Говорят, что лучшее сражение – то, которого не было. Применительно к задаче обеспечения ИБ можно было бы сказать, что лучшая утечка – та, которая не случилась. Для того, чтобы это стало правдой, службе безопасности нужно действовать на опережение и уметь выявлять инсайдеров ещё до того, как они попробуют что-нибудь «слить». Возникают вопросы: как это реализовать на практике? Можно ли выявить склонность к инсайду заранее? Под катом я постарался дать ответы.
Откуда дровишки?
Мысль о раннем выявлении инсайдеров не возникла на пустом месте. С одной стороны, мы с коллегой работаем в учебном центре компании SearchInform и учить находить различных «подозрительных» личностей – наша прямая обязанность. С другой стороны, мой коллега – кандидат психологических наук и долгое время занимался, скажем так, подбором кадров для нужд определённых организаций. Его наработки, в последствии, нам сильно помогли. Но сначала нужно было решить, что взять за основу. Под руку подвернулся совместный обзор ФБР и ЦРУ проблем информационной безопасности за 2006 год ), из которого следовало, что инсайдером, по сути, может быть кто угодно:
- служащий (гражданский или военный);
- подрядчик (например, при привлечении к выполнению работ внешних организаций, в т.ч. на конкурсной основе);
- человек, работающий на полную ставку;
- человек, работающий на неполную ставку;
- временный работник;
- пользователь, имеющий доступ к информации через сети;
- коллега/партнер (в т.ч. зарубежный);
- работник органа государственного и муниципального управления;
- работник провайдера средств, систем и услуг информационных технологий.
Понятно, что подобный подход носит слишком уж описательный характер, да и отталкиваться от профессии/возраста/пола и прочих «социально-демографических» характеристик работника, подозревая его на этом основании в принадлежности к инсайдерам, не стоит, так как это не слишком-то приблизит нас к требуемому результату.
В итоге, для систематизации «всех и вся» было решено руководствоваться идеями Карла Густава Юнга, положенными в основу опросника MBTI.
- Шкала «экстраверсия (E) – интроверсия» (I) описывает предпочтения человека в отношении используемых источников энергии. Юнг предложил различать две основные установки человека: установку на внешний мир, мир окружающих вещей (экстраверсию) и установку на внутренний мир собственных мыслей, переживаний, представлений (интроверсию);
Упрощённый пример. Вам нужно сделать какую-либо операцию в программе, но вы не знаете как. Рядом сидит коллега, который может дать совет. Экстраверт обратится за советом, интроверт же предпочтёт не беспокоить людей и «полезет» в справку или поисковик.
- Шкала «сенсорика (S) – интуиция (N)» описывает предпочитаемые человеком пути сбора информации. Согласно Юнгу, существуют два разных способа восприятия действительности: путь ощущений (сенсорика) и путь интуиции;
Упрощённый пример. Свежевыкрашенная скамейка с соответствующей бумажкой с надписью «Осторожно! Окрашено!». Интуит «поверит на слово», сенсорик – ткнёт пальцем.
- Шкала «мышление (T) – эмоции/чувства (F)» характеризует процессы принятия человеком решений. Концепция Юнга предполагает наличие двух основных предпочтений в отношении принятия каких бы то ни было решений или вынесения суждений: путь, опирающийся на логику, объективное и беспристрастное мышление и путь, строящийся на основе субъективной системы ценностей, личных пристрастий и чувств;
Упрощённый пример. «Мыслительный» тип о человеке скажет «Он мне нравится, потому что…» (далее будут перечисляться аргументы). «Чувствующий» тип скажет «Он мне нравится и всё тут! Сам не знаю почему».
Последовательницы Юнга Кэтрин Бриггс и Изабель Бриггс-Майерс добавили еще одну шкалу – «оценка – восприятие» и разработали опросник MBTI (Myers-Briggs Type Indicator) для диагностики психологического типа личности.
