lead1

В помощь руководителю: кого не стоит тянуть вперед

Персонал – базис успешного бизнеса. Если сотрудники хорошо справляются со своими обязанностями, хотят учиться и развиваться – любая компания быстро наберет обороты и с неумолимостью локомотива понесется вперед, захватывая новые доли рынка. Однако, как только работники начинают лениться, игнорируют задачи или выполняют их на недостаточно качественном уровне, бизнес быстро теряет позиции и прибыль.

Закон Парето применим к управлению персоналом: 20% штата дает 80% результата. При этом 80% сотрудников, в лучшем случае, работает на посредственном уровне. Конечно, всем хочется увеличить показатели и привлечь в компанию больше талантливых кадров. Математика проста: если вдруг трудолюбивых работников станет не 20% а, скажем, 40% прибыль существенно возрастет. Однако реальность диктует свои условия. К несчастью рынок труда – вещь в себе, и талантливого персонала там не так уж и много. Проще говоря, как бы руководитель совместно с HR’ом не старался, «команду звезд» создать не получится. Конечно, можно привлекать лидеров, поднимая зарплату до заоблачных высот, однако в большинстве случаев это экономически неэффективно: никто не станет платить менеджеру зарплату уровня руководителя отдела.

Остается более сложное и кропотливое решение: развивать и обучать персонал. Изучив модели работы успешных сотрудников, можно адаптировать лучшие практики на остальной штат компании. Однако и это решение не всегда работает так, как хочется: часть работников просто невозможно развивать. Они не хотят учиться. И, если управленец готов вкладывать силы и средства в развитие сотрудников, для начала стоит дать честный ответ на вопрос: на ком стоит сконцентрировать усилия? Без увольнений кадров, к несчастью, обойтись не получится.

Существует ряд простых признаков, по которым можно отличить однозначно непродуктивного работника.

Больные прогульщики

Есть такие люди, которые привыкли решать свои вопросы в рабочее время. Если они не могут отпроситься, они обязательно заболеют. Конечно, у любого человека могут возникнуть непредвиденные обстоятельства, из-за которых ему понадобится уйти с рабочего места. Однако, в случае больных прогульщиков здравый смысл бессилен: у этой категории офисных работников форс-мажоры происходят минимум 2 раза в месяц. А в некоторых особо запущенных случаях – каждую неделю.

Обучать такой персонал бессмысленно. Их потребности и желания сконцентрированы вокруг собственного «Я», которое гораздо важнее дел компании. Им наплевать на коллег, которые не могут положиться на недобросовестного сотрудника, еще и выполняют часть работы «вечно больного». Их не волнуют дела фирмы. Гораздо важнее, по мнению такого работника, решить собственные крайне важные дела, за счет рабочего времени. Например, съездить в салон красоты или сходить в магазин за новым гаджетом.

Любители поговорить

Коллектив – это социум, в котором неформальное общение может сыграть как положительную, так и отрицательную роль. Например, умеющий грамотно коммуницировать сотрудник может легко получить помощь или консультацию, вовлечь в рабочий процесс работников других отделов или специалистов извне, быстрее и качественнее выполнить поставленную задачу.

Однако в большинстве случаев, разговоры касаются не рабочих вопросов. Обсуждается все подряд: от политики до нового платья секретаря Маши. Статистика свидетельствует: от 40 до 80% персонала тратят от 1 до 6 часов рабочего времени на пустые разговоры. Даже в компаниях – лидерах рынка, сотрудники занимаются трудноопределимыми активностями минимум 2 часа ежедневно.

Есть еще один крайне неприятный аспект, возникающий в компаниях, когда концентрация «болтунов» достигла критической точки. Имидж – это не только шаблонные фразы на сайте или в СМИ. Это целостный образ, в формировании которого немаловажную роль играет контент, генерируемый работниками компании. Именно любители поговорить вносят значительный вклад в «черный PR», способный за секунду потопить образ успешной организации. Ведь, что может быть лучше, чем перемыть косточки боссу, в курилке, за чашечкой кофе или в социальных сетях.

