CC BY
260
^ Марков А. А.
§ Корпоративная культура как элемент I информационной безопасности в отношении
о инсайдерских угроз
—
о
- Марков Александр Анатольевич
ш Северо-Западный институт управления — филиал РАНХиГС (Санкт-Петербург) О Доцент кафедры управления общественными отношениями Кандидат юридических наук, доцент dept.ksoim@engec.ru
РЕФЕРАТ
Настоящая работа посвящена исследованию феномена корпоративной культуры в условиях постиндустриального общества. Особенность предложенной темы заключается в социологическом анализе ситуации, связанной с особенностями внутриорганизацион-ной среды, способствующей в том числе росту инсайдерских информационных опасностей и угроз, и возможностями создания надлежащей корпоративной культуры как противодействия данной категории информационных угроз. Определенным новаторством настоящей работы является авторское видение формирования эффективно действующей корпоративной культуры как элемента информационной безопасности в локализации и устранении инсайдерских угроз.
КЛЮЧЕВЫЕ СЛОВА
инсайдер, информационная безопасность, информационная опасность, утечка информации, корпоративная культура, корпоративная философия, корпоративный кодекс
Markov A. A.
Corporate Culture аs 8n Element оf Information Safety for Insider Threat Markov Alexander Anatolyevich
North-West Institute of Management — branch of the Russian Presidential Academy of National Economy and Public
Administration (Saint-Petersburg, Russian Federation)
Associate professor of the Chair of Public Relations Management
PhD in jurisprudence, Associate Professor
dept.ksoim@engec.ru
ABSTRACT
This issue studies the phenomenon of corporate culture in a postindustrial society. Feature of the proposed topic is a sociological analysis of the situation connected with the peculiarities of intra-organizational environment conducive to, including the growth of insider information risks and threats and opportunities to create the right corporate culture as a counter of this category of information threats. Specific innovation of this paper is author's vision of forming an effective corporate culture as an element of information safety in the containment and elimination of insider threats.
KEYWORDS
insider information security, information risk, information leaks, corporate culture, corporate philosophy, corporate codes
В настоящее время становится все более очевидным, что проблемы обеспечения информационной безопасности непосредственно в организации (независимо от формы собственности, вида деятельности или статуса) все активнее перемещаются из сугубо технико-технологической сферы в психофизическую, т.е. приобретают не техногенный характер, а зависящий уже от психологического воздействия, пре-
жде всего на социальную позицию и социальное функционирование индивида, з группы, коллектива, общества, т. е. социальный характер. Это подтверждается ^ мнениями многих специалистов, в том числе и автор настоящей статьи высказывал § свою точку зрения по данному поводу [4]. Вне сомнения, технические угрозы (спам, £ компьютерные вирусы, хакерские проникновения, взломы, технологические сбои ^ и поломки и т. д.) информационной безопасности субъекта остаются актуальными ° и сейчас, но тем не менее по большому счету профессиональные действия специ- о алистов и соответствующее технико-технологическое обеспечение в состоянии ^ минимизировать вероятный ущерб от этих угроз или пресечь его вовсе. Зато дей- ш ствия инсайдера, которые не подвластны техническому контролю, ибо являются О производными психологической и социологической мотиваций данных действий, все чаще представляют особый вид информационных угроз — инсайдерских угроз, проблематика которых и противодействие которым лежат в социальной плоскости.
Мы должны уяснить, что любой производственный коллектив является определенной социальной частичкой (ячейкой). Данный коллектив представляет собой сложнейший механизм, в том числе внутриорганизационных отношений (иерархичных, коммуникационных, межличностных, деловых и т. д.). Именно в производственных коллективах индивидуум наиболее полно проявляет свои качества, интересы, воззрения, желания, черты характера. Именно в производственной среде максимально тратятся интеллектуальные и физические усилия человека, направленные не только на удовлетворение своих неких целей, но и на самоутверждение. Возможное сочетание целей и самоутверждения в негативном аспекте (корысть, месть, зависть и т. д.) превращают такого человека в инсайдера, способного ради себя пренебречь любыми ценностями собственной организации. Поэтому в этом плане нам представляется важным изучение тех факторов, которые способны привить индивиду, как работнику определенного производственного сообщества, такие понятия и представления о своем производственном коллективе, вследствие чего он не сможет стать инсайдером или стать иного рода вредителем своей организации, во всяком случае это окажется весьма затруднительно. И, на наш взгляд, в данном случае, если говорить именно о производственном коллективе, подобные факторы можно считать, если хотите, профилактирующим элементом информационной безопасности организации, так как этим оказывается непосредственное влияние в плане социально-психофизических аспектов информационной безопасности на превенцию, а в идеальном варианте — и на исключение инсайдерских угроз в организации. Одним из таковых элементов, мы считаем, является корпоративная культура. Именно в улучшении качества обеспечения информационной безопасности будут играть немаловажное значение формирование и общее повышение корпоративной культуры. Формирование, совершенствование, развитие корпоративной культуры организации основывается на использовании ряда социальных технологий, непосредственно «задействованных» на создание и продвижение корпоративных элементов в деятельности организации (например, корпоративный кодекс, фирменный стиль, корпоративная этика, корпоративный имидж и т. д.).