- Шкала «оценка (J) – восприятие (P)» описывает предпочитаемый человеком способ взаимодействия с внешним миром. Согласно К. Бриггс существует еще одна пара установок: установка на оценку информации и установка на восприятие информации. Эта пара определяет, какой из двух функций – функцией сбора информации или функцией принятия решений – человек пользуется при общении с внешним миром.
Упрощённый пример. При обсуждении чего-либо «оценивающий\решающий» тип предпочтёт высказать своё собственное мнение относительно вопроса, а не слушать доводы других. «Воспринимающий» тип – наоборот: послушает и может быть выскажет свои соображения.
Комбинации предпочтений человека по каждой шкале позволяют выделить 16 различных психологических типов личности, каждый из которых для удобства обозначается формулой, включающей названия наиболее выраженных полюсов.
Например, ESTP – экстравертированная (E), предпочитающая получать информацию об окружающем мире при помощи своих органов чувств (S), ориентированная на мышление (Т), склонная занимать созерцательную позицию (P) личность. Также существуют и «неофициальные», но достаточно ёмкие, отражающие житейское понимание, совокупности качеств, определяющей тот или иной тип – «ярлыки». Например, ESTJ – администратор, ISTJ – инспектор, ESTP – маршал, ESFJ – энтузиаст и т.д.
Разумеется, подобный «ярлык» не может адекватно заменить буквенную формулу психологического типа, а в ряде случаев его чрезмерно общий характер и вовсе ведет к игнорированию тонких различий, искажению представлений о человеке, тем не менее, указанные названия весьма живучи и популярны.
Предпочтения развиваются у человека в раннем возрасте, и впоследствии он твёрдо их придерживается. И чем больше мы задействуем свои предпочтения – как намеренно, так и ненамеренно, – тем с большей уверенностью и готовностью мы будем на них полагаться. Это, конечно, не означает, что время от времени мы не можем пользоваться качествами, которые не попали в ряд предпочтений. Напротив, чем более зрелым становится человек, тем более богатой и разнообразной подобные «неприоритетные» качества делают его жизнь. Вместе с тем, заменить собой предпочтения они не в силах: например, экстраверт никогда не станет интровертом, и наоборот.
Более того, по имеющимся данным принадлежность к тому или иному психологическому типу достаточно тесно связана с профессиональными ролями, статусом и другими подобными характеристиками. Например, руководители – это, как правило, «администраторы» (ESTJ) или «инспекторы» (ISTJ) и очень редко «лирики» (INFP) (см. рисунок ниже).
** Меньшикова, О.Р. О результатах тестирования слушателей Академии народного хозяйства по двум тестам: MBTI и соционика / О.Р. Меньшикова // Соционика. Сборник докладов 4 Московской научной конференции [Электронный ресурс]. – М., 2001. – Режим доступа: socioniks.chat.ru/mens/sb_mens2.htm – Дата доступа: 12.03.2013.
*** Абельская, Е.Ф. Типоведческое исследование психического склада личности: автореф. дис. … канд. психол. наук: 19.00.01 / Е.Ф. Абельская; Уральский гос. ун-т им. А.М. Горького – Екатеринбург, 2006. – 27 с.
Но если подобное распределение существует для руководителей, логично предположить, что может существовать аналогичное распределение и для инсайдеров. Другими словами, люди с одним психотипом могут оказаться более склонными к инсайду, чем с другим. Косвенным подтверждением этой мысли могут служить результаты исследования Эрика Шоу и Харли Стока «Индикаторы поведенческих рисков для выявления инсайдерских краж интеллектуальной собственности», в котором, в частности, описаны ключевые модели поведения, присущие инсайдерам, виновным в краже интеллектуальной собственности.
