Формализация ИБ в крупных и небольших компаниях

Занимаюсь подготовкой курса "Теория организации и информационная безопасность" и наткнулся на интересное исследование в облатси психологии, результаты которого были опубликованы в 2006-м году профессором антропологии и эволюционной психологии из Гарварда Марком Хаузером. Оно было посвящено врожденности человеческой морали и разделении "белого" и "черного", хорошего и плохого.

Один из сделанных выводов касается и безопасности. Оказывается, в ограниченных сообществах (до 150 человек) порицание окружающих может сдерживать плохие поступки людей. Их удерживает боязнь быть осмеянными и опозоренными. Именно поэтому в небольших компаниях, где все знают друг друга, нет нужды в написании каких-нибудь формализованных правил поведения, кодексов этического поведения или политики безопасности. Неправильные действия сотрудников сдерживаются сами по себе, т.к. почти любой боится попасть в корпоративную рассылку как "мальчиш-плохиш" или быть предметом обсуждения в курилке.

На крупных предприятиях, где как такового коллектива нет – он обезличен, общественного осуждения уже недостаточно – необходим Закон, который определяет вполне конкретные наказание за тот или иной проступок. Именно потенциальная кара может сдерживать сотрудников от совершения каких-либо неправильных действий, нарушающих, например, политику безопасности. Хаузер отмечает, что в обществе, в котором сильна законодательная или нормативная составляющая, человек перестает опираться на моральные принципы и нормы. Его останавливает только запрет, оформленный документально в правилах, политиках, кодексах и т.п.

Какой вывод можно сделать из данного исследования с точки зрения информационной безопасности? На малых предприятиях (до 150 сотрудников) формализация правил информационной безопасности и наказания за их невыполнение является зачастую излишней и даже неработающей практикой. Достаточно просто несколько раз сообщить всему коллективу о нарушителях ИБ-распорядка. А вот в крупных компаниях все с точностью наоборот – необходимо формализовать политику безопасности и формы наказания за ее несоблюдение и через HR довести до сведения каждого сотрудника. Дополнительной мерой, уберегающей компанию от нарушений правил ИБ, является искусственное сужение круга общения, т.е. общественное порицание в рамках отдела или департамента, где все знают друг друга. Правда, в этом случае без поддержки руководителя подразделения не обойтись. Именно он будет залогом того, что любое нарушение политики ИБ станет достоянием всех членов команды, что и должно останавливать потенциальных нарушителей. Дополнительную помощь в этом может оказать карьеризм, который для многих является самоцелью. Общественное порицание или наказание за нарушение формализованных правил может быть хорошим стопором для людей, боящихся, что это может негативно повлиять на их движение по карьерной лестнице. С другой стороны карьеризм является препятствием и для формирование командного духа, т.к. карьеристы обычно действуют по принципу "каждый за себя", "пойду по головам ради цели" и т.п., а это явно не способствует созданию небольших групп, в которых общественное порицание может оказать влияние на действия сотрудников.