Психология и профайлинг, все больше проникая в работу специалиста по безопасности, тянут за собой ложные знания и заблуждения. К примеру, представление, что есть некие плохие психотипы или люди, «заточенные» под слив информации и другие нарушения. Я часто в своей практике встречаюсь с такой идеей. Однако если бы это было правдой, то работа безопасников стала бы в разы проще: провел профилирующие беседы и тестирование со всеми сотрудниками и кандидатами, выявил «природных» злоумышленников и доложил руководству, кто завтра навредит бизнесу. Можно даже сразу уволить для надежности.
На деле же все намного сложнее. Попробуем разобраться.
Откуда у заблуждения ноги растут?
Обычно проблема кроется в искаженном и очень упрощенном понимании психотипов. Когда люди сталкиваются с классической терминологией профайлинга, им кажется, что каждый человек, условно говоря, либо негативный, либо позитивный. То есть от людей с определенными качествами однозначно стоит ждать нарушения, остальное — лишь вопрос времени.
К примеру, психотип шизоид подсознательно связывают с понятием шизофрения — а человек с таким диагнозом точно принесет неприятности. На самом же деле, шизоиды практически никогда не болеют шизофренией, это название всего лишь отражает некоторые стратегии мышления: повышенную тягу к знаниям и информации, скатывание в рассуждениях на вторичные признаки, нестандартное и даже парадоксальное восприятие мира.
У каждого человека есть определенные особенности мировоззрения, реакций на события, отношений к различным явлениям. Но нельзя сказать, что есть плохие и хорошие люди или априори опасные и неопасные для информационной безопасности сотрудники.
Что на самом деле дает знание психотипов ИБ-специалисту?
Все говорят про комплексный подход к безопасности, но в то же время разделяют профилирование и ИБ. Я считаю это ошибкой. Ведь профайлинг крайне эффективен для снижения рисков: он дает понимание, как человек будет вести себя в той или иной ситуации. А ситуации в рабочей среде могут быть самые разные: конфликт в коллективе, изменение условий труда, изменение конъюнктуры рынка или плохие отношения с руководителем. Люди на такие ситуации реагируют индивидуально, и как раз эта информация окажется полезной для задач ИБ-специалиста.
Например, во время конфликта в коллективе сотрудники ведут себя по-разному: кто-то станет усиливать и усугублять его, кто-то замкнется, кто-то будет «закрывать глаза», кто-то примерит роль миротворца. А кто-то решит отомстить, но позже, когда накал немного спадет. В чем выразится негативная эмоция, сложно знать заранее, но ИБ-специалист может спрогнозировать, кто на что способен и как будет действовать. А значит, он точно будет знать, откуда ожидать угрозы, где то самое «слабое звено».
Еще один пример: для любого руководителя увольнение сотрудника — это в некоторой степени проблема, потому что огромное количество нарушений случается именно когда человек уходит. Знание и понимание психотипов сотрудников дает четкий ответ, с кем и как нужно расставаться. Есть люди, с которыми достаточно поговорить, описать ситуацию, пожать руки и расстаться по-хорошему. А есть люди, риски по которым лучше всего нивелировать сразу и жестко, потому что потери могут быть слишком велики. Ведь за улыбкой и преданностью компании «на словах» могут скрываться разрушительные для бизнеса действия: копирование базы клиентов, «вербовка» бывших коллег или уничтожение важных данных.
Коротко о главном
Стоит понимать, что человек — не набор шаблонов и стереотипов поведения. И с точки зрения безопасности не нужно углубляться в каждый темный уголок души. Специалисту по безопасности достаточно понимать стратегию поведения: как человек будет себя вести в той или иной ситуации. У каждого есть определенные базовые ценности, уровень амбиций, уровень конфликтности и степень лояльности. Профайлинг позволяет эти вещи определить и использовать для защиты бизнеса от угроз, связанных с человеческим фактором. К примеру, решить, стоит ли этого конкретного сотрудника ставить на закупки и какова вероятность, что он нагреет руки на сделках. Обнаружить и оценить слабые места в человеке можно, но повесить ярлык: этот вор, а тот нет — невозможно.
Мои опыт и опыт коллег по цеху говорит, что в среднем в любой компании 15% сотрудников маловероятно пойдут на нарушения, 15% — очень вероятно, если будет такая возможность, а остальные 70% — это люди неопределившиеся: неизвестно, как они поступят в той или иной ситуации. Есть люди, которые откажутся от предложенного отката, если у них все хорошо с достатком. А есть те, кто согласятся в любом случае. Задача профайлинга — помочь ИБ-специалисту выяснить, как сотрудники поведут себя в той или иной ситуации, и подготовиться к возможным рискам.
Автор статьи — директор по безопасности «СёрчИнформ».