некие меры. Вопрос априори безответный: как можно определить упущенную выгоду в этом случае?
Вместо того чтобы «ловить крыс», лучше создать условия, при которых они не могут начать свою подпольную работу. Хороший способ профилактики – кроме собственно тщательного отбора – отладить систему внутрикорпоративной коммуникации, определить уровни доступа к данным и внедрить систему защиты конфиденциальной информации.
Кто бережет тайны корпораций
Самые влиятельные организации по обеспечению информационной безопасности в нашей стране – спецслужбы. Например, ФСБ и ФСО. А самые авторитетные специалисты – их сотрудники. Многие – действующие. Консультируют, так сказать, при исполнении. Говорят об этом спокойно. Так же спокойно просят не ссылаться. Их консультации полны коротких, рубленых фраз и романтического сленга шпионских фильмов. «Разглашение внутрикорпоративной информации может идти в двух направлениях,– говорит полковник ФСО, эксперт одной из консалтинговых компаний,– либо через "своего" человека, внедренного в компанию, либо через самих сотрудников. Первое – это так называемое агентурное внедрение, второе – вербовка». И – после паузы – таинственно завершает: «Нет такого человека, которого нельзя завербовать».
«Американцы используют схему SMICE – sex, money, ideology, compromat, ego»,– продолжает эксперт. Затем оценивающе смотрит на меня и добавляет: «Все люди имеют "слабые места" по компонентам этой схемы».
Я покопался в себе и кивнул.
Мы выбираем
«При построении системы внутренней информационной безопасности применяются три основные модели,– говорит Виталий Камалов, специалист компании "Бейкер Тилли Русаудит".– Первая – построение высокой корпоративной культуры, в условиях которой сотрудники лояльны своей компании и руководству и просто не предполагают совершать действия, которые могут ей повредить. Вторая – "силовая". Применяется обычно в высокодоходных и высокорисковых областях. Подразумевает постоянные жесткие проверки, прослушки разговоров, контроль за поведением персонала и обменом информацией. Одна из обязательных черт – регулярные предупреждения о возможных негативных последствиях для нарушителей порядка обращения с информацией. Третья – "технократическая". Выбравшие эту модель обращают особое внимание на регламентирование и описание всех процедур и методов работы с информацией. Мораль – "каждый должен знать, что он должен делать". Строится выверенная система документооборота, юристы предусматривают во внутренних актах все возможные варианты нарушений и их последствий».
Поскольку корпоративная культура, как правило, начинает формироваться только в крупных корпорациях, мелкие фирмы предпочитают приемы силовой или технократической модели (естественна и «помесь» двух вариантов с преобладанием того или другого). Но в России HR-менеджеры и специалисты по информационной безопасности чаще всего предлагают руководителям внедрять методы такого типа вне зависимости от размера компании. Что и неудивительно – во-первых, в России сейчас весь бизнес можно считать высокорисковым, а во-вторых, при откровенных дырах в федеральном законодательстве гораздо логичнее рассчитывать на локальные нормативные акты.
Часть лучше целого
Популярная на Западе концепция внутренней информационной открытости базируется на принципах: «каждый должен знать, для чего в итоге он совершает ту или иную операцию» и «для получения оптимального результата каждый волен обмениваться информацией с сотрудниками других отделов». Российский микс из приемов силовой и технократической моделей этому подходу в корне противоречит.
«Сотрудник не должен иметь доступа к информации, предназначенной для людей с другими служебными обязанностями,– говорит Вячеслав Панкратьев.– Ему позволительно знать только то, что касается его направления работы».
«Отличный, а может, и идеальный способ защиты информации– разбиение массива данных на несколько блоков,– продолжает Вячеслав Панкратьев.– Каждая группа пользователей владеет своей частью информации, которая недоступна обладателям других компонентов. Если информация дискретна, желающим добыть ее приходится искать гораздо больше людей, чтобы получить полную и адекватную картину. Например, так защищала секреты компания Coca-Cola – формулу напитка разделили на три части, и каждый компонент знала только определенная группа специалистов».
«Принцип "дробления информации",– рассказывает Наталья Громова,– вполне может применяться и при формировании структуры предприятия. Например, есть прецеденты того, как желание развести информационные потоки приводит к территориальному разделению».
Одна из компаний разнесла свои подразделения по разным районам города, причем работники одного отдела ничего не знали о том, что у них есть коллеги, работающие над решением других задач. Были предусмотрены «связующие звенья» – в каждом из департаментов был человек, который поддерживал связь с головным офисом. «Значит,– говорит Наталья Громова,– выход информации был возможен только из одной точки».