Для каждого психотипа существуют как достаточно полные описания, так и ключевые характеристики. Чем в большей степени человек им соответствует, тем ярче у него выражен тот или иной психотип. Но даже краткий перечень характеристик позволяет делать выводы о том, на что может оказаться способен человек. Вот как выглядит, например, перечень ключевых характеристик человека, принадлежащего к психологическому типу ESTP («маршал») или его альтер-эго соционическому типу СЛЭ (сенсорно-логический экстраверт):
- Хорошо решает тактические задачи.
- Иерархический лидер деловой направленности.
- Способ установления контакта ориентирован на объективные показатели.
- Форма деловой активности ориентирована на волевое преодоление преград и препятствий.
- Система взаимодействия с подчиненными предполагает административный контроль.
- Относится к конкурирующему типу поведения.
- Достигает крупных результатов в деловой активности без учета человеческих взаимоотношений.
- Склонен к активному отрицанию этики в бизнесе. Считает, что цель оправдывает средства.
- Мотивы и цель: эгоизм, карьеристские планы, стремление к жизненному успеху. Озабоченность собственными прибылями и успехами своей фирмы.
- Отношение к закону: склонен к криминальному риску. При возможности старается преодолеть правовые барьеры.
- Стратегия: хорошая ориентация в ситуации, нацеленность на благоприятные возможности для увеличения прибыли.
Содержание пунктов 8-10 (да и некоторых других) обращает на себя внимание в контексте разговора об обеспечении информационной безопасности. Проанализировав все типы с точки зрения присущих их носителям этических и деловых качеств, мы с коллегой выделили наиболее «опасные», то есть те, которые предполагают склонность к совершению инсайда.
При этом более крупная фигура «злоумышленника» (ESTP, ESFP) обозначает большую вероятность того, что представитель данного типа окажется инсайдером.
Осталась «сущая мелочь» – определить психотипы сотрудников. И здесь есть несколько вопросов:
- С помощью какого инструмента определять?
- Кто этим будет заниматься?
- Что делать с полученными результатами?
В качестве методики, позволяющей выявить психологический тип, можно использовать уже упомянутый «Индикатор типов Майерс-Бриггс» (MBTI), также подойдет адаптированный вариант методики «Определитель темперамента» (Keirsey Temperament Sorter) Д.Кирси, для сторонников соционического подхода можно рекомендовать методику «Ваш соционический тип» В. Гуленко. На практике целесообразно использовать компьютерные версии упомянутых методик, благо в них недостатка также нет. В рамках поста для иллюстрации некоторых положений будет использован программный продукт (те самые наработки коллеги, которые пригодились) «Система профессионально-психологического тестирования», реализующий как указанные, так и некоторые другие психологические диагностические инструменты. Тапками попрошу не бросать – это не реклама софта, т.к. он не продаётся (просто собственная разработка).
Практика
Итак, от слов к делу. Было решено проверить теоретические рассуждения на практике. Естественно, первыми «подопытными» стали сотрудники собственного отдела. Время тестирования для одного кандидата составило примерно 30-40 минут. Результаты тестирования показаны на рисунке (стоит отметить, что на рисунке видна лишь «верхушка айсберга». На других вкладках представлен большой объём информации, однако разбирать его в данной публикации будет излишним).
Помимо самого главного результата – четырёхбуквенного психологического типа – в обязательном порядке следует обратить внимание на выраженность предпочтений, т.к. чем больше выражены слагаемые психотипа, тем точнее выданная программой характеристика будет описывать человека, а значит, тем более предсказуемыми будут его действия в той или иной ситуации.
Увы, нашему сотруднику не повезло: за ним нужен глаз да глаз 🙂
Но на MBTI свет клином не сошёлся. Поэтому для более полной характеристики мы решили не ограничиваться только одним тестом и в качестве «дополнительной нагрузки» тестируемый должен был пройти также тест на склонность к риску («Личностные факторы принятия решений» Т. Корниловой) и тест на уровень социального интеллекта («4-х факторный тест социального интеллекта М. О’Салливэн и Дж. Гилфорда).