Анализ рабочей активности – первый шаг к выявлению балласта. Если работник приходит в офис исключительно пообщаться с коллегами, шанс, что после обучения он вдруг изменит привычки и начнет работать – минимален.

Продолжение следует…

phishing_3

На крючке: социальная инженерия

Социальная инженерия – неразлучный спутник фишинговых атак. Хакеры умеют отлично маскироваться под должностных лиц, представляющих госорганы или руководство, а также замечательно предугадывают модели поведения жертв. Однако многие забывают об одном важном аспекте: фишинговые атаки могут быть не только массовыми, но и точечными. При таком подходе злоумышленники воздействуют на избранных сотрудников. Жертвой может стать работник или отдел, руководитель которого отправился в отпуск. Не редки письма, манипулирующие пристрастиями персонала, к примеру, под удар могут попасть фанаты какого-либо футбольного клуба, если таковые присутствуют в компании.

Спектр примет, по которым хакеры выбирают цель, чрезвычайно широк. Атака может быть «заказана» конкурентами, компания может привлечь налетчиков хилой защитой. Нередки случаи, когда злоумышленников на цель наводит инсайдер – обиженный работник компании.

Один из распространенных приемов – программирование жертвы на определенные действия. Он подразумевает непосредственный контакт с одним или несколькими работниками посредством звонка. Представившись одним из системных администраторов службы поддержки, который проводит плановую смену паролей, социальный инженер руками сотрудника отключит все системы защиты, либо внедрит вирус. Зафиксирован ряд случаев, когда у злоумышленников получалось успешно мимикрировать под ТОП-менеджмент компании или работников государственных органов. Ничего не подозревающий сотрудник, естественно, выполнял все их просьбы, тем самым за ручку проводя хакеров сквозь защитный периметр.

Успешно предотвратить точечную атаку, проводимую с использованием социальной инженерии и фишинга, помогут несколько простых правил.

Первое – необходим контроль звонков. Любое общение, выходящее за рамки нормы, должно вызывать подозрение. Слишком долгий разговор по скайпу или телефону – сигнал о том, что то-то пошло не так. Возможно, это не начало атаки, но, как минимум у работника возникли проблемы.

Маркером может служить резкий всплеск активности входящих вызовов: в случае, если злоумышленников целая группа, они начнут искать «инсайдера поневоле» в небольшой промежуток времени. Контроль голосовых переговоров помогает эффективно выявлять и предотвращать атаки с использованием приемов социальной инженерии. Как только в диалоге будут упомянуты определенные фразы, система моментально уведомит ответственное лицо.

Второе – необходим контроль контента в социальных сетях. Именно из профилей работников хакеры выуживают массу полезной информации, которая помогает нанести максимально эффективный удар по системе безопасности. Причем ограничения в большей степени касаются руководителей различных рангов. Рядовой персонал не стоит ущемлять в социальной активности в нерабочее время, однако проинформировать о возможных опасностях явно не повредит.

Перед тем, как публиковать в аккаунте свой номер телефона, стоит десять раз подумать. Именно благодаря социальным сетям социальным инженерам удается быстро, легко и непринужденно составить список сотрудников, которым стоит позвонить в первую очередь.

Не меньший вред представляет опубликованная дата рождения. Лидером среди паролей все еще остается «12345», следом за ним идет плеяда индивидуальных кодов, формата «месяц-дата-год рождения». Есть два выхода из ситуации: или не указывать в профилях социальных сетей подобные данные, или никогда не использовать их в кодах доступа. Хакеры не дураки, и если захотят взломать аккаунт грубой силой, подобные числовые комбинации будут испробованы одними из первых, а узнать их, посетив страничку в Фейсбук – дело одной минуты.

Как бы смешно это не звучало, но фото, сделанные руководителем во время отпуска – прямое приглашение к началу атаки. Представьте, что будет, если перед отъездом в путешествие на дверь квартиры повесить табличку: «Дома никого нет. И не будет до конца недели». Конечно, можно надеяться на сталь и современные замки, но воров-домушников никто не вгоняет в искушение с надеждой на совершенство систем защиты, правда? Отпуск руководителя – замечательная возможность для хакеров использовать чужую личину, примерив которую можно раздавать указания работникам и обойти систему безопасности без особых проблем. Не стоит кричать на весь мир о появившейся уязвимости, а фотографии можно опубликовать без особого ущерба и вернувшись из теплых краев.

Несмотря на резонанс фишинговых атак, защититься от них можно. Однако для этого потребуются совокупные усилия всего коллектива компании, подкрепленные современными системами безопасности. И в первую очередь стоит обратить внимание на программные комплексы, позволяющие отслеживать переписку, переговоры, вести мониторинг трафика и контролировать действия персонала.

phishing2

На крючке: «человеческий фактор»

Фишинг – компьютерная чума XXI века, в беспрерывной войне с которой победу пока одерживают отнюдь не компании. И не мудрено: простая и быстрая атака, не требующая особых материально-технических средств с завидной регулярностью проходит сквозь все системы защиты и лишь единицы могут эффективно противостоять подобному воздействию. В итоге, компании несут убыток, теряют терабайты информации и приостанавливают свою деятельность на часы, дни, а иногда даже недели, а хакеры потирают руки, ведь они, как всегда, в выигрыше.

В прошлой статье речь шла о технических средствах, помогающих отразить фишинговую атаку. В продолжение материала речь пойдет о самой сложной части противодействия злоумышленникам – обучению персонала.

Сложно переоценить важность «человеческого фактора» в системе противостояния киберугрозам. Как ни странно, цель всевозможных регулярных тренингов и обучений – не повышение квалификации персонала. Главная задача – повышение уровня безопасности компании за счет комплексной модификации поведения сотрудников. Поэтому простыми лекциями, состоящими из клише и штампов в духе «вражеский хакер не дремлет» и «кликать по ссылкам плохо, не надо так» не обойтись. Выработка правильных реакций и действий в кризисных ситуациях, закрепленных на уровне инстинктов, подразумевает серьезный основательный подход.

1. Моделирование реальных ситуаций

Прочитав лекцию о киберугрозах и фишинге, проведя контрольное тестирование-опрос руководитель с высокой степенью вероятности не добьется ничего, кроме впустую потраченного времени. Учиться необходимо на практике. Самый лучший способ закрепления правильного поведения – моделирование реальной ситуации и анализ правильных действий и совершенных ошибок.

Для проведения подобных мероприятий не обязательно тормозить работу всей компании, достаточно выбрать несколько фокус-групп из разных департаментов. В следующий раз участниками эксперимента станут их коллеги или работники, неверно отреагировавшие на угрозу.

Далее, необходимо подготовить минимальную базу для атаки: подходящую электронную почту и письмо с вредоносным вложением или ссылкой. Не стоит пренебрегать излюбленным хакерским приемом – социальной инженерией. Для правдоподобности стоит изучить профили «жертв» в социальных сетях и снабдить послание определенными личными данными.

Письмо-приманка может быть как «деловым», замаскированным под уведомление из банка или государственных органов, так и личным, содержащим информацию о скидках на билеты любимой футбольной команды.

Если сотрудник «клюнул» на приманку, стоит отправить ему сообщение с информацией о том, что же только что произошло. Например, необдуманные действия привели к заражению системы компании или краже паролей.

Следующий этап – дебрифинг, проще говоря «разбор полетов», сбор и анализ статистических данных: сколько работников из фокус-группы действовали неверно; экстраполяция статистики на всю компанию; разработка методичек и инструкций.