Полной информацией о том, что происходит в фирме, обладал исключительно шеф. Он же раздавал приказания и контролировал обратный поток информации.
«Но эту систему надо использовать очень осторожно,– продолжает Наталья Громова.– Разбить компанию на подразделения можно весьма неаккуратно, и схема не будет эффективна – головная часть не справится с объемами данных, поступающих "со сторон". Информационный баланс нарушится».
Расчленяй и властвуй
На практике принципы разбиения информации могут реализовываться в ограничении доступа к определенным массивам данных. Есть две основные модели такого разграничения – иерархическая и функциональная. Первая предусматривает обеспечение более полного доступа к корпоративной информации сотрудникам, находящимся выше по служебной лестнице, вторая основана на практике разделения информации по «тематическим блокам», предназначенным определенным подразделениям компании.
«Матрица системы внутрифирменной коммуникации,– говорит Виталий Камалов,– строится на пересечении этих двух моделей. Так, в небольших российских компаниях предпочитают иерархию, в то время как с ростом компании, формированием проектных отделов начинает применяться и функциональное деление».
«Очевидно, что фактическим разграничением доступа должен заниматься владелец информационного ресурса – например, руководитель компании или главный бухгалтер»,– говорит директор службы информационной безопасности компании "АйТи" Андрей Бондаренко. Именно поэтому HR-специалисты всех без исключения компаний особо предупредительны с главными бухгалтерами и системными администраторами – выстраивается целая культура их подбора и общения с ними. «Это группа риска, самые опасные люди,– настаивал полковник ФСО.– Они владеют полным массивом информации о компании».
Систему защиты информации необходимо формализовать: описать требования к персоналу, внести во внутренние акты компании, составить перечень конфиденциальной информации. По мнению Андрея Березина, заместителя директора департамента информационных технологий компании КРОК, система безопасности базируется на трех китах:
– соглашение о неразглашении конфиденциальной информации кандидатом (как одно из обязательных условий приема на работу);
– отражение требований информационной безопасности, предъявляемых к сотруднику, в трудовом соглашении (там же должна быть прописана ответственность за их нарушение);
– включение ответственности за информационную безопасность в должностные обязанности сотрудников.
Кроме того, по мнению Вячеслава Панкратьева, у HR-отдела и службы информационной безопасности есть несколько простых, но действенных инструментов. Первый – параллельная с традиционной система конфиденциального документооборота. Она подразумевает работу с «грифами», а если потребуется, то и криптографию, которая, кстати, давно перестала быть экзотикой для российских компаний. Конфиденциальный документооборот – уменьшенная копия основной системы работы с офисной документацией, только доступная ограниченному кругу лиц и защищенная от утечки. Другой популярный инструмент – карта документооборота. По сути, это ведомость, которая заранее регламентирует поступление и убытие определенных документов. Задача минимум – знать, где находятся бумаги. Бессмысленно внедрять продвинутые системы защиты, если важные документы валяются на столах. Кроме того, эта система формирует персональную ответственность. Раздробив документооборот на временные интервалы и обозначив ответственных за каждый, можно существенно снизить риски утечки. Третий залог спокойствия – четкие правила поведения в наиболее «информационно критичных» сферах.
Защитники информации
1. инструкция по работе с конфиденциальной информацией
2 соглашение о неразглашении конфиденциальной информации
3 правила предоставления доступа к информационным ресурсам
4 правила работы пользователей в корпоративной сети
5 правила работы в интернете
6 правила выбора, хранения и использования паролей
7 инструкция по защите от компьютерных вирусов
8 правила использования мобильных устройств для работы в корпоративной сети
Культурный запас
Самый сложный случай – когда ставка делается на корпоративную культуру. Некоторые специалисты до сих пор считают это символом мягкотелости, а сам подход – крайне неэффективным. «Полной лояльности персонала все равно добиться нельзя»,– уверен Андрей Бондаренко. А значит, компания всегда будет находиться перед лицом потенциальной угрозы.
Согласно закону Парето, 80% работы в любой корпорации делают 20% сотрудников. В их число, пользуясь терминологией экспертов из компетентных органов, входит и «группа риска». «Если уж и считать корпоративную культуру ключевым механизмом системы безопасности, то настроена она должна быть в первую очередь на этих специалистов»,– говорит Николай Баяндин, эксперт компании «Евроменеджмент».
Существенный нюанс всех схем, базирующихся на «культурных» ценностях,– примат неписаных законов. И если силовая и технократическая модели допускают, что сотрудник, даже нарушив корпоративные правила, может остаться в фирме, то несогласие с устоями корпоративной культуры чаще всего означает увольнение.