Контакты
Подписка
МЕНЮ
Контакты
Подписка

Способы диагностики и оценки лояльности персонала как составляющей кадровой безопасности организации

Способы диагностики и оценки лояльности персонала как составляющей кадровой безопасности организации

В рубрику "JOB" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Способы диагностики и оценки лояльности персонала как составляющей кадровой безопасности организации

Одним из ключевых элементов системы безопасности любой организации является персонал. По данным отечественных и зарубежных исследований, количество утечек информации от работников организации составляет от 60 до 80%. При этом доля так называемых квалифицированных утечек, т.е. когда работники умышленно осуществляют хищение информации или создают утечку, колеблется от 15 до 30%. Высокий процент умышленных утечек (в России порядка 25%) является следствием отсутствия либо недостаточной проработанности системы управления лояльностью персонала.
Константин Саматов
Начальник отдела по защите информации ТФОМС
Свердловской области, член Ассоциации руководителей
служб информационной безопасности, преподаватель
дисциплин информационной безопасности в
УрГЭУ и УРТК им. А.С. Попова.

Несколько слов о лояльности

Говоря о "лояльности персонала", следует обратить внимание на то, что единого понимания того, что вкладывать в смысл этого термина, на сегодняшний день нет. По сути, присутствует две точки зрения на данное явление: одна точка зрения специалистов по кадровой работе, другая – специалистов в области безопасности.

"Лояльность персонала" с точки зрения HR-менеджеров понимается как конкурентное преимущество организации, достигаемое за счет эффективного и самоотверженного труда работников, преданных своей организации и приверженных ее целям. Указанный подход отражен, в частности, в научных работах такого специалиста в области управления персоналом, как М.И. Магура.

С точки зрения специалистов в области кадровой безопасности предприятия (А.И. Ефимов, В.С. Вихорев, А.И. Ковров, И.Г. Чумарин) "лояльность персонала" понимается как профессиональная пригодность и надежность.

DLP-системы в настоящее время являются одним из популярных решений по контролю за персоналом, используемых руководителями служб как информационной, так и экономической безопасности.

Профессиональная пригодность понимается как фактор обеспечения экономической безопасности организации, а именно способность качественно выполнять свою работу и получать заслуженное вознаграждение за выполняемую трудовую функцию. Надежность связана в первую очередь с отсутствием таких проявлений поведения работника, как: хищения и утечка информации, прогулы и опоздания на работу, абсентеизм, злоупотребление спиртными напитками.

На практике широко распространена такая точка зрения, что от 10 до 20% работников – люди абсолютно честные, которые не пойдут на воровство материальных ценностей, хищение или "слив" информации ни при каких обстоятельствах. Еще 10–20% будут пользоваться малейшей возможностью, чтобы совершить указанные нарушения, – их не удержит никакой контроль, каким бы жестким он ни был. Оставшиеся работники, 60–80%, – эта группа является довольно чувствительной к наличию возможностей для совершения противоправных действий. По своей природе это люди честные, однако при наличии подходящей возможности они могут решиться на нарушение.

Таким образом, задачами специалиста по безопасности организации является отсеивание (минимизация) приема на работу тех 10–20% субъектов, которые склонны к постоянным нарушениям, и создание системы мер, препятствующих возникновению возможностей для совершения противоправных действий.

Откуда берутся нелояльные сотрудники и какие они бывают?

В теории и практике управления персоналом выделяют две основные группы причин, приводящих к утрате лояльности работниками организации:

  1. Причины, относящиеся к самой организации (компании, фирме): неэффективная система оплаты труда и мотивации персонала, отсутствие понимания карьерных перспектив, отсутствие четкого вектора развития организации (отсутствие стабильности), недовольство личностью руководителя и т.п.
  2. Личностные стереотипы самого работника. К примеру, аддитивное поведение (уход от реальности путем злоупотребления алкоголем, азартными или компьютерными играми), антисоциальное поведение (склонность к нарушению этических норм), аутистическое поведение (склонность избегать социальных контактов), фанатичное поведение (приверженность какой-либо идее), суицидальное поведениеи т.п.
В ряде организаций практикуются опросные беседы с использованием полиграфа. Хотя, по мнению автора, применение методов инструментальной диагностики на этапе собеседования нежелательно в силу, во-первых, достаточно трудоемкой предварительной подготовки, во-вторых, возможного негативного отношения квалифицированных специалистов к указанной процедуре и, как следствие, потери достойного кандидата.

Низкий уровень лояльности персонала не только приводит к оттоку из организации высококвалифицированных работников (так называемая текучка кадров), возникновению внутрифирменных конфликтов, снижению мотивации работников, но и является базой для формирования так называемых внутренних нарушителей (инсайдеров). При этом следует отметить, что в качестве внутреннего нарушителя не всегда выступает нелояльный сотрудник. Имеются и вполне лояльные работники, допускающие нарушение конфиденциальности, целостности и доступности информации вследствие ошибок (неумышленных) в своей деятельности. С точки зрения понимания поведения внутренних нарушителей, по мнению автора, целесообразно рассмотреть их классификацию.

