Журнал "Директор по безопасности" Июль 2020 | Page 12
ТЕМА НОМЕРА: БЕЗОПАСНОСТЬ
КАДРОВАЯ
БЕЗОПАСНОСТЬ
И ЧЕЛОВЕЧЕСКИЙ ФАКТОР
Работник
в качестве
компонента
информационной
безопасности
АЛЕКСАНДР МАКАРОВ,
менеджер по стратегическому
планированию, OMD
Практика обеспечения информационной
безопасности показывает,
что предприятия часто
пренебрегают человеком в качестве
компонента безопасности. Прежде
всего они концентрируют свое внимание
на технологиях, которые дополняются
организационными мерами. Обе
эти составляющие и их взаимодействие
довольно хорошо проанализированы
и успешно реализуются и поэтому в последние
годы человек все больше находится
в фокусе внимания.
В отличие от технических систем
безопасности, человек не является
жестко соблюдающим инструкции автоматом,
он руководствуется профессиональными
и личными целями и
для него соблюдение безопасности не
является приоритетной задачей. Халатность,
ошибки и сознательное нарушение
требований безопасности
(например, вследствие недостатка времени)
могут иметь существенные последствия
для информационной безопасности
и, таким образом, связаны с
большим потенциалом риска. Многие
примеры из актуальной практической
деятельности предприятий подтверждают
это. Человек – самый слабый
элемент в системе безопасности и поэтому
требует особого внимания. Желательно
его активное, осознанное и,
прежде всего, плодотворное сотрудничество
в обеспечении информационной
безопасности.
Чтобы этого добиться, предприятие
должно проводить разъяснительные
кампании по безопасности. Цель таких
кампаний – объяснение значения имеющего
отношения к безопасности поведения,
предоставление необходимых
знаний и обучение правилам поведения.
При этом основная предпосылка
заключается в том, что тогда работник
будет автоматически правильно себя
вести. Но опыт все-таки показывает,
что наличия знаний и убеждений часто
недостаточно для обеспечения необходимого
поведения. Поэтому понимание
этих факторов помогает сформировать
или улучшить инструменты,
меры и рамочные условия для содействия
необходимому поведению.
Ниже представлен анализ влияния
причинных факторов, взглядов и поведения
работников на информационную
безопасность. Кроме того, прежде
всего основываясь на данных литературы,
сделана попытка выявить потенциальные
факторы влияния, разработана
анкета и проведен опрос в различных
организациях. В итоге с помощью корреляционного
и регрессивного анализа
было изучено и интерпретировано влияние
предварительно установленных
факторов. Особое внимание было обращено
на анализ влияния на эти факторы
разъяснительных кампаний.
Аналогичные исследования
Хотя сообщения о роли работников в
информационной безопасности начали
появляться в начале 1990-х годов,
большая их часть увидела свет после
2000 г. В то время как первые работы
имели концептуальную или теоретическую
природу, впоследствии стало все
больше публиковаться эмпирических
исследований.
Большая их часть была посвящена
мерам и инструментам, с помощью
которых у работников формируется
совместимое с безопасностью поведение.
Их спектр охватывает санкции,
контроль и стимулы, как немонетарной,
так и монетарной природы.
Вначале в фокусе внимания были
санкции, которым приписывался соответствующий
эффект устрашения. Но
сейчас все большее значение придается
методам контроля при допущении,
что только знания оказывают влияние
на поведение работников. Прежде всего
в литературе, ориентированной на
организацию производственного процесса,
наряду с этим обсуждаются стимулы
в качестве меры содействия.
При этом предлагается упрочнять
социальные связи работников и повышать
роль мотивирующих факторов в
виде поощрения в немонетарной (например,
похвала или повышение по
службе) и монетарной формах.
В выполненных в последнее время
эмпирических исследованиях изучали
влияние этих инструментов на взгляды
и поведение в отношении информационной
безопасности. Учитывая, что
знания и поведение часто не согласуются
между собой, анализируют причины
этого несоответствия на основе
опросов. Так как будущее поведение
нельзя напрямую прогнозировать, то
в качестве его замены используют параметр
«поведенческие намерения».
