Library
|
Your profile |
National Security
Reference:
Kuznetsova N.V.
Development of the position safety profile as a tool for assessing threats to organi-zational personnel security
// National Security.
2017. № 1.
P. 68-86.
DOI: 10.7256/2454-0668.2017.1.20889 URL: https://en.nbpublish.com/library_read_article.php?id=20889
Development of the position safety profile as a tool for assessing threats to organi-zational personnel security
DOI: 10.7256/2454-0668.2017.1.20889Received: 28-10-2016Published: 07-03-2017Abstract: In the current environment, many companies have faced the need to develop a fundamentally new approach to security, including its personnel component, which considers as a necessary condition for the preservation of the most qualified employees from competitors enticement, as well as for the protection of financial, informational and material resources of the organization. This work proposes the use of position safety profile to assess threats posed by staff and personnel security vulnerabilities. The study is based of the expert survey (а 10 interviews with representatives of various companies of Irkutsk). The experts made the selection criteria of experience in human resource management or business security, as well as the type of economic activity of the organization in which they are engaged. According to the survey a qualitative de-scription of the profile. The position safety profile can act as a separate tool to ensure organizational personnel security, and can be used as a supplement to the position profile. The article describes the purpose of position safety profile, composition of the main sections (general require-ments for position safety, possible forms and methods of threats realisation, require-ments for the presence of personal, professional-important qualities, behavior, essential for safety, vulnerabilities profile, assessment of the violating potential of personnel se-curity (violator potential), documented cases of safety requirements violation), as well as advantages and limitations in the use. Keywords: Personnel security, personnel security threats, profile security positions, security vulnerabilities, potential violator, company, security, assessment of vulnerabilities, personnel security vulnerabilities, violatorВведение Построение профилей получило широкое распространение в кадровом менеджменте. В теории и практике управления персоналом разрабатываются различные профили: профили должности [1; 2], кадровые рисковые профили [3-5], профили ключевого сотрудника [6] и т.д. Профилирование позволяет определить, какими компетенциями должен обладать сотрудник, занимающий ту или иную должность, какие из них являются наиболее важными [2], является одним из инструментов оценки персонала. Вместе с тем использование данных профилей не позволяет оценить угрозы, исходящие от каждого рабочего места (должности), и уязвимости (слабые места, которые делают возможной реализацию угроз), а также определить комплекс мер, обеспечивающий достаточный уровень защищенности ресурсов организации. С этой целью предлагаем использование профиля безопасности должности. Назначение профиля безопасности должности В отличие от профиля должности, который представляет собой систему компетенций, которыми должен обладать сотрудник, выполняя задачи должности, и который включает требования должности к профессиональным знаниям и навыкам работника и к уровню выраженности его личностных особенностей, свойств и качеств, профиль безопасности может использоваться как инструмент оценки риска безопасности каждой должности. Иными словами, если формирование профиля должности состоит в анализе работы сотрудника и определении тех качеств (ключевых знаний, умений, навыков, личностных качеств), которые дают возможность выполнять работу наиболее результативно [2, C.33], то в основе построения профиля безопасности должности лежит оценка потенциала угроз, исходящих от должности (рабочего места), возможных уязвимостей и мер защиты, необходимых для минимизации и нейтрализации кадровых угроз. Он может выступать как самостоятельный инструмент обеспечения кадровой безопасности организации, так и использоваться в качестве дополнения к профилю должности. Целью построения профиля безопасности является оценка угроз, исходящих от каждого рабочего места (должности), и уязвимостей кадровой безопасности, а также определение мер, обеспечивающих защищенность корпоративных ресурсов. Форма профиля представлена на рис. 1.
