image

Старая пословица о том, что цепь сильна настолько, насколько сильно её самое слабое звено, безусловно, относится и к риску, с которым компании сталкиваются при защите своей информационной безопасности. Сотрудники создают угрозы, которые могут быть настолько же разрушительными для компании, как и действия хакеров.

Исследователи Государственного университета штата Айова работают над тем, чтобы лучше понять эти внутренние угрозы, пытаясь проникнуть в головы сотрудников, которые несут риск для своих компаний. Для этого они измерили мозговую деятельность, чтобы определить, что может спровоцировать сотрудника нарушать политику компании и продать или обменять конфиденциальную информацию. Исследование показало, что самоконтроль является существенным фактором в данном случае.

Исследователи определяют нарушение безопасности, как любой несанкционированный доступ к конфиденциальным данным, включающий копирование, передачу или продажу этой информации третьим лицам для личной выгоды. В исследовании Цин Ху, профессора в области информационных систем, и его коллег, опубликованном в журнале «Информационные системы управления», указано, что люди с низким уровнем самоконтроля думали намного меньше о последствиях крупных нарушений безопасности.

«Что мы можем сказать при настоящем исследовании — это то, что различия действительно существуют. В мозгу людей с низким и высоким уровнем самоконтроля происходят разные реакции, когда они смотрят на различные сценарии безопасности», – сказал профессор Ху. «Если сотрудники, начинающие работать в компании, имеют невысокий уровень самообладания, они могут быть более склонны к нарушению безопасности и конфиденциальности, если ситуация повернется таким образом».

В первом в своем роде исследовании использовалась электроэнцефалография для измерения активности мозга, и проводились наблюдения, как люди будут реагировать в серии определенных сценариев в сфере безопасности. Ученые обнаружили, что люди с хорошим самоконтролем требовали больше времени для обдумывания своих намерений в высоко рискованных ситуациях. «Вместо того, чтобы воспользоваться возможностью и получить мгновенное вознаграждение, они раздумывали над тем, как их действия могут разрушить карьеру или привести к возможным уголовным обвинениям», — утверждает профессор Ху.

Ученые обследовали 350 студентов и определили их уровень самоконтроля. Из них 40 студентов с самыми высокими и самыми низкими показателями прошли дальнейшие тестирования в неврологической исследовательской лаборатории при бизнес-колледже университета. Им продемонстрировали серию возможных действий в сфере безопасности, начиная от незначительных до серьезных нарушений, и попросили ответить какое действие они бы предприняли. В это время ученые измеряли их мозговую активность. Роберт Вест, профессор психологии, проанализировал полученные результаты.

«Когда люди раздумывают над решением, мы видим активность в префронтальной коре головного мозга, которая отвечает за принятие рискованных решений, рабочую память и оценку полученного вознаграждения по сравнению с возможным наказанием», – сказал Уэст. «Люди с низким самоконтролем быстрее приняли решения в сторону серьезного нарушения. Кажется, что они действительно много над ним не раздумывали».

Результаты проведенного исследования отражают характеристику самоконтроля в криминологии, в которой указано, что люди с низким самоконтролем действуют намного импульсивнее и рискованнее. Однако, при использовании традиционных методов и техник исследования, ученые так и не смогли определить, действовала ли группа с низким уровнем самоконтроля, базируясь только на непосредственной выгоде без учета возможных потерь в долгосрочной перспективе, по сравнению с тем, как это было в параллельной группе.

Вполне возможно, что «эффект социальной желательности» или желание действовать так, как хочется, скрыли истинные намерения участников. Ученые говорят, что результаты, полученные с помощью неврологических методов и техник, являются более правдоподобными и обеспечивают лучшее понимание процесса принятия решений человеком при различных обстоятельствах.

Что это означает для бизнеса?

В соответствии с глобальным исследованием по вопросам обеспечения информационной безопасности за 2015 год количество нарушений в сфере информационной безопасности выросло до 43 миллиона в прошлом году, по сравнению с 29 млн. в 2013 году. Исследование показало, что бывшие и нынешние сотрудники – наиболее частые виновники инцидентов. Не все нарушения безопасности сотрудников были злонамеренными, но те, которые все же имели злой умысел, создали огромный риск для компаний по всему миру. Это подчеркивает необходимость сосредоточиться на защите конфиденциальной информации непосредственно внутри компаний.

Лаура Смарандешку, доцент в сфере маркетинга, использовала в своих предыдущих исследованиях психологические методы для улучшения понимания мыслительного процесса человека. Она говорит, что это исследование может помочь предприятиям определить, какие сотрудники должны иметь доступ к конфиденциальной информации.

«Анкета, помогающая измерить импульсивность людей в критических ситуациях, может быть одним из механизмов отбора сотрудников», – утверждает Смарандешку.

«Другие исследования человеческого поведения рекомендуют внедрение на предприятиях комплексных процедур, обучения сотрудников и четких санкций в случаях нарушения безопасности для предотвращения подобного в будущем. Тем не менее, традиционные тренинги не изменяют уровень самоконтроля», — отметил господин Ху.

«Обучение — это хорошо, но оно не может быть настолько эффективным, насколько мы этого хотим. Поскольку самоконтроль является частью структуры мозга, это означает, что когда его определенные характеристики были сформированы, изменить их очень трудно», — сказал профессор.

Комментарии (2)


  1. Sergey-S-Kovalev
    14.05.2015 09:58
    +2

    Хорошие исследование в контексте познания человека.
    Главное что бы при трудоустройстве не использовали — отказать человеку на основании того, что он когда то, возможно, вероятно сотворит что то вредное уже будет явной дискриминацией.
    Слабый самоконтроль вполне может компенсироваться положительными морально-этическими характеристиками личности.


  1. Funnear
    14.05.2015 10:26

    Я очень уважаю подход когнитивных психологов — проведение тестов с замерами нейрофизиологических показателей. Такой метод является гораздо более научным, чем анкетирование-тестирование у «обычных» (всех остальных видов) психологов. Такие заявления, как:

    «Анкета, помогающая измерить импульсивность людей в критических ситуациях, может быть одним из механизмов отбора сотрудников», – утверждает Смарандешку.

    Меня, мягко говоря, возмущают.

    Но те же когнитивные психологи (например, Агафонов А. Ю.) указывают на такой недостаток всей психологической науки, как неопределенность терминов. Хорошие, с моей точки зрения, экспериментаторы, устанавливая цели исследования и приводя выводы по результатам четко обозначают, что они понимают под, к примеру, «самоконтролем». По каким критериям они присваивали одним испытуемым высокую оценку самоконтроля, а другим — низкую? В этой статье не сказано, да и оценка самоконтроля не была предметом исследования.

    И если наши HR вооружатся анкетками для отсеивания кандидатов по признаку «плохой самоконтроль», то не будут ли эти анкеты выявлять что-то совсем другое, чем фактор, влияющий на нарушение безопасности сотрудником?

    Короче говоря, нужно четкое определение понятия самоконтроля и достоверные научные методы его измерения (по физиологическим показателям).

    PS: хочу такую шапочку