Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь


Причины экономических преступлений на российских предприятиях и методы предотвращения потерь, связанных с человеческим фактором

Коген С.В.
выпускник группы MBA-38 CSO-07
Школы IT-менеджмента
РАНХиГС при Президенте РФ

Сфера обеспечения безопасности бизнеса с каждым годом пополняется новыми темами и спектрами проблем. Однако отдельная ее область существовала на протяжении всей истории экономики, и теперь приобрела новое звучание в свете достижений научно-технического прогресса. Это область, связанная с кадровой безопасностью.

Как выяснилось, специфика вопросов, связанных с противоправным поведением людей в отношении ресурсов компаний, не позволяет решать их только лишь силами HR-подразделений. И дело здесь, во-первых, в том, что без участия человека, не обходится ни одно производство, и ни одна сфера деятельности. Во-вторых, в бизнесе увеличивается объем процессов, зависящих от хорошо налаженной работы не только производственных мощностей, но и таких подразделений, как службы безопасности и IT-департаменты. Эти три составляющие – человеческие ресурсы, безопасность и IT, выделены не случайно.

По данным «Российского обзора экономических преступлений за 2014 год» - человеческий фактор является наиболее уязвимым звеном в вопросах обеспечения безопасности (1). При этом, первое место занимают преступления, связанные с незаконным присвоением активов, затем следуют противоправные действия, связанные со взяточничеством и коррупцией, следующие в списке – преступления в сфере IT. И если выделить хотя бы эту сферу, для анализа последствий противоправных действий сотрудников и третьих лиц в области IT, то выяснится, что наиболее опасные инциденты в 2014 году были связаны с киберпреступностью (31%), злоупотреблениями администраторов информационных систем (23%) и противоправными действиями прочего персонала (17%) (3).

Для того, чтобы снизить ущерб, наносимый злоумышленниками компаниям и частным лицам, следует более детально изучить эту проблему. Естественно, необходимо различать внешние угрозы и внутренние (как это делается в IT-сфере). И здесь хочется остановиться на вторых, так как вопрос внешних угроз, в той или иной мере, проработан специалистами СБ и IT-безопасности. Внутренние же угрозы – это все, что связано с собственным персоналом. С его настроениями, состоянием, поведением, образованием, надеждами и разочарованиями.

В одной из публикаций «РБК daily» говорится, что от последствий даже такого действия, как уход сотрудника, «защититься почти тaк же сложно, как защититься от терроризма» (2).

Каковы же причины совершения преступлений собственными сотрудниками компаний? Интернет-ресурсы пестрят перечнями тревожных показателей в личностной структуре потенциально неблагонадежных соискателей вакансий. Рекрутеры и HR-специалисты старательно применяют громоздкие диагностические методики для выявления потенциальных нарушителей на входе в компанию. Действия принятых на работу сотрудников контролируют всевозможные технические средства обеспечения безопасности… Однако уровень экономических преступлений неуклонно растет. В чем же дело?

Оказывается, наибольшую опасность для компаний несут не внешние мошенники или неблагонадежные клиенты, а отсутствие лояльности у собственных сотрудников предприятий. В этом вопросе сходятся практически все источники. Все верно: мы можем преградить злоумышленникам путь в корпоративные сети, мы можем обеспечить контроль рабочих мест и каналов связи, технически — мы можем многое. Но для контролирующих программ наших охранных систем недоступна та информация, которую выносят из компаний в своих головах наши собственные сотрудники. Мы не можем заблокировать несанкционированный доступ к сведениям, касающимся коммерческой тайны, которые находятся в памяти любого обиженного на компанию специалиста. И мы, к сожалению, не в силах – установить firewall, или антивирус в сознание, в общем-то, лояльного к компании менеджера или бухгалтера, которого захочет сделать объектом психологической атаки какой-нибудь социальный инженер.

Для решения этой проблемы уже предпринимались попытки категоризации мошенников и причин преступлений. Но на территории России они оказались недостаточно эффективны. Например, теория Дональда Р.Кресси, в которой сформулирован так называемый «треугольник мошенничества», определяющий три основных фактора, ведущих к совершению преступлений. Казалось бы, можно опираться на этот «треугольник» в разработке методов противодействия злоумышленникам – и вопрос решен. Но структуры обеспечения кадровой безопасности, основанные на этой концепции, не позволяют достичь удовлетворительных результатов. Российский менталитет не вписывается в  западную концепцию. Нам, к примеру, свойственна поведенческая мотивация, типа «все воруют, а я что? Хуже?», непонятная и неприемлемая для западного человека. В нашей стране, как раз, лучше будет работать концепция Эдвина Х.Сатерленда, который считал, что преступное поведение формируется социальными стереотипами. Но это все – области далекие от точных измерений и выполнимых задач. А современный бизнес требует четких формул и оперативности. Поэтому так важно разработать стратегию обеспечения кадровой безопасности, которая бы позволила снизить риски в области поведения персонала, и при этом – была понятна, структурирована и измерима.