Рис. 1 Профиль безопасности должности (макет) Описание содержания профиля Профиль безопасности должности состоит из шести разделов. Раздел 1. Общие требования к безопасности должности. Указывается наименование должности, ее включенность в бизнес-процессы компании, рисковый потенциал, а также дается оценка наличия возможного конфликта интересов. В зависимости от занимаемой должности (выполняемой работы, профессии и т.д.) работников организации можно отнести к следующим рисковым зонам: I – зона максимального риска. Сюда относятся топ-менеджеры, совладельцы бизнеса, сотрудники, обеспечивающие корпоративную безопасность (работники кадровой службы, службы безопасности, руководители структурных подразделений), особо ценные (ключевые) сотрудники. II – зона повышенного риска: сотрудники, имеющие доступ к информационным и финансовым ресурсам, материальным активам, владеющие коммерческой тайной и конфиденциальной информацией, сотрудники, которым сложно найти замену (представители «дефицитных» профессий, работники, имеющие полезные связи и знакомства и пр.). III – зона умеренного риска: работники, владеющие фрагментарной информацией о деятельности организации (работники, курирующие клиентские группы, имеющие ограниченный доступ к информации с грифом конфиденциальности и т.д.), сотрудники, выполняющие функции обслуживания персонала, входящего в зону максимального и повышенного риска (уборщицы, секретари, телохранители, водители и пр.) IV – зона слабого (незначительного) риска: остальной персонал организации. В обобщенном виде распределение работников по указанным группам можно представить в виде модели ядра кадровой безопасности организации (рис. 2). Рис. 2 Модель кадрового ядра безопасности организации Выделение в составе модели ядра и периферии необходимо для ранжирования работников организации с позиции причинения возможного ущерба ее имущественным и неимущественным интересам: чем ближе к центру ядра, тем разрушительнее потенциал угроз, исходящих от персонала. Соответственно, тем выше должны быть затраты на обеспечение защиты интересов организации в адрес той или иной группы персонала и с его стороны. Раздел 2. Возможные формы и методы реализации угроз. В данном разделе детально прописываются формы и методы реализации угроз, которые могут исходить от данного рабочего места (должности). В качестве примера в таблице 1 предложено описание методов реализации мошеннических действий руководителя кадровой службы [7]. К числу основных форм их реализации можно отнести такие, как завышение (фальсификация) тех или иных параметров оплаты труда, что ведет к увеличению (формированию) денежных сумм, которые впоследствии присваиваются лично, или в сговоре с работником, которому предназначена легальная часть этих выплат, введение в заблуждение работников или использование их правовой безграмотности в личных целях, связанное с начислением и дальнейшим присвоением положенных по законодательству выплат, получение с заинтересованных лиц незаконных вознаграждений («отката») за предоставление неких выгод, преимуществ, за невыполнение тех или иных обязанностей, злоупотребление служебным положением и полномочиями в целях личной выгоды. Таблица 1 Пример описания методов реализации мошеннических действий руководителя кадровой службы
По каждой угрозе дается экспертная оценка вероятности ее реализации и возможного ущерба. Раздел 3. Требования к наличию личностных, профессионально-важных качеств, поведению, необходимых для обеспечения безопасности. С точки зрения обеспечения кадровой безопасности важным является понимание того, как угрозы связаны с теми или иными личностными качествами и особенностями сотрудника, т.к. именно их наличие или отсутствие делает работника опасным или безопасным. Эти обстоятельства позволили сформулировать предположение о возможности построения некоего профиля работника, который является «безопасным» для организации. Всего было выделено шесть групп характеристик, образующих обобщенный профиль безопасного сотрудника: он знает и понимает правила и процедуры обеспечения кадровой безопасности, профессионально надежен, не страдает различного рода зависимостями, у него отсутствует повышенная уязвимость перед внешней средой, он морально и психологически надежен. В дальнейшем каждая группа характеристик профиля подверглась детальной проработке, в результате которой было дано качественное описание качеств, черт характера, особенностей поведения безопасного работника. Стоит отметить, что предложенные характеристики могут уточняться исходя из модели компетенций конкретной компании, особенностей оценки и контроля персонала, используемых в ней. Для количественной оценки степени выраженности тех или иных характеристик целесообразно использовать методы экспертной оценки. В качестве экспертов рекомендуется привлекать специалистов службы безопасности, специалистов кадровой службы, непосредственного руководителя работника, а также подчиненных работника (при их наличии). Раздел 4. Профиль уязвимостей. С помощью профиля уязвимостей можно оценить степень соответствия работника, занимающего ту или иную должность, требованиям кадровой безопасности. Раздел 5. Оценка потенциала в нарушении кадровой безопасности (потенциала нарушителя). Потенциал нарушителя определяется посредством идентификации уязвимостей в системе защиты, а также его мотивацией в реализации угроз [8-12]. Его оценку можно осуществлять с помощью следующих показателей: - Компетентность нарушителя – характеризует, каким уровнем знаний и подготовкой в области обеспечения безопасности должен обладать нарушитель, чтобы идентифицировать и использовать уязвимости для реализации угрозы безопасности. - Оснащенность нарушителя – характеризует, какие дополнительные ресурсы (технические средства, людские ресурсы, оборудование и пр.) требуются нарушителю для идентификации и использования уязвимостей для реализации угроз безопасности. - Знание информации об уязвимостях работодателя – показывает, в какой мере работник владеет информацией о недобросовестности в действиях руководства. При этом знания о нарушениях действующего законодательства, о существующих махинациях позволяют работнику держать «на крючке» работодателя (руководство), воздействовать на процесс принятия решений, манипулировать действиями различных субъектов обеспечения кадровой безопасности. - Возможность доступа к защищаемым ресурсам, которая во многом определяется включенностью нарушителя в бизнес-процессы компании. - Знание требований, предъявляемых к обеспечению безопасности в процессе выполнения трудовых обязанностей, а также при взаимодействии с внешней средой. - Мотивация в реализации угроз – является своеобразным «пусковым механизмом» в процессе реализации угроз, показывает, есть ли у работника намерение осуществить неправомерные действия в отношении работодателя, мотивы для реализации угроз безопасности (обида, месть и пр.). Определение потенциала нарушителя можно осуществлять в соответствии с таблицей 2. Для расчета потенциала нарушителя, необходимого для реализации угроз кадровой безопасности, оценки, полученные на основе таблицы 2, необходимо просуммировать, а полученное значение соотнести с интервалами значений, приведенных в таблице 3, и их качественной характеристикой. Таблица 3 Оценка потенциала нарушителя
Безусловно, потенциал нарушителя во многом определяется тем, имеется ли у него возможность доступа к защищаемым ресурсам, от его включенности в бизнес-процессы компании, занимаемой должности (выполняемой работы). Поэтому итоговая оценка потенциала нарушителя должна быть скорректирована на поправочный коэффициент, учитывающий группу риска, в которую входит работник: где П – итоговая оценка потенциала нарушителя, балл; P i – оценка потенциала нарушителя, рассчитанная в соответствии с таблицей 2 (количество баллов за i-ый показатель); К – поправочный коэффициент, который равен «1» в том случае, если работник (вернее, занимаемая им должность или выполняемая работа) включается в зону слабого риска; «2» – в зону умеренного риска; «3» – в зону повышенного риска; «4» – в зону максимального риска. Таблица 2 Оценка потенциала нарушителя кадровой безопасности организации
Итоговая шкала оценки потенциала нарушителей может быть представлена в следующем виде: - от 0 до 4 баллов – потенциал недостаточен для реализации угрозы кадровой безопасности; - от 5 до 16 – низкий; - от 17 до 28 – средний; - от 29 до 40 – высокий потенциал. По результатам расчетов возможно составление ранжированного перечня работников организации в зависимости от потенциала исходящих от них угроз. Раздел 6. Зафиксированные случаи нарушения требований безопасности. В данном разделе отражаются инциденты нарушения кадровой безопасности, в том числе выявленные в ходе специальных проверок. Заполнение данного раздела необходимо для учета нарушений, а также дополнения форм и методов реализации угроз кадровой безопасности (раздел 2 профиля). Выводы Таким образом, с помощью профиля безопасности можно оценить угрозы, исходящие от каждого работника, в разрезе всех профессионально-должностных позиций, уязвимости, и, как итог, разработать комплекс мер, обеспечивающих достаточный уровень защищенности корпоративных ресурсов. К преимуществам использования профиля можно отнести: 1. Использование профиля безопасности должности на этапе приема и отбора кадров позволяет сформировать систему требований к сотруднику с позиции обеспечения кадровой безопасности, внедрить эффективную защиту от недобросовестных сотрудников еще на этапе «вхождения» сотрудника в организацию. 2. С помощью профиля безопасности решаются вопросы формализации требований организации к обеспечению кадровой безопасности в отношении кандидатов на должности с внешнего рынка труда, а также поиска «безопасных» внутренних кандидатов из числа сотрудников организации. 3. Структурируется процесс оценки безопасности сотрудника, поскольку профиль устанавливает требования к наличию (отсутствию) личностных, профессионально-важных качеств, поведению, необходимых для обеспечения безопасности, требования к знаниям внутренних корпоративных стандартов по обеспечению безопасности, правил и средств обеспечения безопасности деятельности. 4. Проясняются взаимосвязи работника, занимающего должность (рабочего места), с другими подразделениями и должностными лицами, а также с внешней средой, и соответственно появляется возможность оценки возможного конфликта интересов. 5. С помощью профиля можно выделить бизнес-процессы организации с высоким риском реализации кадровых угроз, оценить их HR-уязвимости, разработать перечни должностей сотрудников с высоким риском (т.е. оценить ядро кадровой безопасности), минимизировать риск вовлечения работников в злоупотребления. К ограничениям использования профиля можно отнести то, что определение угроз кадровой безопасности должно носить систематический характер и осуществляться на всех стадиях жизненного цикла работника (прием, продвижение по карьерной лестнице, увольнение), что повышает трудоемкость оценки угроз, исходящих от персонала, требует проведения периодической проверки его соответствия существующим технологиям управления персоналом и внутреннего контроля, политике безопасности, т.е. проверки на соответствие требованиям обеспечения безопасности бизнеса. Кроме того, можно отметить, что психологическое и эмоциональное состояние работника постоянно меняется, что повышает трудоемкость оценки психологической надежности персонала, в значительной мере обесценивает его результаты, вынуждает переоценивать угрозы. References
1. Strygina V.V. Profil' dolzhnosti kak sistemoobrazuyushchii metod standartizatsii dolzhnostei predpriyatiya [Tekst] / V.V. Strygina // Sotsial'naya psikhologiya i obshchestvo. 2013. № 1. S. 116-136.
