Уровень квалификации пользователей принято оценивать по следующей шкале: начинающий пользователь, пользователь, опытный пользователь, пользователь-специалист. Критерием здесь выступает опыт самостоятельного, успешного использования ИТ.
Начинающим пользователем считается человек, который хотя бы раз в жизни работал на компьютере. Умение совершать элементарные действия (включить-выключить ПК и т.п.), разбираться во всех базовых (пользовательских) операциях — также уровень начинающего пользователя. Следующий уровень квалификации — пользователь, который характеризуется уверенным владением программным обеспечением общего назначения (Word, Excel и т.д.). Опытными пользователями считаются сотрудники, способные реализовать все возможности ИТ на своем участке работы. Для таких пользователей и создаются многофункциональные сложные программы. Они способны сами решить, какое программное обеспечение оптимально решит их задачи, могут самостоятельно установить и настроить его, автоматизировать отдельные операции с помощью встроенных в ПО инструментов. Иногда квалификация пользователя в отдельных аспектах ИТ достигает специального уровня. Такой пользователь-специалист может осуществлять отдельные функции системного администратора или специалиста по технической поддержке. Например, может сам подобрать себе конфигурацию ПК, обслуживать свое автоматизированное рабочее место (АРМ), осуществлять несложный ремонт оргтехники, настраивать отдельные виды ПО. Одна из наиболее серьезных угроз информационной безопасности — так называемые «ламеры» (от английского глагола to lame — калечить), оно обозначает пользователя, необоснованно считающего себя специалистом и пытающегося выполнять соответствующие функции, допуская грубейшие ошибки, порой выводя из строя информационную систему (ИС). Выражение активно используется специалистами по ИТ, его важно правильно понимать, но категорически не рекомендуется использовать применительно к сотрудникам, так как в субкультуре продвинутых пользователей и специалистов по ИТ «ламер» — тяжкое оскорбление. Отмечено, что причина утечки информации чаще всего происходит в результате небрежности первых лиц организации. Например, в частных фирмах более 75% ответственных сотрудников, принимая посетителей, не считают необходимым убирать конфиденциальные документы со стола или же выключать компьютер. Это часто приводит к потере значительной части оперативной информации — razgovorodele.ru. По данным опросов 75% руководителей крупных предприятий хорошо знают об увеличении возможности утечки информации при использовании современных множительных средств типа ксерокса. Тем не менее, копирование материала в 54% случаев происходит в режиме самообслуживания, в 33% — оператором по устной просьбе служащего и только в 3% случаев оператор делает копии под расписку или по письменному заказу. По данным исследования, проведенного итальянскими психологами, только 25% служащих фирмы — действительно надежные люди, еще столько же ожидают удобного случая для разглашения секретов, а 50% будут действовать в зависимости от обстоятельств. Компьютерные преступления совершаются, как правило, служащими, допущенными к работе с информационными системами. Клерки, администраторы и управляющие виновны в них чаще, чем профессиональные программисты. Зафиксирован ряд случаев, когда программисты закладывали в информационную систему «логическую бомбу» на случай форс-мажорных обстоятельств, значимых для них. При наступлении указанных обстоятельств «бомба» стирает весь массив информации и самоликвидируется. Доказать вину в суде практически невозможно. Одна из крупнейших международных компаний по оказанию аудиторских и консультационных услуг Ernst & Young (коллектив компании насчитывает более 100 тыс. сотрудников в 150 странах мира, свое первое ежегодное исследование в области информационной безопасности компания опубликовала в еще в конце прошлого века — razgovorodele.ru) осуществила исследование, в котором участвовали 1250 организаций, представляющие компании из 50 стран мира. Из результатов исследования видно, что более 70 % компаний в мире недостаточно обучают сотрудников мерам информационной безопасности. Руководители компаний, несмотря на хорошую осведомленность о рисках, которым подвергается информационная безопасность со стороны поставщиков ИТ-услуг и сотрудников их организаций, не предпринимают адекватных мер. Менее одной трети из этих компаний проводят регулярную оценку работы своих поставщиков ИТ-услуг с целью контроля соблюдения ими политики по информационной безопасности, остальные полагаются исключительно на доверие. Более 70 % организаций не включили обучение и повышение осведомленности сотрудников по вопросам информационной безопасности в списки своих приоритетных задач. Директор международной практики Ernst & Young в области информационных технологий и компьютерной безопасности, считает, что, вопреки сложившемуся общественному мнению, некорректное поведение сотрудников может нанести компании гораздо больший вред, чем внешняя угроза. «Так как многие происшествия с участием сотрудников остаются невыявленными, организации часто и не подозревают о недобросовестной работе персонала». |