2. Помощь отдела маркетинга

Практически в каждой организации есть специально обученные люди, в задачи которых входит общение с аудиторией. Это отдел маркетинга. Не стоит пренебрегать их возможностями. Привлечение маркетологов к обучению персонала внутри компании дает максимальный эффект. Они смогут разработать стратегии общения с коллективом, основанные на разнообразных вариантах доведения информации, таких как: вебинары, внутрикорпоративные рассылки, методички, должностные инструкции или визуализированные буклеты.

Несмотря на трудоемкость процесса, не стоит пренебрегать всеми возможностями. Как утверждают ведущие эксперты по информационной безопасности, все инвестиции в защиту данных окупаются ровно за одну атаку. И компании, своевременно не подготовившиеся к такому развитию событий, могут это легко подтвердить.

3. Поощрение правильных действий

Американский и европейский бизнес пришел к выводу, что самым действенным средством обучения является материальное стимулирование. Сотрудников, адекватно прореагировавших в процессе симуляции фишинговой атаки, стоит поощрить премией.

Не лишним будет предусмотреть всевозможные поощрения для работников, обнаруживших реальную угрозу. Подобный подход позволяет добиться серьезного отношения к возможным рискам и дает отличный стимул сотрудникам внимательно изучать материалы по кибербезопасности.

Продолжение следует…

phishing

На крючке: технические средства борьбы с фишингом

В современном мире киберпреступлений есть прием, который с легкостью консервного ножа вскрывает практически любой защитный периметр безопасности. При этом затраты на проведение атак подобного рода – минимальны. Конечно, речь идет о столь полюбившемся хакерам фишинге.

Наверное, пиратский черный флаг не внушал такого ужаса, как одно упоминание фишинга. И не зря, ведь для эффективного использования этого инструмента не обязательно быть хакером экстра-класса. Достаточно иметь минимальный бюджет на проведение операции и весьма посредственный уровень познания в информационных технологиях, чтобы добиться успеха. Причем, угроза висит не только над малым бизнесом, который часто в плане технической защищенности гол и бос, жертвой легко может стать крупная корпорация, хорошо оснащенная технически.

Почему фишинговые атаки настолько эффективны, если их может осуществить группа любителей, при этом в противовес им на арену выйдут профессионалы в сфере IT-безопасности? Ответ прост: злоумышленники наносят удар по самому уязвимому месту любой компании – человеку. Действия среднестатистического работника сами по себе, без воздействия извне, уже являются угрозой. Секретарь может сутками напролет скачивать музыку, а менеджер без устали играть в игры. На фоне подобного времяпрепровождения переход по непонятной ссылке в письме или запуск вредоносного вложения кажется вполне логичным. Если работник не привык думать, анализировать свои действия и предугадывать последствия, фишинговая атака пройдет успешно.

Для продвинутой системы информационной безопасности, работающей в совокупности с профессиональными IT-специалистами, среднестатистический работник представляет собой нечто, вроде вируса, регулярно вносящего риски и хаос в отлаженный кибермеханизм. С точки зрения машины, идеальная система защиты та, которая не содержит биологических объектов, то есть людей. Но, поскольку времена тотальной роботизации все еще не наступили, подобная мысль по своей сути утопическая, ведь «опасные люди» — это работники, зарабатывающие деньги компании, без них бизнес никуда не поплывет.

Раньше, как всегда, было проще, ведь даже простенький антивирус мог справиться с большей частью угроз. На сегодняшний день подобные программы с честью заслужили звание «прадедушек» систем информационной защиты, и уже давно не являются надежным щитом, спасающим от всего спектра опасностей. Угроза фишинга требует комплексного подхода, сочетающего в себе применение современных средств электронной защиты в совокупности с обучением персонала.

1. Контроль почты

Любая фишинговая атака начинается с письма. Причем письмо обязательно будет тщательно замаскированно под послание от вышестоящего руководства, организации-партнера, клиента или уведомление от госструктур и контролирующих органов.