Впервые классификация внутренних нарушителей была предложена международной научно-исследовательской компанией IDCв 2006 г. и в этом же году была дополнена российским производителем DLP-систем – компанией InfoWatch.

Краткая характеристика инсайдеров по классификации InfoWatch [4, с. 19–21]:

  • халатные ("неосторожные") – невнимательные и низкоквалифицированные работники, создающие инциденты информационной безопасности по неосторожности и без умысла;
  • манипулируемые – работники, нарушившие правила информационной безопасности под воздействием так называемой социальной инженерии, т.е. умышленно введенные в заблуждение злоумышленником;
  • обиженные ("саботажники") – работники, которые стремятся нанести вред организации по личным мотивам (обида из-за недостаточной оценки их роли в компании либо недостаточного размера материального вознаграждения);
  • нелояльные инсайдеры – сотрудники, решившие сменить место работы. По мнению автора, при классификации нарушителей имело место узкое толкование термина "лояльность";
  • подрабатывающие – сотрудники, работающие по совместительству либо выполняющие какие-либо разовые работы у организаций конкурентов либо схожей сферы деятельности;
  • внедренные. В современных условиях к внедрению лиц, оказывающих содействие на конфиденциальной основе, прибегают не только в государственных интересах, но и для промышленного шпионажа, хищения информации ограниченного доступа и оказания влияния на руководство организации.

В данной классификации первые два типа – халатный и манипулируемый – относятся к категории лояльных работников, во всех остальных случаях, по сути, речь идет о нелояльных сотрудниках. Таким образом, большинство внутренних нарушителей (инсайдеров) относится к нелояльным работникам. Именно на выявление указанных категорий инсайдеров должно быть направлено внимание специалиста по безопасности.

Способы диагностики и оценки лояльности персонала

Начинать диагностику лояльности персонала необходимо с этапа отбора соискателей вакантных рабочих мест. Оценка лояльности на данном этапе позволит оценить потенциал будущего сотрудника и его склонность быть лояльным. Способами диагностики на данном этапе могут быть: анкетирование, ответы на вопросы в анкете, которую заполняет кандидат перед собеседованием, или опросная беседа в ходе самого собеседования. В случае опросной беседы можно проводить ее видеозапись (с предварительного письменного согласия), чтобы в последующем имеющийся в штате специалист по безинструментальной детекции лжи (сотрудник службы безопасности) мог ее просмотреть и дать соответствующее заключение.

На практике широко распространена такая точка зрения, что от 10 до 20% работников – люди абсолютно честные, которые не пойдут на воровство материальных ценностей, хищение или "слив" информации ни при каких обстоятельствах. Еще 10–20% будут пользоваться малейшей возможностью, чтобы совершить указанные нарушения, – их не удержит никакой контроль, каким бы жестким он ни был. Оставшиеся работники, 60–80%, – эта группа является довольно чувствительной к наличию возможностей для совершения противоправных действий. По своей природе это люди честные, однако при наличии подходящей возможности они могут решиться на нарушение.

Кроме того, в ряде организаций практикуются опросные беседы с использованием полиграфа. Хотя, по мнению автора, применение методов инструментальной диагностики на этапе собеседования нежелательно в силу, во-первых, достаточно трудоемкой предварительной подготовки, во-вторых, возможного негативного отношения квалифицированных специалистов к указанной процедуре и, как следствие, потери достойного кандидата. Использование полиграфа допустимо лишь при принятии на работу в организации, работающие с государственной тайной или осуществляющие конфиденциальные (секретные) научно-технические разработки, а также при расследовании инцидентов.

Вопросы, которые позволят оценить лояльность будущего работника, должны включать в себя следующие темы: причина выбора предыдущего места работы, характеристика взаимоотношений на предыдущем месте работы (с руководством, коллегами, клиентами), что нравилось и что не нравилось на предыдущем месте работы, жизненные принципы соискателя, действия в проблемных ситуациях (когда не хватает знаний, умений и навыков) и т.п.

Для работников организации диагностика и оценка лояльности может осуществляться следующими способами:

1. Анкетирование. Принципы применения указанного метода аналогичны описанным выше. Вся разница будет лишь в вопросах, включенных в анкету. В указанную анкету, по мнению автора, целесообразно включать балльную оценку удовлетворенности сотрудников следующими аспектами работы: организацией труда, содержанием труда, условиями труда, размером заработной платы, системой материального и нематериального стимулирования, отношениями с коллегами и руководителем, удовлетворенность стилем руководства менеджеров, перспективам карьерного роста.

При анкетировании персонала, по мнению автора, целесообразно включать в анкеты вопрос, направленный на расчет такого показателя, как индекс чистой лояльности работника – еNPS (анг. Employee Net Promoter Score). Данный индекс был первоначально использован при оценке лояльности клиентов компаний, а затем адаптирован в сферу управления персоналом. Для расчета указанного индекса достаточно включить в анкету следующий вопрос: c какой вероятностью вы порекомендуете свою компанию друзьям и знакомым? (нужно поставить балл от 1 до 10). На основании анализа указанного показателя можно прогнозировать текучесть кадров, их результативность и выявлять возможные группы риска.