Первый определяет два параметра: рациональность и склонность к риску. Чаще всего они антагонистичны друг другу. То есть чем более человек склонен к одному, тем менее склонен к другому. Инсайдеры, как вы понимаете, склонны рисковать.
Тест для диагностики социального интеллекта показывает, насколько тестируемый умеет «читать» людей, предугадывать ситуации, правильно их интерпретировать (и, следовательно, «обращать» их себе на пользу).
Знать этот параметр также необходимо, так как многие инсайдеры являются ещё и «манипуляторами» (манипулируют людьми для достижения собственных целей).
В результатах теста стоит обращать внимание не столько на интерпретацию, профиль и «стандартные» баллы, но и на «сырые» баллы также, так как именно они в большей степени позволяют судить об индивидуальных особенностях тестируемого. Сами понимаете: инсайдер – «товар штучный».
Теперь настало время ответить на второй вопрос: кто будет заниматься всем этим? Очевидно, что это не должны быть сотрудники службы безопасности («нам что, больше заняться нечем?»). Наименьшие подозрения будет вызывать HR-отдел, поэтому «черновую» работу по проведению тестирования можно поручить им. Служба обеспечения ИБ, в свою очередь, будет работать с уже готовыми характеристиками и выявленными психотипами.
Работать можно по следующему алгоритму:
- HR-служба «прогоняет» сотрудника по определённому набору тестов.
- Информация передаётся в службу обеспечения ИБ.
- Зная, к какому типу принадлежит сотрудник, специалист в сфере обеспечения ИБ определяет его потенциальную склонность к инсайду (должны учитываться не только ключевые характеристики психотипа, но и другие переменные: выраженность предпочтений, склонность к риску, уровень социального интеллекта).
И, наконец, третий вопрос: что делать с результатами? Здесь все достаточно просто. Если ваш работник – обладатель ярко выраженного психологического (соционического) типа, входящего в «группу риска», то за ним лучше всего «приглядывать».
Что же касается достоверности результатов, здесь тоже нет сложностей. Описанный подход вряд ли способен полностью заменить профессиональный опыт руководителя, оценки экспертов, результаты применения других методов исследования личности. Но зато такие тесты могут компенсировать отсутствие достаточного профессионального опыта у вышеназванных лиц, оказать помощь в ситуации отсутствия экспертов и невозможности применить другие методы.
Выводы
Напоследок хотелось бы отметить, что предпринятая попытка выявить потенциальную склонность работника к инсайду не является чем-то из ряда вон выходящим. Подобные подходы практикуются и в других «родственных» областях. К примеру, глубоко обоснованная методика психологической диагностики профессиональной пригодности для работы в правоохранительной системе начала применяться более 15 лет назад в Российской Федерации.
Одним из основных документов, регламентирующих психологическое тестирование в правовой практике России, является «Руководство по профессиональному психологическому отбору кандидатов на службу в органы прокуратуры Российской Федерации». В этом руководстве выделено пять факторов профессиональной пригодности, включающих соответствующие им комплексы профессионально важных качеств (ПВК):
- требуемый уровень социальной (профессиональной адаптации);
- достаточная нервно-психическая (эмоциональная) устойчивость;
- высокий уровень интеллектуального развития, познавательная активность;
- коммуникативная активность и компетентность;
- адекватные организаторские способности.
Данная статья не претендует на истину в последней инстанции и является всего лишь попыткой поставить психологию на «практические рельсы» обеспечения информационной безопасности. При правильном подходе следует, как минимум, использовать отдельные наборы тестов, специально разработанные для той или иной отрасли (категории должностей). Но, как говорится, важно сделать первый шаг.
Вопросы и обсуждение в комментариях приветствуются.
P.S. Если у сообщества будет интерес, в следующих постах можно развить тему сплава психологии и ИБ.
ссылка на оригинал статьи https://habrahabr.ru/post/317066/
Добавить комментарий