Обычно угрозу в письме представляет именно ссылка, которая ведет на вредоносный сайт. Дальше все зависит от мастерства и подготовки хакеров. Например, на сайте может прятаться вредоносный код. Нередко внешний вид ссылки и сайта «подделывают» под какую-либо банковскую или учетную систему. Незадачливый пользователь, не видя подвоха, вводит свои регистрационные данные, которые тут же оказываются в руках у злоумышленников.

Независимо от вариаций возможного нанесения вреда, необходим трехэтапный контроль переписки. Первый – анализ адресата, именно благодаря схожим с оригинальными электронными ящиками госструктур, руководителей или партнеров по бизнесу, злоумышленникам удается манипулировать персоналом. Электронная система контроля должна отслеживать переписку и в случае возникновения опасности, начинать бить тревогу.

Второй – анализ контента. Содержащие вирус вложения и странные ссылки должны тщательно отслеживаться. Стоит отметить, что фишинговая атака обычно сопровождается массовой рассылкой писем, содержащих одинаковые заголовки и сходный контент. Современные системы защиты данных умеют выявлять подобные всплески вредоносной активности и адекватно реагировать на них.

Для руководителя есть еще один немаловажный бонус использования подобных программных комплексов. Часто утечки информации происходят именно через электронную почту. Кроме того, полезно проанализировать коммуникации персонала как внутри коллектива, так и с партнерами извне. К несчастью, случаи ненормативного общения или искажения информации происходят регулярно.

Ну и третий эшелон – использование так называемой «песочницы» для запуска подозрительных вложений. Это специальная выделенная среда, которая служит для безопасного исполнения программ.

2. Анализ трафика в режиме реального времени

Если все-таки фишинговое письмо просочилось внутрь организации, без интеллектуального анализа трафика в режиме реального времени не обойтись. Системы, обладающие такими возможностями, отслеживают опасные ссылки и блокируют клики по ним. Если, несмотря на все ухищрения, бойкий пользователь все же смог перейти на опасный сайт, система оповестит ответственное лицо, которое сможет своевременно принять меры. Это позволит не допустить заражение, либо, говоря о сайтах ворующих логины и пароли, своевременно обновить коды доступа к ресурсам.

3. Поведение пользователей

Важный элемент любой информационной защиты – мониторинг, анализ и контроль поведения пользователей. «Умные» системы контроля персонала умеют не только отслеживать активность в режиме реального времени, но и выявлять возможные рисковые ситуации. Например, если секретарь Маша бездумно открывает все письма подряд, даже те, которые рекламируют сомнительные БАДы, а менеджер Вова пытается запустить странное вложение, не смотря на крики и протесты антивируса, система выявит риски и уведомит руководителя. Останется ликвидировать потенциальные угрозы, модифицировав поведение «человеческого фактора» до приемлемого с точки зрения машины. То есть подготовить и обучить персонал.

Продолжение следует…

imp

Закон Мерфи в бизнесе: ТОП нелепых случаев, которые не могли произойти

Любой руководитель заинтересован в эффективной работе своих подчиненных, это аксиома, не требующая доказательств. Давно канули в небытие те времена, когда в непонятных конторах сидели не умеющие работать сотрудники, потому что зарплата в 120 советских рублей – не чьи-то личные деньги, а государственные. А государственное, как известно, не жалко.

Но, несмотря на то, что руководитель распоряжается своими, нажитыми трудом и потом финансами, регулярно происходят случаи, вызывающие недоумение. Современные работники, как и их коллеги в не столь отдаленном прошлом, умудряются ничего не делать в течение дня, распоряжаться имуществом компании, как своим собственным, и устраивать диверсии.

Мы собрали ТОП-3 самых интересных и нелепых случаев, которые, казалось бы, не могли произойти на рабочем месте.