Например, ключевыми в обеспечении безопасности кадров – должны стать следующие шаги:

  • Формирование структуры управления предприятием таким образом, чтобы служба безопасности занимала позицию, подотчетную руководителю компании, и ни в коем случае,  не ниже других подразделений. Часто можно столкнуться с тем, что руководитель СБ находится в одном статусе с обслуживающим персоналом. Можно только догадываться, насколько эффективными будут его инициативы в отношении вверенных объектов деятельности, в этом случае.
  • Деятельность службы IT-безопасности должна распространяться на все аспекты бизнеса (6).
  • В структуре СБ должна быть сформирована новая должностная позиция – специалист по кадровой безопасности. Причем данный сотрудник должен обладать не только знанием предмета своей специализации – психологии, но и техническими знаниями, обеспечивающими ему полноценный диалог с IT-подразделением, а также, медицинской или юридической специализацией в области прикладной психологии. Подобные компетенции позволят ему решать сложные вопросы, связанные с психологическим здоровьем коллектива, а также – облегчать работу внутренних оперативных групп, сформированных для разбора инцидентов. Он же должен проводить обучение персонала по вопросам кадровой и информационной безопасности. В частности, в его обязанности будет входить обучение сотрудников навыкам грамотного распознавания и реагирования на действия синжеров. И такой специалист, совершенно точно, не должен находиться в HR-подразделении по ряду причин. Например, из-за проблем с полномочиями и зонами компетенций.
  • Помимо обучающих и организационных мероприятий, в будущем, желательно включить в перечень шагов по обеспечению IT-безопасности, варианты специально разработанного программного обеспечения, позволяющего производить мониторинг психологического климата трудового коллектива. На настоящий момент, некоторые компании ведут разработку подобных программных продуктов. Некоторые пробуют применять DLP-системы не только для обеспечения информационной безопасности, но и для диагностики состояния производственных отношений. Есть и продукты, частично решающие психологические вопросы техническими средствами. Например, программный комплекс, позволяющий отслеживать качество телефонных переговоров, разработан компанией Verint® Systems Inc. Однако, пока что он может выполнять задачи, связанные с психологией контакта по линии «клиент – оператор». Поэтому, требуется дальнейшая разработка похожих программных продуктов с расширенным функционалом. Это, скорее всего, позволит проводить мониторинг лояльности коллектива без необходимости проведения дорогостоящих и громоздких исследований корпоративной культуры.

Теперь необходимо уточнить, зачем и каким образом нужно измерять лояльность. Как уже упоминалось выше, бич любых структур безопасности – нелояльный персонал. В связи с этим, многие консалтинговые компании предлагают весьма объемные исследования корпоративной культуры, на которые руководителям предприятий предлагается тратить значительные финансовые и временные ресурсы. И еще – предлагается делать это периодически, дабы «отслеживать динамику» состояния трудового коллектива. Лучше всего, такие мероприятия зарекомендовали себя за рубежом. Причем, лояльность предлагается рассматривать как компонент системы: «удовлетворенность-вовлеченность-лояльность». Однако в этой системе не учитывается российский менталитет.

Для среднестатистического российского сотрудника, вовлеченность не может быть сформирована компанией-работодателем. Это – внутриличностный конструкт. И мы не можем повлиять на нее, как советуют западные источники, а только лишь – дать возможность ее осуществить. Но самое главное, если мы решаем вопросы кадровой безопасности, то следует учитывать в формуле расчета вовлеченности такой параметр, как структура ценностей сотрудника. Казалось бы – невозможно измерить столь неопределенную величину… Оказывается – здесь все немного проще, чем кажется.

