Аналитика в работе службы безопасности предприятия
ЕГОР ГЛУХОВ , специалист по управлению персоналом
Предприятие не существует без постоянного мониторинга и анализа внутренней и внешней среды . Даже владелец небольшого продуктового ларька в сельской местности должен оценивать ситуацию . Необходимо следить , появились ли конкуренты , какие у них цены , товар и каково поведение покупателей . Так , если хозяин заметит , что в магазине на соседней улице стало больше посетителей , он обязательно изучит ассортимент , контингент клиентов и сделает выводы . Кроме того , он узнает , особые условия при покупке , есть ли акции , и выдвинет гипотезы : каковы закупочные цены , кто поставщик , чем привлекателен сервис конкурента .
Служба безопасности должна проводить постоянный мониторинг , чтобы не только устранять угрозы , но и предвидеть рисковые события , формулировать ключевые задачи , и даже видеть ситуации , которые могут нанести ущерб в будущем , хотя сейчас они , возможно являются благоприятными для организации . Так , например , рост компании , это , очевидно , благо , с экономической точки зрения , но с позиции безопасности , он носит неоднозначный характер . Экономический подъем , как правило , сопровождается увеличением штата , а это значит , что в организации будут работать люди , которые пока не показали свою лояльность . К тому же , при наборе персонала неизбежны ошибки , когда в штат принимаются кандидаты без должной проверки . Впоследствии такие сотрудники могут стоит компании очень дорого , если совершат ошибку или сознательно нанесут вред . Предвидение позволяет принять меры заранее .
Данные для анализа
Какую информацию нужно оценивать ? Условно , все данные можно разделить на три класса :
нейтральная информация ;
информация о непосредственных угрозах ;
косвенная информация .
К нейтральной информации относятся сведения , которые к безопасности предприятия имеют исчезающе малое отношение : численность персонала , температура воздуха в помещениях , языковые особенности сотрудников ( например , когда в речи используется тот или иной диалект ), уровень интеллекта персонала , технологии , использующиеся на производстве , ценовая политика и другое . Такого рода данные , как правило , интересуют профильные подразделения – маркетинг , производство , кадры .
Информация о непосредственных угрозах всегда в фокусе внимания СБ . Охранник на проходной , проверяющий , не выносит ли сотрудник завода что-нибудь ценное , специалист по информационной безопасности , анализирующий трафик , сотрудник по экономической безопасности , оценивающий финансовые документы – все они имеют дело с непосредственными угрозами . Как правило , такой контроль касается либо профессиональной деятельности работников , либо их активности , связанной с предприятием .
Пример
« Девелопер « Лидер-Инвест » подал иск к своему бывшему президенту Евгению Рубцову , требуя от него 155,3 млн руб . Топ-менеджер покинул компанию в мае после проверки , проведенной службой безопасности … два источника РБК на девелоперском рынке рассказывали , что Евгений Рубцов покинул компанию после внутренней проверки службы безопасности , которая анализировала контракты компании » 1 .
Косвенная информация включает в себя сведения , которые могут , после обработки и интерпретации , указывать на те или иные угрозы и риски . Например , рост текучести кадров сам по себе – явление обычное и должно волновать , скорее , работников кадровой службы и руководство . Ведь на место уволившихся необходимо искать новых людей , обучать их , вводить в курс дела . Однако , при первичном анализе текучести , мы получим несколько гипотез .
Пример
Гипотеза 1 – сотрудникам снизили зарплату ( например , пересмотрели показатели , по которым ранее рассчитывали премию ), и они уходят на другие предприятия , где платят больше .
Гипотеза 2 – отток сотрудников происходит по социально-психологическим причинам : появился новый начальник , который набирает « свою команду » и активно избавляется от « старичков ».
Гипотеза 3 – сотрудники уходят , потому что в компании проведены мероприятия , исключающие доступ к материальным ценностям . Ранее работникам удавалось за счет работодателя улучшить свое материальное положение , продав что-то из имущества , но , когда возможность исчезла , люди стали уходить .
Для аналитика важно уметь анализировать именно этот класс информации , так как она часто помогает принять решение .
Пример
Правильное использование косвенных данных – основа детективных сюжетов .
« Я приехал в Девоншир с уверенностью , что преступник – Фицрой Симпсон , хоть и понимал , что улики против него очень неубедительны . Только когда мы подъехали к домику Стрэкера , я осознал важность того обстоятельства , что на ужин в тот вечер была баранина под чесночным соусом . Вы , вероятно , помните мою рассеянность – все вышли из коляски , а я продолжал сидеть , ничего не замечая . Так я был поражен , что чуть было не прошел мимо столь очевидной улики .
– Признаться , – прервал его полковник , – я и сейчас не понимаю , при чем здесь эта баранина .
– Она была первым звеном в цепочке моих рассуждений . Порошок опиума вовсе не безвкусен , а запах его не то чтобы неприятен , но достаточно силен . Если его подсыпать в пищу , человек сразу почувствует и скорее всего есть не станет . Чесночный соус – именно то , что может заглушить запах опиума » 2 .