Отдел-призрак

В одной крупной компании решили расширять сферу деятельности. Не откладывая дело в долгий ящик, был сформирован отдел, занимающийся новым направлением, сотрудникам которого были поставлены задачи по разработке и проектированию на ближайший месяц. Параллельно, для подстраховки, руководство начало анализировать новую нишу рынка. К сожалению, исследование продемонстрировало нерентабельность затеи. К несчастью, такое иногда случается даже с отличными идеями. Посовещавшись, было принято решение отдел – расформировать, сотрудников – распределить по другим подразделениям компании. Ответственным за исполнение был назначен один из ТОП-менеджеров компании. Одна беда, он через несколько дней собирался вылетать в отпуск, поэтому сказав «Да, конечно, я этим займусь» продолжил мысленно паковать чемоданы. А вернувшись через некоторое время из жарких стран, погрузился в навалившиеся рутинные процессы и… Забыл о поставленной задаче.

Проблема всплыла через 3 месяца, когда в компании внедрили Стахановец. Оказалось, что на протяжении этого периода «потерянные» сотрудники каждый день приходили на работу и ничего не делали, поскольку задачи давно кончились. При этом бухгалтерия исправно выплачивала им зарплату, ведь других распоряжений не поступало. ТОП-менеджер все так же не помнил об «отделе-призраке», а остальное руководство компании искренне верило, что подразделение давно расформировано. «Забытые» сотрудники никого особо не донимали своим присутствием, ведь, как известно: солдат спит, а служба идет. Сколько еще мог бы просуществовать этот отдел, если бы не внедрение Стахановца – науке не известно.

Выходной день геймера

Не прошло и нескольких дней после внедрения Стахановца в одной из компаний, как был обнаружен случай вопиющей хитрости и лени.

Руководство поощряло переработки, доплачивая за сверхурочные часы. Один из сотрудников, решив, что деньги лишними не бывают, написал служебную записку о необходимости работы в выходной день. Вроде бы классическая ситуация, в которой выигрывают все: сотрудник в конце месяца получит ощутимую надбавку за переработку, а босс должен быть доволен – задачи выполняются в срок, да еще и кадры в компании замечательные, не брезгуют и в выходной день поработать.

Реальность оказалась прозаичнее. Придя в офис, горе-сотрудник не придумал ничего умнее, чем играть в иргу Zuma в течение 8 часов рабочего дня.

Сколько уровней он прошел и каких рекордов достиг – осталось загадкой, однако благодаря Стахановцу данный факт был обнаружен, а хитрец лишен не только надбавки за отработанный выходной, но и оштрафован на размер премии.

Сколько предателей среди 2х сотрудников?

Думаете, в компании из 10 человек все на виду, и предателя быть не может? Практика наглядно демонстрирует: воровать умудряются даже в компании, состоящей из двух менеджеров и одного руководителя!

И это не единичный пример, такие случаи происходят с завидной регулярностью. Интригам и хитросплетениям детективных историй могла бы позавидовать Дарья Донцова, ведь в реальной жизни количество роялей в кустах гораздо больше, чем в ее произведениях.

В небольшой фирме, с количество сотрудников в пять человек, из которых, один руководитель, а второй – его заместитель, завелся вор. Для полноты картины, стоит отметить, что «зам» теоретически вне подозрений, ведь он по совместительству брат шефа. Вы уже догадались, кто скрывает остатки по складу, подделывает документы по сделкам и кладет часть прибыли себе в карман? Правильно, тот самый брат, пользующийся безграничным доверием руководителя.

Количество работников в организации не имеет ровным счетом никакого значения, как и уровень заработной платы, отработанные бизнес-процессы или KPI. Закон Мерфи действует с неумолимой силой, и если есть вероятность того, что какая-нибудь неприятность может случиться — она обязательно произойдет, даже если на первый взгляд кажется абсурдной. Выявить проблему и ликвидировать последствия помогают современные комплексы мониторинга и контроля персонала, ведь без них, как показывает практика, руководитель очень часто оказывается беспомощен. Не каждую опасность можно обнаружить невооруженным глазом.