infowatch (infowatch) wrote,
infowatch
infowatch

Category:

Незаменимый человек опасен

Если в организации есть незаменимый работник, от него следует избавиться.

"Незаменимость" может означать разное.
  1. Человек с уникальными навыками.
  2. Человек с уникальными связями.
  3. Человек с уникальными знаниями.
  4. Человек, на котором завязаны критические процессы деятельности предприятия.
Первое - проблема рынка труда, образования, кадровой политики, оплаты работников. Мы эти вопросы рассматривать не будем.

Второе - особенность государства или деловой элиты общества. Тоже не наш вопрос.

Четвёртое - ошибка в организации управления.

А вот третий вариант имеет прямое отношение к защите информации. Не просто к защите, а к защите её доступности и, отчасти, целостности. Напомним, что информационная безопасность имеет три аспекта: конфиденциальность, доступность и целостность. Часто, говоря о "защите", подразумевают лишь первый аспект. Это ошибка. Два других иногда бывают даже важнее.

Уникальность знаний работника представляет опасность ввиду того, что информация, которой (доступом к которой) он владеет, не доступна (или труднодоступна) иным работникам, которым она нужна (или понадобится в будущем) для выполнения своих обязанностей.

Подобная монополия на информацию в одних случаях возникает неумышленно, из-за неверной организации рабочих процессов. В других случаях она специально выстраивается работником-монополистом, поскольку даёт ему как моральные преимущества, так и усиливает его позицию на случай конфликта с работодателем. Чаще мы имеем дело с суперпозицией обоих вариантов.

Опасные работники:
  • Работник, который разрабатывает или дорабатывает корпоративную информационую систему и при этом не документирует свои разработки. В случае его ухода, даже если останутся исходники, новому программисту будет очень сложно в них разобраться.

  • Работник, который настраивает коммуникационное оборудование, но при этом не ведёт депозитарий конфигураций и общую схему сети. Разобраться в недокументированной конфигурации ещё сложнее, чем в исходниках. Не говоря уже о том, что на изучение и модификацию программы обычно есть время, а поменять конфигурацию сети может потребоваться "прям щас".

  • Работник, который эксклюзивно владеет административным паролем к оборудованию или ОС. Если с ним что-то случится, восстановить административный доступ не всегда просто: может потребоваться физический доступ к оборудованию, а то и переинсталляция системы.

В обсуждаемом случае можно говорить о "внутренних" утечках информации, то есть когда критическая информация течёт не из системы наружу, а из системы в голову одного человека. А голова никак не может считаться надёжным и защищённым носителем.


Tags: инсайдер, кадры, угрозы, утечки
Subscribe

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments