Как управлять риском мошенничества со стороны персонала
Наибольшую опасность для ценной коммерческой информации представляют не злобные хакеры или любая другая внешняя угроза, а угроза внутренняя — работники компании. Сотрудников, разглашающих данные, использующих закрытую информацию в личных корыстных целях, принято называть емким словом «инсайдеры».
Обычно, когда речь заходит о внутреннем враге, на ум приходит «крот», который проник в организацию, руководствуясь коварным планом. Например, менеджер, целенаправленно крадущий клиентов, или программист, продающий разработки конкурентам.
В реальности все не так однозначно. Инсайдером может стать любой сотрудник, вовлеченный в цепочку трагических случайностей. Секретарь по ошибке отправила письмо не тому адресату, дизайнер, не подумав, выложил графику в общий доступ, работник отдела продаж сказал лишнее. Лень, невнимательность и отсутствие личной ответственности, по принципу домино, формируют последовательность событий, в результате которых лояльный работник превращается в инсайдера.
Хотите выявить инсайдера? Специалисты по информационной безопасности разработали четыре базовых принципа, которые помогут укрепить линию защиты.
Не закрывать глаза
Большинство руководителей отмахиваются от проблемы, полагая, что в их фирме утечки информации быть не может. Проблема спускается вниз по цепочке, от владельца компании к руководителям всех уровней пока не доберется до рядовых работников, которые перестают думать о безопасности данных вообще. А дальше в действие вступает теория хаоса, которая гласит: сложные системы чрезвычайно зависимы от первоначальных условий, а небольшие изменения в окружающей среде могут привести к непредсказуемым последствиям.
Например, персонал, не думающий о сохранности конфиденциальных данных, начнет обсуждать коммерческую информацию с друзьями и знакомыми, работающими в конкурирующих организациях, будет бездумно рассылать документы, или оставлять на видном месте бумажки с паролями от компьютеров или CRM. И так до тех пор, пока предприимчивый злоумышленник не воспользуется всеобщей безалаберностью в корыстных целях.
Отрицание проблемы не защищает от последствий, которые могут оказаться плачевными для бизнеса.
Контролировать процесс рекрутинга
Выявить потенциального инсайдера можно на этапе испытательного срока. Для этого достаточно ознакомить кандидата с правилами работы с конфиденциальной информацией, которые действуют в компании, а затем проследить, насколько тщательно новичок их придерживается.
Системы мониторинга действий персонала позволяют отслеживать все операции за компьютером, а также на основании собранных данных, предвидеть возможные рисковые ситуации. Инсайдера, который целенаправленно пришел в компанию с целью чем-нибудь поживиться, такой комплекс обнаружит при первых подозрительных действиях.
Если же проблема заключается в несознательном отношении к защите информации, система выявит уязвимость — работника, и руководитель получит возможность предотвратить возможное ЧП, проведя беседу и дополнительное обучение.
Контролировать общение
Запретить доступ к социальным сетям, блогам и форумам, теоретически можно, но практически — это бесполезно. Сотрудники просто мигрируют на личные мобильные устройства, и руководитель потеряет всякий шанс отследить время, которое уходит на развлечения, определить тональность диалогов о компании и то, какие данные уходят за ее пределы.
Чтобы сотрудникам не пришлось искать лазейку, которую они обязательно найдут, лучше взять под контроль каналы коммуникаций, предварительно объяснив персоналу, чем отличается личное время от рабочего и какие действия могут привести к нарушению периметра информационной безопасности.
Таким образом босс убьет сразу двух зайцев: во-первых, сможет контролировать время, потраченное подчиненными на личные нужды, во-вторых — предотвратит возможные утечки информации. Причем, мониторинг и анализ не увеличат нагрузку, свалившуюся на руководителя. Система контроля персонала большую возьмет большую часть задач на себя, привлекая внимание только в случае возникновения потенциальной опасности.
Анализировать данные
Когда речь заходит о контроле перемещения данных внутри периметра организации, выясняется, что более 80% компаний слепы. Они не отслеживают копирование файлов с диска на диск, в облачные хранилища или на портативные носители информации. Кто знает, в скольких экземплярах, и на каких флешках уже есть копии базы клиентов?
А ведь контроль трафика данных и мониторинг действий персонала — ключевые аспекты защиты от всех типов угроз, как внутренних, так и внешних. Без пристального внимания к перемещению каждого бита информации, без анализа действий работников, компания оказывается слепа, глуха и безоружна. И если завтра важные коммерческие документы попадут к конкурентам или злоумышленник получит доступ к внутренней сети организации, никто об этом даже не узнает. Пока не станет слишком поздно и финансовый урон не поставит бизнес на колени.
Четыре группы рисков: тактика поведения
Журнал «Генеральный Директор» разделяет все риски мошенничеств со стороны персонала на 4 группы — в зависимости от вероятности наступления риска:
1. Низкая вероятность риска — значительный ущерб.
2. Высокая вероятность риска — значительный ущерб.
3. Низкая вероятность риска — незначительный ущерб.
4. Высокая вероятность риска — незначительная ущерб.
Группа рисков №1 (низкая вероятность, значительный возможный ущерб). Наилучшая стратегия — страховать или передавать риски. То есть либо приобретайте страховку, либо отдавайте процессы на аутсорсинг, чтобы ответственность за них несла компания-исполнитель.
В эту категорию попадают наиболее изощренные схемы, до которых додумается не каждый мошенник. Это, например, финансовые пирамиды. Поначалу это были вполне респектабельные компании, и никто не ожидал, что в итоге они окажутся мыльными пузырями. Довольно часто риски этой группы предотвратить не удается — остается просто запомнить схему мошенничества, чтобы исключить ее использование в дальнейшем.
Группа рисков №2 (высокая вероятность, значительный возможный ущерб). Таких рисков лучше избегать. Если затраты на обеспечение должной защиты окажутся большими, можно рассмотреть такой вариант, как избавление от актива, с которым связан риск. Прежде чем принять такое решение, нужно тщательно проанализировать затраты на создание системы защиты и возможные выгоды от использования этого актива.
К этой категории относятся, в частности, откатные схемы: вероятность их использования очень высока, и ущерб бизнесу они могут нанести существенный. Но вряд ли кто-то согласится отказаться от закупок и продаж. Во многих случаях бывает гораздо выгоднее снизить риск мошенничества. Самый очевидный способ — выстроить систему внутреннего контроля.
Группа рисков №3 (низкая вероятность, незначительный возможный ущерб). Чтобы не стрелять из пушек по воробьям, примите риск, заложив возможный ущерб в плановые показатели.
Возможно, когда-нибудь одному из сотрудников придет в голову утащить с вашего склада канцтоваров 40 упаковок скрепок. Но вероятность этого так незначительна, а ущерб настолько ничтожен, что уделять подобному риску много внимания не вполне оправданно: ресурсы компании можно использовать и более эффективно.
Групп рисков №4 (высокая вероятность, незначительный возможный ущерб). Вполне достаточно просто снизить риск мошенничества. Наверное, нет ни одной компании, где сотрудники не злоупотребляли бы при составлении авансового отчета. В любом отчете попадется чек, которого там быть не должно. Но сумма хищений через авансовые отчеты для компаний, в которых немногие сотрудники ездят в командировки, как правило, не так велика. Поэтому лучше всего использовать стандартные способы предотвращения и обнаружения мошенничества (система внутреннего контроля, обучение сотрудников, принятие соответствующих внутренних документов и др.).