Формализация ИБ в крупных и небольших компаниях

Занимаюсь подготовкой курса «Теория организации и информационная безопасность» и наткнулся на интересное исследование в облатси психологии, результаты которого были опубликованы в 2006-м году профессором антропологии и эволюционной психологии из Гарварда Марком Хаузером. Оно было посвящено врожденности человеческой морали и разделении «белого» и «черного», хорошего и плохого.

Один из сделанных выводов касается и безопасности. Оказывается, в ограниченных сообществах (до 150 человек) порицание окружающих может сдерживать плохие поступки людей. Их удерживает боязнь быть осмеянными и опозоренными. Именно поэтому в небольших компаниях, где все знают друг друга, нет нужды в написании каких-нибудь формализованных правил поведения, кодексов этического поведения или политики безопасности. Неправильные действия сотрудников сдерживаются сами по себе, т.к. почти любой боится попасть в корпоративную рассылку как «мальчиш-плохиш» или быть предметом обсуждения в курилке.

На крупных предприятиях, где как такового коллектива нет – он обезличен, общественного осуждения уже недостаточно – необходим Закон, который определяет вполне конкретные наказание за тот или иной проступок. Именно потенциальная кара может сдерживать сотрудников от совершения каких-либо неправильных действий, нарушающих, например, политику безопасности. Хаузер отмечает, что в обществе, в котором сильна законодательная или нормативная составляющая, человек перестает опираться на моральные принципы и нормы. Его останавливает только запрет, оформленный документально в правилах, политиках, кодексах и т.п.

Какой вывод можно сделать из данного исследования с точки зрения информационной безопасности? На малых предприятиях (до 150 сотрудников) формализация правил информационной безопасности и наказания за их невыполнение является зачастую излишней и даже неработающей практикой. Достаточно просто несколько раз сообщить всему коллективу о нарушителях ИБ-распорядка. А вот в крупных компаниях все с точностью наоборот – необходимо формализовать политику безопасности и формы наказания за ее несоблюдение и через HR довести до сведения каждого сотрудника. Дополнительной мерой, уберегающей компанию от нарушений правил ИБ, является искусственное сужение круга общения, т.е. общественное порицание в рамках отдела или департамента, где все знают друг друга. Правда, в этом случае без поддержки руководителя подразделения не обойтись. Именно он будет залогом того, что любое нарушение политики ИБ станет достоянием всех членов команды, что и должно останавливать потенциальных нарушителей. Дополнительную помощь в этом может оказать карьеризм, который для многих является самоцелью. Общественное порицание или наказание за нарушение формализованных правил может быть хорошим стопором для людей, боящихся, что это может негативно повлиять на их движение по карьерной лестнице. С другой стороны карьеризм является препятствием и для формирование командного духа, т.к. карьеристы обычно действуют по принципу «каждый за себя», «пойду по головам ради цели» и т.п., а это явно не способствует созданию небольших групп, в которых общественное порицание может оказать влияние на действия сотрудников.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Michail

    Алексей, а не подскажете, как называлась статья данного психолога ?

    Ответить
  2. Алексей Лукацкий

    Автор — http://www.wjh.harvard.edu/~mnkylab/HauserBio.html
    Книга (исследование) — http://www.amazon.com/Moral-Minds-Nature-Designed-Universal/dp/0060780703
    Обзор — http://www.nytimes.com/2006/08/27/books/review/Rorty.t.html

    Ответить
  3. Алексей Лукацкий

    Но он про саму безопасность не говорил. Это я транслировал его вывода на нашу область.

    Ответить
  4. Анонимный

    Есть более жесткие и эффективные меры функционирующие в ВС РФ
    "коллективное наказание" называется… Естественно не для всех форм управления годится, но если годится….

    Ответить
  5. Алексей Лукацкий

    😉

    Ответить
  6. Анонимный

    Надо не забыть также про ситуацию, когда мораль или общественное мнение играет НЕ на стороне ИБ. Например, в некоторых коллективах считается западло скрывать рутовый пароль от коллег.

    Ответить
  7. Алексей

    Алексей, пришёл в эту публикацию в процессе поиска простой и лаконичной версии «Политики ИБ» для организации 500+ человек. Коллеги из ИБ-службы написали документ на N+1 страниц, где включили всё что можно и нужно с их т.з., что сделало его на мой взгляд нечитаемым и неисполняемым.

    И решил задать вопрос не совсем по теме статьи: нет ли, вдруг, у вас под рукой скажем так простого и понятного шаблона (starter kit) для Политики ИБ ?

    Ответить
    1. Алексей Лукацкий автор

      Есть конечно — https://www.sans.org/information-security-policy/ Ну и до кучи — http://securitypolicy.ru/

      Ответить
      1. Алексей

        По первой ссылке:
        Access Denied
        Error 16
        http://www.sans.org
        2022-05-18 05:31:26 UTC

        ссанкции 🙂

        По второй — ушёл читать 🙂

        Ответить
        1. Алексей Лукацкий автор

          На любые санкции рекомендую использовать либо VPN, либо правильный плагин в браузере

          Ответить