Людський фактор в організації інформаційної безпеки

Кожний нещасний випадок, порушення охорони праці чи інформаційні помилки мають одну спільну причину - людський фактор. Основна, ключова роль в безпеці належить не техніці чи технології, а людині. Сам людський фактор є непердбачуваний і проявляється в своїй більшості в супереч логіці. Саме йому належить адаптація до тієї чи іншої небезпеки в залежності від середовища та умов, де він перебуває. Тобто відбувається поступова адаптація не лише до небезпеки, але і до порушень.

В управлінні людський фактор визначається як фактор, який пов’язаний з різноманітними ролями людини при вирішенні завдань управління і враховується при розробці вирішення таких завдань (моделей, методів, математичних задач, апарату, комп’ютерних засобів тощо) .

Людський фактор – це загальне поняття, що властиве кожному суспільному устрою.Людський фактор – категорія не економічна, а соціологічна, оскільки містить в собі весь спектр суспільних стосунків.

Наявність людського фактора має провідне значення в теорії організації захисту інформації. Через цей елемент теорія організації захисту інформації як система знань має предметний гіперзв'язок з фундаментальними гуманітарними науками — соціологією, соціальною психологією, соціальною інженерією.

Людський фактор завжди був і є одним із найважливіших ризиків будь-якого бізнесу, оскільки більшість інцидентів відбуваються саме з вини співробітників. Навмисний відплив часто важко відрізнити від ненавмисного, однак це не завжди потрібно, оскільки наслідки для підприємства при будь-якому із цих варіантів можуть бути катастрофічними. Те, що більшість керівників не знають джерел внутрішніх загроз, говорить про те, що бізнесом приділяється недостатньо уваги інформаційній безпеці, що, утім, є одним із найважливіших факторів існування підприємства.

За природою організації захист інформації має комплексний характер, тобто між окремими її складовими є певний зв'язок. У рамках теорії організації захисту інформації чітко визначився постулат, що організація захисту інформації повинна враховувати не тільки складність технічної і технологічної компонент системи, а й людський фактор. Тобто, формуючи конкретну систему технічного захисту, слід враховувати якісні індивідуально- і соціально-психологічні, моральні, етичні та інші особисті характеристики людей, задіяних у системі захисту інформації.

У цьому аспекті теорія захисту інформації має зв'язок з кримінологією, її складовими вченнями: віктимологією та теорією формування соціально-психологічного портрету зловмисника.

Люди, що керують та використовують комп'ютерну систему, являють саму найбільшу уразливість. Захист всієї системи - часто в руках адміністратора системи. Якщо адміністратор не навчений, чи вирішує вийти на шлях злочину, то система знаходиться в серйозній небезпеці. Звичайні комп'ютерні користувачі, оператори, та інші люди можуть також бути підкуплені чи змушені видати паролі та входи в систему, створивши небезпечні умови для захисту системи.

Досить небезпечними є так звані скривджені співробітники — нинішні і колишні. Як правило, вони прагнуть завдати шкоди фірмі-"кривдникові", наприклад:

 

• зіпсувати устаткування;

• вмонтувати логічну бомбу, що згодом зруйнує програми та/або дані;

• знищити дані.

 

Скривджена категорія співробітників (навіть ті, які вже не працюють, але знайомі з порядками на фірмі), може завдати чималої шкоди. А тому при звільненні таких співробітників варто стежити за тим, щоб їхні права доступу (логічного та фізичного) до інформаційних ресурсів анулювалися.

За Вебером, ефективність організації залежить від міри її бюрократизації: точності визначення мети і засобів, правильності (за правилами) дій, швидкості просування інформації та прийняття рішень, відповідальності на всіх рівнях адміністративної ієрархії, чіткої субординації (прав і обов’язків), послабленню міжособистісних конфліктів (за рахунок виведення “людського фактора”, тих самих колективних почуттів неусвідомлюваної любові чи ненависті, на значенні яких наполягають прихильники психоаналізу), зменшення витрат (людських, фінансових чи технічних ресурсів).