2. Zudina L.V. Razrabotka «profilya dolzhnosti» (na primere dolzhnosti glavnogo inzhenera avtotransportnogo predpriyatiya) [Tekst] / L.V. Zudina // Normirovanie i oplata truda na avtomobil'nom transporte. 2014. № 1. S. 33-37. 3. Nechaeva E.S. Analiz i prognozirovanie kadrovykh riskov v organizatsiyakh [Tekst] / E.S. Nechaeva // Izvestiya Tul'skogo gosudarstvennogo universiteta. Ekonomicheskie i yuridicheskie nauki. 2013. № 1-1. S. 145-153. 4. Badalova A.G. Upravlenie kadrovymi riskami predpriyatiya [Tekst] / A.G. Badalova, K.P. Moskvin // Rossiiskoe predprinimatel'stvo. 2005. № 7. S. 92-98. 5. Voronov S.A. Sistematizatsii metodov otsenki kadrovykh riskov pri formirovanii strategii razvitiya organizatsii v usloviyakh ee restrukturizatsii [Elektronnyi resurs] / S.A. Voronov, L.V. Zubareva // Upravlenie ekonomicheskimi sistemami. 2012. № 2. URL: http://www.uecs.ru/uecs-38-382012/item/1033-2012-02-14-05-48-17 (data obrashcheniya 02.08.2015). 6. Krupskaya A.Yu. Identifikatsiya i upravlenie klyuchevymi sotrudnikami kompanii: avtoref. diss. …kand. ekon. / A.Yu. Krupskaya. SPb., 2012. 29 s. 7. Chumarin I. Sluzhba personala i ee moshennichestva // DP-Personal. 2003. № 10(43). [Elektronnyi resurs] // URL: http://www.poteri.net/publications/personnel-safety/sluzhba-personala-i-ee-moshennichestva/ (data obrashcheniya 22.12.2015). 8. Metodika opredeleniya ugroz bezopasnosti informatsii v informatsionnykh sistemakh: metodicheskii dokument [Elektronnyi resurs] // URL: http://fstec.ru/component/attachments/download/812 (data obrashcheniya: 13.10.2015). 9. Ahmadi F. Relationship between Professional Ethics and Organizational Commitment / F. Ahmadi // International Journal of Learning & Development. 2011. vol 1. no 1. pp. 178-190. 10. Amara I. Detection of Fraud in Financial Statements: French Companies as a Case Study / I. Amara, A. Amar, A. Jarboui // International Journal of Academic Research in Accounting, Finance and Management Sciences. 2013. vol. 3. no 3. pp. 40-51. 11. Cieślikowska M. Ethical Standards Binding on Employers. Perspectives of the Legal System, Organizations and Employees / M. Cieślikowska, A. Pieczewski // Annales. Ethics in Economic Life. 2013. vol. 16. pp. 295-303. 12. Friedrichs D.O. Occupational crime, occupational deviance, and workplace crime: Sorting out the difference // Criminal Justice. 2002. Vol. 2(3). pp. 243-256. 13. Noyanzina O.E., Goncharova N.P., Maksimova S.G. Sotsial'nye reprezentatsii i ekspertnye otsenki riskov i ugroz bezopasnosti (po rezul'tatam issledovanii v Altaiskom i Stavropol'skom krayakh) // Politika i Obshchestvo. 2015. № 1. C. 59-71. DOI: 10.7256/1812-8696.2015.1.9878. 14. Boskhamdzhieva N.A. Ponyatie ugrozy obshchestvennoi bezopasnosti // Administrativnoe i munitsipal'noe pravo. 2012. № 11. C. 40-43. |