В определенной степени феномен корпоративной культуры стал предметом пристального внимания и изучения в связи с интенсификацией и усложнением производственной деятельности. Первоначально данный феномен изучался и использовался прежде всего для повышения эффективности деятельности персонала организации, его стимулирования полезной и качественной работы на основе существующих традиций, атрибутов, миссии собственной компании и т. д. И только в настоящее время, на наш взгляд, возникает новая цель внедрения корпоративной культуры в производственные коллективы, и данная цель всецело сопряжена с защитой стратегических и иных интересов организации, возникающих в результате инсайдерских угроз, чаще всего связанных с утечкой значимой ин-
з формации, что может привести к негативным последствиям (от финансовых до
имиджевых) для данной организации. 0 Корпоративная культура — это философия, определяющая и смысл существо-£ вания организации, и ее отношение к сотрудникам и клиентам; моральный и со-^ циальный климат, проявляющийся во внутренней атмосфере организации, взаи-° модействии с внешней средой; преобладающие ориентиры, лежащие в основе о формирования целей организации и путей их достижения; система взаимодействия д персонала в организации. А. Н. Занковский определяет корпоративную культуру как ш приобретенные смысловые системы, передаваемые посредством естественного О языка и других символических средств, которые выполняют репрезентативные, директивные и аффективные функции и способны создавать культуральное пространство и особое ощущение реальности [2].
По Барри Фегану, корпоративная культура — это идеи, интересы и ценности, разделяемые группой. Сюда входят опыт, навыки, традиции, процессы коммуникации и принятия решений, мифы, страхи, надежды, устремления и ожидания, реально испытанные сотрудниками. Корпоративная культура — это как люди относятся к хорошо сделанной работе, а также и то, что позволяет оборудованию и персоналу работать гармонично вместе. Это то, почему люди занимаются различной работой в рамках компании. Это то, как одни части компании видят другие ее части, и какие формы поведения выбирает для себя каждое из подразделений в результате этого видения [9].
Т. Ю. Базаров считает, что культура — сложный комплекс предположений, бездоказательно принимаемых всеми членами конкретной организации, задающий общие рамки поведения, принимаемые большей частью организации. Проявляется он в философии и идеологии управления, ценностных ориентациях, верованиях, ожиданиях, нормах поведения, регламентирует поведение человека и дает возможность прогнозировать его поведение в критических ситуациях [1].
Всемирно признанный ученый в вопросах организационной психологии и организационной культуры Э. Шейн определяет организационную культуру как комплекс базовых предположений, изобретенный, обнаруженный или разработанный группой для того, чтобы научиться справляться с проблемами внешней адаптации и внутренней интеграции. Необходимо, чтобы этот комплекс функционировал достаточно долго, подтвердил свою состоятельность, и потому он должен передаваться новым членам организации как правильный образ мышления и чувств в отношении упомянутых проблем [8].
В значительной степени сегодня организационная культура воспринимается как культура корпоративная, но при многих сходных взглядах на организационную и корпоративную культуру следует иметь в виду важное отличие: корпоративная культура в отличие от организационной достаточно пассивно ориентирована на внешнюю среду, но всецело задействована именно на внутреннюю среду и проявляется прежде всего и главным образом в организационном поведении сотрудников. Сюда следует отнести устойчивость, эффективность и надежность внутрисистемных организационных связей; дисциплину и культуру их исполнения; динамизм и адаптивность к нововведениям в организации; общепринятый (на всех уровнях) стиль управления, основанный на сотрудничестве; активные процессы позитивной самоорганизации и многое другое, что проявляется в корпоративном поведении работников в соответствии с принятыми нормами и признанными ценностями, объединяющими интересы отдельных людей, групп и организации в целом. Корпоративная культура предприятия призвана обеспечить адаптивное поведение организации во внешней среде. Она помогает предприятию выжить, победить в конкурентной борьбе, завоевать новые рынки и успешно развиваться. Но при этом ее основой являются внутренняя консолидация, взаимодействие и
о
о
взаимокоординация, основанные на четком разделении труда, ответственности и согласовании интересов.
Корпоративную культуру предприятия определяет формула: общие ценности — взаимовыгодные отношения и сотрудничество — добросовестное организационное поведение. Как культура вообще базируется на общепризнанных ценностях и общепринятых нормах (правилах) поведения, так и корпоративная культура на предприятии формируется на основе признанных ценностей и принятых норм поведения именно в данном коллективе и данной организации. g
Корпоративная культура, по определению, не может быть сконструирована и внедрена. Она не может быть даже заимствована. Заимствованы могут быть лишь некоторые структуры и механизмы связей, отражаемые в организационных проектах. Пересадка же с одной почвы на другую образа корпоративного поведения, как правило, бывает безуспешной. Каждый коллектив уникален: половозрастной состав, профессионально-квалификационная структура кадров, отраслевая, географическая специфика и т. п. — все это накладывает свой отпечаток. Большое значение имеет история становления предприятия, формирования самого коллектива и сложившиеся традиции. Носителями корпоративной культуры являются люди.
Однако в организациях с устоявшейся культурой она как бы отделяется от людей и становится атрибутом организации, ее частью, оказывающей активное воздействие на работников, модифицирующей их поведение в соответствии с теми нормами и ценностями, которые составляют ее основу. Руководство использует эту культуру для привлечения работников определенных типов и стимулирования определенных типов поведения. Культура, образ фирмы подкрепляются или ослабляются репутацией компании.
Таким образом, корпоративная культура позволяет в значительной мере сгладить проблему согласования индивидуальных целей с общей целью организации, формируя общее культурное пространство, включающее ценности, нормы и поведенческие модели, разделяемые всеми работниками. Если в синтез целей индивидуальных и корпоративных целей включается информационная безопасность, то отношение к ней, несомненно, корректируется в зависимости от ее места в перечне иных корпоративных целей.
Работа над корпоративной идентичностью столь важна, что нередко ведет к структурным изменениям, смене управляющих или репозиционированию организации, стремящейся обслуживать другие рынки. Меняется сама «личность», или «индивидуальность» организации.
Эти изменения значимы и существенны для позитивного имиджа организации. Cам факт существования понятий корпоративной идентичности, корпоративной индивидуальности свидетельствует об их значимости для успеха компании. И только в результате работы над корпоративной идентичностью и использования корпоративных коммуникаций (маркетинговых в том числе) возникает корпоративный имидж как некое интеллектуальное и духовное образование, ограниченное форматом самой организации, определяющее условия и правила ее персонала в установленной системе ценностей, которые и определяет корпоративный имидж.
Родоначальниками непосредственно кодексов корпоративного поведения считаются японские компании. Они довели регламентирование поведения внутри компании до абсолюта. Одним из первых корпоративных кодексов стал «Моральный кодекс сотрудника фирмы» компании Mitsushiti Electric, составленный в 1930 г. «Компания составила для своих работников трактат «Семь духов», объединивший принципы самурайского кодекса Бусидо и тогдашние представления об эффективном менеджменте» [7, с. 39].
Стоит также отметить, что в подобном кодексе отводится особое место в области развития и совершенствования практики корпоративного поведения. Обычно корпо-
з ративный кодекс представляет собой свод рекомендаций. Применение обществом его положений добровольно, основано на стремлении повысить привлекательность 0 общества в глазах существующих и потенциальных инвесторов. Кроме того, в корпо-£ ративном кодексе раскрываются основные принципы наилучшей практики корпора-^ тивного поведения, в соответствии с которыми российские общества могут строить ° свою систему корпоративного поведения, а также содержатся рекомендации по о практической реализации данных принципов и раскрытию соответствующей инфор-д мации. Разумеется, круг компаний, которые последовательно улучшают свое корпо-ш ративное управление, все еще невелик. Однако уже значительно заметен избирательный подход к такому улучшению с акцентом на небольшой круг вопросов, пользующихся вниманием средств массовой информации и аналитиков, а также очевидно общее улучшение практики корпоративного управления. Однако «при формировании собственной политики корпоративного поведения общества могут самостоятельно определять, каким правилам и процедурам, рекомендованным Кодексом, им следовать, и разрабатывать иные правила и процедуры в соответствии с принципами корпоративного поведения, раскрытыми в Кодексе» [6, с. 27].