Классификация условна , и , при различных обстоятельствах , категории информации могут изменяться . Например , такой показатель как температура воздуха может перейти в класс непосредственных угроз , если , например , в силу климатических изменений произошло резкое похолодание . Если инфраструктура предприятия не в состоянии обеспечить поддержание комфортной для работы температуры , то есть угрозы безопасности . Можно предположить , что сотрудники будут использовать средства обогрева ( дровяные печки , электрические обогреватели и проч .), что пожароопасно и приведет к уничтожению товарно-материальных ценностей .
Требования к аналитической работе
Труд аналитика похож на научную деятельность . Он , также , как и ученый , ищет закономерности , выдвигает гипотезы , строит прогнозы . Но есть существенное отличие . Наука делает открытия , которые не всегда можно применить в данный исторический отрезок времени . Так , например , сложно найти применение доказательству гипотезы Пуанкаре , но легко можно понять , как использовать информацию о том , что некоторые сотрудники не выполняют требований кибербезопасности , забывая выключить свой рабочий компьютер , уходя домой .
Вашингтон Плэтт , в своей книге « Информационная работа стратегической разведки . Основные принципы », пишет по этому поводу следующее : « В отличие от научного труда информационный документ разведки преследует одну цель : он должен быть полезен для обеспечения государственных интересов уже в данный момент » 3 . Автор , рассматривая пользу того или иного расследования , учитывает даже такие факторы , как время , затрачиваемое лицом , читающим документ и время , затрачиваемое составителем документа .
Еще одно требование , о котором пишет далее Плэтт – своевременность : « В информационной работе , также как и при строительстве линкоров , следует руководствоваться принципом « мало , но быстро », с тем , чтобы к моменту « появления » документа на свет , он содержал в себе новейшие сведения » 4 .
Правила аналитической работы
Рассмотрим методические аспекты аналитической работы
Определение целей . Цель должна быть достаточно широкой . Например , если мы анализируем интернет-трафик сотрудников , то целью может быть поиск уязвимостей в системе информационной безопасности . Если проверяем финансовые документы , то цель – обнаружение действий , подрывающих экономическое благосостояние компании .
Опора на разные источники . Аналитик должен получать информацию из разных источников . Факты , сами по себе – часто результат неправильной интерпретации других людей . Для анализа нужна сырая , а не обработанная информация . Военачальник не строит план кампании , основываясь на статьях журналистов . Поэтому особую ценность имеют первоисточники . Однако , если доступ к ним ограничен , то повысить достоверность можно , обращаясь к разведданным , поступающим из разных каналов .
Например , если в распоряжении специалиста есть информация от руководителя отдела логистики , что водители сливают бензин , то для подтверждения необходимо обратиться к другим данным – показаниям одометра , данным GPS-трекинга , проверить историю покупок топлива и т . д .
Кроме того , опора на различные источники увеличивает возможности интерпретации .
Пример
По данным анализа логов системным администратором компании , сотрудники стали чаще пользоваться социальными сетями . Сам по себе этот факт дает мало информации , за исключением того , что люди меньше занимаются работой . Однако , если проанализировать сообщения , которые они оставляют в соцсетях , то можно увидеть , происходит ли утечка значимой информации . Если утечки есть , то , возможно , стоит задумать о блокировке отдельных порталов .
Труд аналитика похож на научную деятельность . Он , также , как и ученый , ищет закономерности , выдвигает гипотезы , строит прогнозы
Таким образом , использование разных источников имеет два полезных эффекта : повышение достоверности и увеличение возможностей интерпретации .
Оценка значения . Если идет дождь , плохо это или хорошо ? Сделать заключение мы можем , рассматривая проблему системно . С точки зрения фермера , осадки – это благо , когда речь идет об урожае , но только в определенный период . Если дождь идет во время сбора , то он доставляет хлопоты . Для водителя на трассе дождь представляет угрозу , так как ухудшается сцепление колес с дорогой , увеличивается тормозной путь . В то же время , для дальнобойщика в жаркий душный день , летний ливень приносит облегчение .
Чтобы оценить значение , необходимо мыслить системно . Для этого можно рассмотреть два параметра системы .
Составной и иерархический характер систем . Система состоит из элементов , подсистем и сама является частью другой системы . Это значит , что изменение одного элемента влечет за собой изменение всей системы . Задача аналитика понять – каким будет влияние . Например , один из сотрудников уносит с работы домой офисные принадлежности – ручки , бумагу и прочее . Какое влияние такое поведение оказывает на верхний уровень – отдел ? Последствия могут быть такими : подразделению будет не хватать « канцелярии » для работы , руководитель станет просить дополнительное финансирование , бюджет расходов окажется превышен .
Элементы системы также влияют друг на друга . Так , если у человека проблемы с почками , то страдают и другие органы , система кровообращения , начинаются проблемы с давлением , хуже работает мозг , медленнее принимаются решения .
Анализируя то или иное явление , нужно оценивать не только локальные эффекты , но и видеть проблему шире . Например , когда компания не принимает мер безопасности , потому что они не нужны с точки зрения прибыли , то она рискует , нарушая законодательство и ставит под сомнение деловую репутацию .