При этом изучали влияние на взгляды и
поведенческие намерения или напрямую
с помощью инструментов и мер,
или косвенно на основе выбранных
показателей. Накопленный опыт свидетельствует
о том, что в ходе исследований
возникают различные оценки
отдельных параметров. Так, например,
«сила наказания» при несовместимом
с безопасностью поведении в двух исследованиях
оказывает существенное
влияние на поведенческие намерения,
но в одной работе положительное, а в
другой – отрицательное.
Таким образом, подобные исследования
выявили несколько проблемных
областей и ограничения. Одновременно
имеется большая свобода выбора
факторов влияния для теоретического
обоснования.
Важную роль играет то, кто участвует
в опросах. Так, часто в академических
исследованиях используют студентов
в качестве замены тех, кто должен
участвовать. При этом у них порой
отсутствует представление о соответствующих
ситуациях с информационной
безопасностью, возникающих на
практике. Если, наоборот, опрашивать
работников предприятия, то возникают
сомнения в анонимности опроса и
опасения искажений из-за предоставления
якобы желаемых ответов.
Кроме того, некоторые исследования
концентрируются исключительно
на лицах, которые уже участвовали в
разъяснительных кампаниях по безопасности
и, следовательно, располагают
соответствующими знаниями. При
этом не охватывается круг лиц, которые
вследствие возможного отсутствия
знаний требуют особого внимания с
точки зрения информационной безопасности.
Одновременно представляет
интерес различия между этими группами
лиц для понимания эффективности
разъяснительных кампаний.
Потенциал факторов влияния
на взгляды и поведенческие
намерения
В отличии от исследований, которые
были посвящены мерам формирования
взглядов и поведенческих намерений,
здесь рассмотрены факторы,
способствующие возникновению определенных
взглядов или определенных
поведенческих намерений. Одновременно
проведено переосмысление и
проверка возможных факторов влияния
на информационную безопасность.
Наряду с пополнением знаний
и их пониманием, с одной стороны,
это позволит проверить используемые
меры, а с другой стороны, даст ценные
указания для разработки и усовершенствования
инструментов.
При этом особый интерес представляет
анализ разъяснительных кампаний
и их значение, ставшие на практике
важным инструментом, тем более
что их эффективность является предметом
острых дискуссий. Бесспорно,
что знания автоматически не приводят
к формированию необходимых
взглядов и поведенческих намерений,
но их значение для взглядов и поведенческих
намерений, а также содействующих
в данной ситуации факторов
играет важную роль при совершенствовании
и реализации кампаний по
разъяснению на предприятиях.
Так как основополагающие факторы
влияния на взгляды и поведение в
отношении информационной безопасности
все еще являются относительно
малоизученным предметом, то при их
анализе было обращено внимание на
работы по защите окружающей среды.
Поведение человека по отношению к
ней является довольно хорошо исследованной
областью и может дать ценные
сведения, так как разрушение природы
часто не несет непосредственных угроз
(тем более, если это происходит незаметно
для контролирующих органов) и
осознание ответственности за окружающую
среду часто не отражается на поведении
в этой среде.
Знания автоматически
не приводят к формированию
необходимых взглядов
и поведенческих
намерений, но их значение
играет важную роль при
совершенствовании
и реализации кампаний
по разъяснению на
предприятиях
Основополагающее значение для
взглядов и поведенческих намерений
в исследованиях защиты окружающей
среды приписывается знаниям. Знания,
с одной стороны, являются элементом
формирования взглядов или поведенческих
намерений и, с другой стороны,
могут вывести их на объективный и
конструктивный уровень. Исходя из этого,
проведение разъяснительной кампании
является важной мерой, так как
таким путем знания передаются непосредственно
работникам.
Гипотеза 1: Знания по теме информационной
безопасности и политика в
области безопасности предприятия находятся
в положительной связи со взглядами
и поведенческими намерениями,
причем они больше влияют на взгляды.
Так же, как и в случае окружающей
среды, важно наличие значительных
расхождений между знаниями, взглядами
и поведенческими намерениями.
Из этого следует, что наряду со знаниями
другие факторы влияния также
действуют на обе эти величины.
В науке об окружающей среде в качестве
фактора влияния рассматривают
параметр «ощущение угроз». Из-за отсутствия
непосредственного опыта восприятия
изменений окружающей среды
люди часто не ощущают личной угрозы.
Это в полной мере можно перенести на
информационную безопасность, так как
большая часть работников не переживает
по поводу инцидентов в системе безопасности
или не знает коллег, испытавших
эти переживания.
Гипотеза 2: Ощущаемая угроза находится
в положительной связи со
взглядами и поведенческими намерениями.
Этот фактор сильнее влияют
на взгляды.
Информация, полученная в ходе
исследований окружающей среды, воспринимается
людьми без ощущения
угрозы, и они, скорее, не несут ответственность
за принятие мер по защите.
Но в случае ощущаемой угрозы имеется
возможность переложить ответственность
на другого и избежать ее. Также
в сфере информационной безопасности
повсеместно господствует точка
зрения, что информационные технологии
несут ответственность за защиту.
Соответственно, в этом случае люди
концентрируются на непосредственном
выполнении работ и воспринимают
технические и организационные ограничения,
связанные с информационной
безопасностью, как препятствие.
Гипотеза 3: Ощущение ответственности
находится в положительной связи
со взглядами и поведенческими
намерениями. Этот фактор сильнее
влияет на взгляды.
В повседневной жизни взятие на
себя ответственности часто означает,
что совместимое с безопасностью поведение
требует времени и/или ресурсов
для решения профессиональных
задач. Если совместимое с безопасностью
поведение не входит в оценку
эффективности работников, то оно
действует даже контрпродуктивно при
достижении индивидуальных целей
работы. Исходя из этих аргументов,
можно выделить два фактора совместимого
с безопасностью поведения.
Первый – недостаток времени для
осуществления деятельности, так как
в условиях цейтнота выполнение работы
тенденциозно играет большую
роль, чем соблюдение инструкций по
безопасности. Во-вторых, затраты, связанные
с совместимым с безопасностью
поведением, также играют роль
для работников. Чем меньше эти затраты,
тем меньше потенциал для конфликтов
между достижением цели и
обеспечением безопасности. Этот связанный
с затратами фактор ниже характеризуется
как содействующий информационной
безопасности.
Гипотеза 4: Недостаток времени на
рабочем месте находится в негативной
связи со взглядами и поведенческими
намерениями. Этот фактор сильнее
влияет на поведенческие намерения.
Гипотеза 5: Удобства в обеспечении
информационной безопасности
находятся в положительной связи со
взглядами и поведенческими намерениями.
Они сильнее влияют на поведенческие
намерения.
Здесь необходимо учитывать оценку
работниками эффективности мер по
обеспечению информационной безопасности,
исходя из того, что преимущественно
приложение усилий для обеспечения
совместимого с безопасностью
поведения тем меньше, чем ниже оценивается
эффективность мер по информационной
безопасности предприятия.
Подразумеваемая под этим эффективность
охватывает не только инструкции
по безопасности, но и способы реализации
и контроля на предприятии. Несерьезное
отношение к их соблюдению
приводит к появлению сомнений в эффективности
инструкций.
Гипотеза 6: Оценка эффективности
находится в положительной связи со
взглядами и поведенческими намерениями.
Этот фактор сильнее влияет на
поведенческие намерения.
В США при изучении рисков потери
данных было установлено то, что хищения
и утрата данных тесно связаны
с порядочностью и корректным поведением
работодателя. Таким образом,
можно предположить, что отношение
предприятия к работнику, в дальнейшем
называемое справедливостью,
является еще одним фактором. Повышенная
чувствительность к справедливости
способствует соблюдению инструкций
по безопасности.
Гипотеза 7: Ощущение справедливости
работодателя находится в положительной
связи со взглядами и поведенческими
намерениями. Этот фактор
влияет на поведенческие намерения.
Таким образом, идентифицировано
семь факторов, которые оказывают
влияние на взгляды и поведенческие
намерения работников в отношении
информационной безопасности. Здесь
необходимо четко указать на то, что
их список не претендует на полноту.
Проверка этих факторов все-таки является
важным фактором для дальнейшего
изучения роли работников
в информационной безопасности. В
проведенном эмпирическом исследовании
проанализировано влияние этих
факторов на взгляды и поведенческие
намерения. Кроме того, представляет
интерес ответ на вопрос, влияют
ли вышеназванные факторы иначе на
участников разъяснительных кампаний,
чем на тех, кто в этой в этой кампании
не участвовал.