На одном из российских предприятий было проведено исследование системы «удовлетворенность-вовлеченность-лояльность» по формуле, адаптированной к российской действительности. Эта формула состояла из следующих компонентов:

  • Лояльность (Л) – результирующий измеряемый параметр, содержащий последовательный перечень показателей, предоставленный самими сотрудниками и отражающий комплексную позитивную оценку компании-работодателя. Величина параметра индивидуальной лояльности рассчитывалась как отношение фактических позитивных ответов, актуальных для данной компании, к количеству заданных ответов по данному параметру. Величина корпоративной лояльности рассчитывалась как отношение общих позитивных ответов к количеству респондентов. Лояльность составляли следующие слагаемые: удовлетворенность, вовлеченность и совпадение системы ценностей (ССЦ). То есть, общая формула лояльности выглядела следующим образом: ССЦ + У + В = Л.
  • Удовлетворенность (У) – отношение выполненных работодателем договоренностей, обозначенных в момент приема сотрудника на работу, а также, выявленных в ходе рабочего процесса и зафиксированных документально – к полному перечню договоренностей, обозначенных в соответствующей документации.
  • Вовлеченность (В) - термин, который многие специалисты определяют, как желание улучшать результаты труда во благо компании. И это — спорный момент, потому что ни один наш соотечественник, чаще всего, не намерен искренне желать процветания компании, если только она ему не принадлежит. Поэтому, термин «Вовлеченность» трактовался в исследовании, как состояние, подразумевающее активную погруженность в совместную работу, потому что работа интересна. Важно подчеркнуть, что интерес, в данном случае, не философский термин. Это количество требований к смыслу выполняемой работы.  Перечень этих требований мы всегда можем узнать при приеме сотрудника в компанию. Тогда – количество требований сотрудника к смыслу выполняемой деятельности, в соотношении с возможностью их удовлетворения на данной должности, и будет считаться вовлеченностью.
  • Совпадение системы ценностей (ССЦ) - показатель, подразумевающий процент совпадения ценностей сотрудника с тем же набором ценностей руководства компании. И тут важно уточнить, почему в формулу лояльности вводится этот параметр. Дело в том, что большинство работодателей отмечает определенную тенденцию в осуществлении преступлений на рабочем месте: противоправные действия против своей компании, чаще всего, совершают не закоренелые преступники или люди с криминальными наклонностями, а обычные сотрудники, долгое время считавшиеся добропорядочными. Происходит это не потому, что кто-то из СБ не заметил тревожных симптомов, когда человека брали на работу, а потому, что в результате каких-либо обстоятельств выявились и обострились непримиримые противоречия системы ценностей сотрудника с системой ценностей работодателя. Работодатель стал оцениваться негативно по системе: «свой-чужой» или «друг-враг». А навредить «врагу» – дело благородное. Все происходит иначе, если работодатель и сотрудник опираются на одинаковые жизненные принципы и смотрят в одну сторону. В случае серьезных проблем внутри компании, даже сотрудник с сомнительным прошлым, не в первую очередь – захочет вредить руководству, так похожему на него самого.

Итак, проведенное исследование, подтвердило гипотезу о том, что лояльность зависит от всех перечисленных факторов, но даже в большей степени от ССЦ. Было отмечено, что сотрудники с системой ценностей, совпадающей с таковой у работодателя, не стремились совершать преступные действия по отношению к своей компании. Их дисциплинарные показатели и показатели эффективности труда были значительно выше, чем у тех, кто не соответствовал СЦ руководства хотя бы на 20%.

В качестве дополнительных результатов исследования были выявлены следующие факты:

