Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Впечатления от круглого стола с HR на тему ИБ

Аватар пользователя Sedov
Автор: Седов Олег, главный редактор BISA

Как-то раз мне довелось участвовать и в формировании контента конференции газеты «Ведомости» на тему ИБ. Финансовые результаты мероприятия организаторы посчитали для первого опыта достойными, а вот состав участников вызвал недоумение. Деловая газета рассчитывала на участие своей привычной читательской аудитории, которая состоит из бизнеса. Но пришли ИБешники… Не то чтобы их не ждали, а скорее ожидания от состава участников у "Ведомостей" были иными.

Для того чтобы бизнес увлечь темой ИБ, в приглашении и темах конференции не должно быть ни одного слова про ИТ или ИБ. И это главное правило! Иначе получив такое приглашение, бизнес переправит его в ИТ или в ИБ-службу. Но даже решив первую задачу, справиться со второй будет сложнее. Я знаю 3-4 спикеров, способных вести диалог с бизнесом на тему ИБ на языке и в ценностях, понятных бизнесу. На такой массовке спикеров качественного контента не сварить.

Поэтому готовясь к встрече с HR, мы тщательно обдумывали темы, которые на наш взгляд могли бы их заинтересовать, а вовсе не проблематика и приоритеты службы ИБ. В итоге тема растущих рисков, исходящих от сотрудников в кризис, смогла собрать за одним круглым столом как руководителей HR, так и специалистов служб ИБ.

Формат мероприятия предполагал сессию коротких докладов по10-15 минут и дискуссию по заданным вопросам. HR-консультанты рассказали о том, как выглядят риски персонала в кризис не только мнимые, но и реальные. Наталья Солодовник, кадровое агентство Kelly Services, представила отражение рисков лояльности персонала в цифрах на основе исследование кадрового рынка 2014-15 гг. Тему партнерства с ИБ раскрыли на примерах реальных кейсов директор департамента ИБ, компании CARCADE Лизинг Андрей Ерин, и ведущий эксперт по информационной безопасности компании InfoWatch, Андрей Прозоров.

Для дискуссии были предложены буквально 2-3 вопроса, но оставлено место в форме регистрации для проблем, которые реально интересуют HR, а не придуманы нами. И таких вопросов было большинство, так как мало кто из участников круглого стола приходил с пустыми руками, а ждал обсуждения своих вопросов и вопросов, которые волнуют коллег.

Отличительная особенность аудитории HR от ИБ колоссальна! У нас были мероприятия, когда я как модератор чувствовал себя учителем в классе в котором никто не выучил урок и все боятся, что их вызовут к доске. Аудитория ИБешников очень своеобразна. Видимо годы практики по защите информации оставили свой след в манере общения с коллегами и с обществом. HR внимательно изучали предложенный контент докладов и буквально со второго вопроса активно втянулись в дискуссию. Скорее не возражая, а дополняя мнения коллег. Я получил колоссальное удовольствие от общения.

Но один вопрос, который не был заявлен в программе и не был заранее подготовлен, в моем личном рейтинге занял очень высокие позиции. Он касался прощальных писем. Тех писем, когда сотрудник увольняется из компании и пишет письмо «всем», как ему было хорошо все эти годы и как он сожалеет, что приходится расставаться. В кризис тон подобных писем начинает меняться: появляется все больше обиженных, которые покидают компанию не по собственной воле и отражают эту сторону конфликта в прощальных письмах, часто не скупясь на выражения. Когда эти письма рассылались с корпоративного почтового сервера, то службе ИТ не составляло труда их перехватить и блокировать. Но когда почтовый сервис передали в облако, то у ИТ-службы нет ни малейшей возможности повлиять на контент в подобных письмах. Видимо экономили на всем и на функционале управления.

Проблема в первую очередь на стороне генерального директора, так как про него в прощальных письмах пишут охотней всего. Но задачу он ставит перед HR. HR идет с проблемой к ИТ, так как почтовые серверы раньше были в их зоне ответственности, а те переводят стрелки на ИБ, которым переводить проблему уже не на кого, а потому они крайними будут всегда. На самом деле в условиях абсолютно размытого корпоративно периметра, непонятно как оценивать подобные письма, как внутреннюю переписку или как внешнюю? Если как внешнюю, то тогда ИБ должна отслеживать входящий трафик на предмет нелояльных писем? В итоге абсолютно не очевидно, на чьей стороне проблема в этих условиях, так как правы будут все. Скорее всего, как решили участники дискуссии, это командный вид спорта, который должен быть под контролем у HR и генерального директора. Процедуры увольнения должны быть строго выверены с учетом тех рисков, которые в случае стрессового увольнения могут исходить от обиженных сотрудников. Если бы HR нашел время провести беседу с каждым увольняемым «по собственному желанию» сотрудником и объяснить ему, что компания и HR очень сожалеют, что приходится расставаться, но жизнь не всегда складывается, так как мы себе это планируем, и если на новом месте что-то не сложится, то они всегда будут рады возвращению…. Ну и прочая слащавая корпоративная словесная ботва, которая на удивление часто срабатывает. И как следствие, вероятность появления негатива в прощальных письмах будет много меньше. Однако проблемы контроля за все еще корпоративным трафиком в размытом облачном периметре и архитектуре остаются, и с ИТ\ИБ этих проблем никто не снимает.

Главный итог встречи с HR – продолжение следует!

На этом настаивают сами HR! Им это оказалось важно и интересно. Оказалось, что когда ИТ или ИБ им рассказывает о своем потенциале, то они это не воспринимаю так ярко, как в формате обсуждения этих проблем с коллегами HR.

А мы в свою очередь уже задумались о проведении подобных встреч в клубном формате с руководителями других непрофильных подразделений, которые могут быть по-своему заинтересованы в обсуждении ИБ в рамках своих компетенций и приоритетов.

 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Андрей Ерин

Действительно обсуждение было необычно живым. Задавались вопросы, которые "накипели" и по которым нужны были конкретные практические советы, а не мыслительные изыски.

Что еще удивило – пришли сотрудники HR, которые вообще ничего не слышали про информационную безопасность, кроме как несколько разрозненных мифов из редких новостей в СМИ. Пришлось перестраиваться на ходу и подбирать синонимы из обычной человеческой речи))).

up
37 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.