В последнее время количество компаний, в той или иной степени учитывающих рекомендации кодекса в своей практике, увеличилось. Более того, растет число акционерных обществ, которые принимают свои собственные кодексы. Для сравнения: «в 2001 г., до появления Кодекса корпоративного поведения, в России такой документ был абсолютной экзотикой, которым обладали лишь считанные единицы компаний. У некоторых из них он существовал в объеме трех-четырех страниц, а сегодня во многих обществах кодекс является необходимым фактором корпоративной жизни, влияющим на поведение инвесторов и развитие компании в целом» [3, с. 17].
В настоящее время кодексы корпоративного управления разрабатываются разными институтами: комиссиями по рынку ценных бумаг, фондовыми биржами, инвесторами и их ассоциациями, наднациональными организациями. Корпоративные кодексы, созданные в различных компаниях, различаются своими масштабами и деталями, но почти все провозглашают «четыре основополагающих принципа:
• равное отношение ко всем акционерам, чьи права должны соблюдаться;
• подотчетность совета директоров и менеджмента;
• раскрытие информации и прозрачность, то есть своевременное и полное предоставление финансовой и иной отчетности;
• ответственность за соблюдение интересов миноритарных акционеров и других групп интересов, а также за неукоснительное следование духу и букве закона» [5, с. 304].
Таким образом, кодексы корпоративной этики призваны сократить противоречия в интересах различных групп внутренней и внешней общественности организации. Деятельность любой структуры включает в себя экономические и общественные отношения между достаточно большим количеством рыночных сегментов: клиентами, наемными рабочими, акционерами, поставщиками, конкурентами, правительственными институтами и общественными организациями. За последние годы кодексы корпоративного управления получили широкое распространение в мире. Они не имеют законодательной силы, но тем не менее действительно способствуют улучшению практики корпоративного управления. Для наиболее эффективного менеджмента необходимо учитывать всю совокупность интересов, несмотря на то что зачастую заинтересованные группы выдвигают противоречивые требования, поэтому здесь важнейшая задача кодекса корпоративной этики — установить приоритеты в отношении целевых групп и пути согласования их интересов.
При составлении корпоративного либо этического кодекса первым шагом должно стать определение его целей. Кодекс должен быть эффективным документом,
который будет действительно влиять на поведение сотрудников и результаты ком- 3 пании. С одной стороны, эти стандарты должны быть четким отражением видения ^ руководства, основанными на выбранной стратегии компании, желаемой практике § поведения на рынке и обслуживания клиентов. С другой стороны, следование £ стандартам поведения — глубоко личный, индивидуальный выбор, который нельзя ^ навязать силой. Поэтому эти стандарты должны исходить снизу, чтобы быть при- § нятыми широким кругом сотрудников. о
Таким образом, можно подчеркнуть, что кодексы корпоративного управления ^ описывают организационные структуры и их функции внутри компании, а этический ш кодекс создается в первую очередь для сотрудников и представляет собой духовную составляющую компании.
Одними из актуальных информационных угроз в рамках производственного коллектива являются инсайдерские. Обеспечивая себя от информационных угроз извне, компании переключаются на более сложные внутренние угрозы, пытаясь защититься от произвола собственных сотрудников. Это подтверждают и данные опросов, какие угрозы информационной безопасности беспокоят в настоящее время компании чаще других. По мнению аналитиков PwC, опирающихся в своих выводах на масштабное исследование, главной угрозой теперь оказываются собственные сотрудники компаний. Причем не только нынешние, но и бывшие сотрудники. Хакеры же и другие внешние злоумышленники, доминировавшие на протяжении последних 5 лет, существенно снизили свою опасность. Причины такого снижения вполне очевидны: все современные организации/предприятия имеют в наличии, во всяком случае обязаны иметь надежные технические средства антивирусной и антихакерской защиты, позволяющие резко снизить уровень таких внешних информационных угроз. Все прочие информационные угрозы приходятся на всякого рода контрагентов — партнеров, клиентов, подрядчиков и поставщиков. Об этом наглядно свидетельствуют нижеприводимая диаграмма (рис. 1), где приводятся сравнительные данные источников внешних и внутренних угроз1.
Представляя такое явление, как корпоративная культура, в противовес инсайдерским угрозам, мы видим, что все проанализированные ее элементы вполне самостоятельно и в совокупности могут создавать необходимый корпоративный дух, который способствует не только внутреннему деловому и эмоциональному сплочению коллектива ради достижения заданных целей своей организации, но и повышает внутренний настрой индивидуума — члена этого коллектива на самоорганизацию, на защиту интересов организации собственной осознанной деятельностью. И такой индивидуум менее всего будет способен на неадекватный поступок, разгильдяйство, кражу информации в чужих интересах и пр. Его поведение, адаптированное к корпоративной культуре своей организации, оказывается лучшим механизмом противодействия различным угрозам для собственной организации, включая и информационные угрозы.
Следовательно, рассматривая в настоящей статье корпоративную культуру как уникальную социальную технологию с ее множественными элементами в условиях функционирования современного постиндустриального общества, характеризующегося интенсивным развитием и влиянием на социум, мы можем считать корпоративную культуру одним из современных эффективных профилактических элементов надлежащего обеспечения информационной безопасности прежде всего от внутренних угроз и преимущественно в активных производственных и управленческих структурах общества, таких как организация, предприятие, корпорация.
1 Использованы данные исследования «Инсайдерские угрозы в России - 2008», проведен-
ного компанией Репте1пх в 2008 г. Сайт компании Репте1пх — Ш_: http://perimetrix.ru/.
о ö
о
ш
ш
О
□ 2007 H 2008
Оценка сравнительных данных источников внешних и внутренних угроз в 2006 и 2007 гг.
Литература
1. Базаров Т. Ю. Психологические грани изменяющейся организации. М.: Аспект Пресс, 2007.
2. Занковский А. Н. Организационная психология. М.: МПСИ, 2002.
3. Кодекс корпоративного поведения: вчера, сегодня, завтра // Акционерный вестник. 2007. № 4 (19).
4. Марков А. А. Актуальные вопросы информационной безопасности в постиндустриальном обществе. СПб: Изд-во СПбГИЭУ, 2010.
5. Мильнер Б. З. Управление знаниями в корпорациях. М.: Дело, при поддержке НСКУ, 2006.
6. О рекомендации к применению «Кодекса корпоративного поведения»: Распоряжение Федеральной комиссии по рынку ценных бумаг от 04.04.2002 г. № 421/р // Правовое положение акционерных обществ: учеб. пособие. М., 2003.
7. Тульсанова О. Л., Дорский А. Ю. Этическое и правовое регулирование связей с общественностью и рекламы. СПб., 2006.
8. Edgar H. Schein. Organizational Culture and Leadership. LA, USA, 1998.
9. Phegan B. Developing Your Company Culture. The Joy of Leadership. (A Handbook for Leaders and Managers). Berkeley: Context Press, 1994.
References
1. Bazarov T. Yu. Psychological sides of the changing organization [Psikhologicheskie grani izme-nyayushcheisya organizatsii]. M.: Aspect Press [Aspekt Press], 2007.
2. Zankovsky A. N. Organizational psychology [Organizatsionnaya psikhologiya]. M.: MPSI, 2002. 3
3. Code of corporate behavior: yesterday, today, tomorrow [Kodeks korporativnogo povedeniya: J vchera, segodnya, zavtra] // Joint-stock messenger [Aktsionernyi vestnik]. 2007. N 4 (19). o
4. Markov A. A. Actual issues of information security in post-industrial society [Aktual'nye voprosy S informatsionnoi bezopasnosti v postindustrial'nom obshchestve]. SPb.: SPbSIEU [SPbGIEU], CL 2010. ^
5. Milner B. Z. Management of knowledge in corporations [Upravlenie znaniyami v korporatsiyakh]. m M.: Delo, with support NSCU [Delo, pri podderzhke NSKU], 2006. o
6. On the recommendation to application of the Code of corporate behavior: Order of the Federal ^ commission on securities market [Rasporyazhenie Federal'
on 04.04.2002 N 421/p // Legal status of joint-stock companies: tutorial [«O rekomendatsii k prim- ° eneniyu Kodeksa korporativnogo povedeniya». Pravovoe polozhenie aktsionernykh obshchestv: uchebnoe posobie]. M., 2003.
7. Tulsanova O. L., Dorsky A.Yu. Ethical and legal regulation of public relations and advertising [Eticheskoe i pravovoe regulirovanie svyazei s obshchestvennost'yu i reklamy]. SPb., 2006.
8. Edgar H. Schein. Organizational Culture and Leadership. LA, USA, 1998.
9. Phegan B. Developing Your Company Culture. The Joy of Leadership (A Handbook for Leaders and Managers). Berkeley: Context Press, 1994.