Кроме того, можно использовать анкеты-опросники, составленные по методикам оценки лояльности персонала Л.Г. Почебут – О.Е. Королевой и Д. Мейера – Н. Ален.

2. Метод проективных вопросов. Достаточно трудоемкий и требующий специальных знаний в области психологии. Суть данного метода в том, что сотруднику предлагают ответить на так называемые открытые вопросы, например "Какими качествами должен обладать хороший руководитель?", "Какие условия должны быть созданы для эффективной работы?". Указанные вопросы предполагают развернутый ответ, интерпретация которого позволит определить, насколько лоялен работник организации и какие меры можно предпринять для повышения его лояльности.

3. Интервью. Также достаточно трудоемкий метод. Его использование целесообразно для оценки лояльности управленцев или высококвалифицированных работников, ценных для организации. При проведении интервью целесообразно применять как открытые, так и закрытые вопросы, примеры которых приведены выше.

4. Систематический мониторинг рабочей активности. Индикаторами низкой лояльности работников могут быть выявленные факты нарушения трудовой дисциплины и инциденты информационной безопасности.

Так, например, для выявления фактов опозданий и ранних уходов с рабочего места можно использовать журналы системы контроля доступа в помещение работодателя.

Для выявления различных групп инсайдеров в настоящее время существуют два типа систем мониторинга и защиты информации – DataLoss (Leak) Protection (Prevention) (DLP) и Use randentity behavior analytics UEBA.


DLP-системы в настоящее время являются одним из популярных решений по контролю за персоналом, используемых руководителями служб как информационной, так и экономической безопасности. Большинство существующих на рынке систем данного класса дает возможность обеспечить не только мониторинг и блокировку электронных каналов коммуникации, но и мониторинг активности пользователей, позволяющий выявлять сотрудников, нерационально использующих рабочее время: опаздывают на работу и уходят раньше, сидят в социальных сетях, играют в компьютерные игры, работают "на себя".

Системы UEBA предназначены для анализа поведения пользователей, построения их профилей и выявления поведения, отклоняющегося от нормы, которое может свидетельствовать о снижении лояльности.

5. Анализ активности пользователей в социальных сетях. В настоящее время практически у каждого работника имеется профиль в социальной сети, а зачастую в нескольких. Анализ профиля в социальной сети позволяет выявлять нелояльных работников путем оценки их высказываний об организации, коллегах и руководстве в комментариях или публикуемых постах, фиксации времени активности в сети, членстве в группах (например, группы по поиску работы).

Завершение диагностики лояльности работника, по мнению автора, должно осуществляться на этапе его увольнения из организации. Оценка лояльности на указанном этапе направлена на прогнозирование причинения вреда интересам организации ее бывшим работником после увольнения. Методы проведения – анкетирование или опрос. К примеру, автор в обязательном порядке проводит с увольняющимися работниками беседу перед подписанием так называемых обходных листов с целью выявления настроя бывшего работника к организации, а также мотивов увольнения (позитивные или негативные).

Подводя итоги

Тема защиты от внутренних нарушителей с каждым днем становится все более актуальной. Однако необходимо понимать, что обеспечить защиту только лишь техническими мерами не получится. Важным элементом в работе специалиста по безопасности должны стать оценка лояльности персонала, работа с нелояльными сотрудниками и недопущение (минимизация) инцидентов, возникающих как следствие действий указанных работников.

При этом работа по оценке лояльности персонала, по мнению автора, должна проводиться сотрудниками служб безопасности совместно с кадровыми подразделениями, а для обеспечения эффективной работы, направленной на предупреждение противоправной активности инсайдеров, необходимо формировать в организации систему управления лояльностью персонала.

Литература

  1. Ефимов А.И., Вихорев С.В. Практические советы менеджеру или руководителю службы безопасности. [Электронный ресурс]. URL: http://academy.nw.ru/students/norm/norm/sovet.html (дата обращения: 04.08.2017)
  2. Ковров А. Лояльность персонала: что и как изучается в организации. // Мир и безопасность. –1998. – № 2.
  3. Магура М.И. Патриотизм персонала по отношению к своей организации – решающее конкурентное преимущество. // Управление персоналом. – 1998. – № 11.
  4. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. – СПб.: Питер, 2008. – 320 с.: ил.
  5. Утечки данных. Россия. 2016 // Аналитический центр InfoWatch. 2017. – 06 июня 2017 [Электронный ресурс]. URL: http://www.infowatch.ru/analytics/reports (дата обращения: 17.07.2017).
  6. Чумарин И.Г. Люди и организации: деструктивное противодействие. // Люди и организации. Сборник тезисов Третьей Всероссийской конференции – СПб, ЗАО "ИМАТОН-М", 2000.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2017

Приобрести этот номер или подписаться

Статьи про теме