среда, 14 декабря 2016 г.

Выявление инсайдеров и склонность к преступлению

Недавно на хабре опубликовали статью, где автор рассматривал возможность выявлять потенциальных инсайдеров с помощью определения психологического типа личности сотрудников.
Тема действительно интересная, и даже побудила меня разбудить блог из спячки, чтобы поделиться ей.

Автор предлагает использовать методику Маерс-Бриггс (MBTI) примерно в таком сценарии:
  1. HR-служба «прогоняет» сотрудника по определённому набору тестов.
  2. Информация передаётся в службу обеспечения ИБ.
  3. Зная, к какому типу принадлежит сотрудник, специалист в сфере обеспечения ИБ определяет его потенциальную склонность к инсайду (должны учитываться не только ключевые характеристики психотипа, но и другие переменные: выраженность предпочтений, склонность к риску, уровень социального интеллекта)
  4. Сотрудник попадает в группу риска, где за ним более детально следят
Мысль хорошая, вот только она опирается на один момент, оставленный как бы за скобками - все эти методики предполагают честное вовлечение объекта исследования в процесс. Т.е. определить какой-то "рисковый тип" мы сможем, только если сотрудник будет честно отвечать на все пункты опросника. А теперь представьте, что вы внедрились в компанию для кражи её секретов. Будете ли вы отвечать в психологическом тесте HRов честно? Сомневаюсь.
Более того, вам захочется состроить из себя какого-нибудь забитого чувственного интроверта ISFP. А это будет не очень сложно, особенно для опытного психолога или соц.инженера. 

В результате, внимание службы ИБ будет отвлечено на красную тряпку, в то время как незаметный новенький программист "как его там зовут даже не помню" будет спокойно собирать информацию и тырить всё, что ему нужно.

Тем не менее, сама идея достаточно не плохая. Нужно только подумать над методиками определения психотипов. Эти методики должны быть:
а) Объективны
б) Незаметны для испытуемых
в) Желательно адаптированы под конкретные условия их применения (специфику деятельности компании, или специфику коллектива, например, программистов).