  • В условиях IT-подразделений требования к обеспечению кадровой безопасности приобретают особую важность, так как сотрудники IT-департаментов имеют большие полномочия и неограниченный доступ ко многим конфиденциальным и ценным ресурсам. Поэтому, если не обеспечен необходимый уровень лояльности во всей компании, или если этот вопрос не считается важным, соответственно, уязвимость компании именно в этом сегменте – может быть фатальной.
  • Невыполнение или неполное выполнение алгоритма выявления, задержания и наложения санкций (с привлечением к этому процессу — органов внутренних дел или других дисциплинарных инстанций), то есть, безнаказанность нарушителей – создает возможность и допустимость совершения экономических правонарушений.
  • Использование механизмов межличностного взаимодействия, неприемлемых для работы внутри человеческих сообществ, заинтересованных в сотрудничестве: критики и внутрикорпоративной конкуренции – приводит к возникновению уязвимостей, связанных с человеческим фактором.
  • Конструктивной критики не бывает! Термин «критика» образован от греческого слова krittke, и от krino — сужу (13). То есть, критическое суждение — это элемент суда. Суд же, в свою очередь – понятие юридическое, подразумевающее возможную вину. Таким образом, критика является разновидностью обвинения. Какие чувства должен испытывать сотрудник, которого обвиняют? Он будет чувствовать себя уязвимым, ущербным, виновным. Единственным желанием его будет — защититься, а не анализировать или исправлять допущенные ошибки. Критикующего же он будет воспринимать как нападающего врага. Некоторые руководители предлагают своим подчиненным научиться «адекватно» воспринимать критику. Они приписывают ей «конструктивность». Однако от этого, критичные замечания не становятся менее разрушительными и действуют, исключительно, как порка рабов. Вообще, единственная адекватная реакция на критику – это защитная агрессия. О какой лояльности может идти речь в коллективе, в котором часто применяются различные виды критики?
  • Внутрикорпоративная конкуренция «разваливает» компанию, создает предпосылки для враждебных действий против коллег и работодателя. Как же тогда повышать качество продукции? Очень просто: ориентировать сотрудников на развитие, обучение, постоянное повышение качества себя «сегодняшнего» относительно себя «вчерашнего». Конкурировать нужно только с врагами, то есть с внешними агрессивными агентами, желающими занять место родной компании на рынке. Конкуренция же внутри организации — породит врагов внутренних, и тогда злоупотреблений долго ждать не придется.
  • Существуют методы построения рабочего процесса, позволяющие избегать разрушительных тактик взаимодействия с персоналом, а также – позволяющие обеспечить рост производительности и качества труда без создания конкурентной среды внутри предприятия.
  • И еще один важный результат исследования можно выразить в следующем утверждении: отсутствие патриотизма в системе ценностей сотрудников (по отношению к родной стране — России или любой другой), делает их потенциально неблагонадежными по отношению к работодателю.

Конечно, все эти данные и выводы нуждаются в дополнительном изучении. Однако уже сейчас можно сказать, что определился новый сегмент в сфере обеспечения безопасности бизнеса. Этот сегмент связан с психологической составляющей большинства направлений человеческой деятельности.

Перед специалистами служб информационной и общей безопасности стоит ряд задач, решение которых охватит, в дальнейшем, ту зону рисков, которая ранее была своеобразным «белым пятном» в сфере обеспечения безопасности бизнеса и обеспечения IT-безопасности — в частности. Решив хотя бы часть этих вопросов, предприятия получат возможность не только снизить риски, связанные с кадровой безопасностью, но и улучшить финансовые результаты.

Список литературы

  • Материалы исследования «Российский обзор экономических преступлений за 2014 год: На правильном пути», (источник: www.pwc.ru), 2014 г; Эдвин Харланд, Ирина Новикова, Татьяна Вострова.
  • Сотрудники страшнее террористов, 2007, Андрей Котов, источник: http://www.rbcdaily.ru/politics/562949979112530
  • Исследование компании Positive Technologies за 2014 год, источник: http://www.ptsecurity.ru/download/PT_Security_Incidents_2014_rus.pdf
  • Обратная связь в управлении персоналом, источник: Менеджерские практики, Выпуск №3, Консалтинговая группа «Четвертое измерение», Июль 2011 - http://www.4izmerenie.com/
  • Детектор правды для работников, источник: http://sec4all.net/secfact6.html
  • Когда спадет маркетинговая пена, журнал «Безопасность деловой информации», №7, III кв., 2014 (источник: http://bis-expert.ru/sites/default/files/miscellaneous/bdi/BDI_2014_7.pdf).
  • Должности, без которых не обойтись, источник: Тодд Хеннеман (Todd Henneman), www.workforce.com, перевод - Елена Калинская, HR-Journal.ru, http://www.hr-journal.ru/articles/ov/pro-nezam.html, 2007.
  • К.Митник, В.Саймон, Искусство вторжения, ДМК пресс, Компания АйТи; 2005.
  • Исследование ценностных ориентаций М.Рокича, 2015, источник: psycabi.net/testy/
  •  Выбираем DLP-систему для средней организации, источник: http://habrahabr.ru/post/141000/, 2012
  • Материалы сайта «Управление финансами»: http://center-yf.ru/data/Yuristu/Ekonomicheskie-prestupleniya.php'>Экономические преступления.
  • Материалы лекций к.э.н. Хайретдинова Р.Н. для потока MBA CISO РАНХ и ГС. «Внутренние угрозы корпоративной безопасности», 2015.
  • Словарь иностранных слов, вошедших в состав русского языка.- Чудинов А.Н., 1910.
Рубрика: 
Информационная безопасность
Ваша оценка: Пусто Средняя: 10 (3 голосов)
Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009