"Безопасность для всех"

Главная  Словари  Каталог   О проекте   Карта сайта   Контакты    Старая версия сайта

       
Поиск   
Главное меню

AdSense




10.10.08 19:22 |
Раздел: | Автор: admin | Рейтинг: 0.00 (0) Оценить | Хитов 5703

Диверсионный анализ компании

Каждый начальник желает знать: откуда может прийти беда? Будет ли это ошибка бухгалтерии? Или не сработает сигнализация на складе? Что вы будете делать, если ведущий менеджер компании вдруг уйдет налево вместе с клиентской базой? А вдруг, наоборот, обороты компании вдруг вырастут вдвое? В пять раз? Где именно компания треснет?



Традиционная боязнь руководителя компании – "пакости со стороны зловредных конкурентов". Конечно, образ "внешнего врага" необходим, чтобы поддерживать коллектив фирмы в тонусе. Но, как известно, наш главный враг – мы сами, и наибольшая опасность исходит изнутри. Ряд экспертов утверждает, что собственные сотрудники могут нанести своей фирме гораздо больший ущерб, чем конкуренты...

Итак, вот проблема: когда в компании всё вроде бы благополучно – как определить, откуда ждать удара? И дальше: как смоделировать провал, чтобы "не слишком проваливался"? Чтобы предупредить диверсии, приходится самим строить версии. Сегодня мы поиграем в шпионов.
 
Знай своего врага

Один сотрудник компании-провайдера тратил бОльшую часть рабочего времени, используя корпоративное оборудование в своих целях – в частности, качал из Интернет кинофильмы, закатывал их на СD-болванки (которые списывал как бракованные), печатал на корпоративном принтере обложки к ним, через корпоративный же Интернет давал объявления на соответствующих сайтах ("mpeg4-видео оптом недорого") и неплохо зарабатывал. В конце концов уволенный (как он считал, несправедливо) сотрудник унес с собой пароли к серверу, которые по халатности не поменяли. В течение полугода он раздавал своим знакомым "халявный" интернет, а сам, никем не замеченный, вовсю удаленно хозяйничал на бывшем рабочем месте – сделав себе сайтик и продолжая свой маленький бизнес на ресурсах бывшего работодателя.

"Какой негодяй!" – скажете вы. Это эмоциональная реакция. А реакция с точки зрения бизнеса – как сделать, чтобы подобные ситуации не повторялись?

В прошлом мы уже говорили о методе "check-list’ов", страхующем сотрудников от типичных (воспроизводящихся) ошибок. Но вред компании может быть нанесен и намеренно. Попробуем сформулировать основные риски.

·  риск вредительства и воровства

Популярная в советские времена фраза "На работе ты не гость…" (продолжите сами), увы, остается актуальной и по сей день. Работники несут домой бумагу, картриджи для принтера, канцелярские принадлежности, специализированные книги и журналы, выписываемые компанией, программное обеспечение, компьютеры, мебель… Что повезет.

Известно, что сотруднику фирмы гораздо легче совершить хищение, чем постороннему вору – сотрудник лучше знает все слабые места, недостатки системы безопасности, а также осведомлен и о ценности того или иного товара.

"На базе одной розничной сети, занимающейся сотовыми телефонами, открылся Интернет-магазин. Потребовались новые работники. В частности, был произведен набор курьеров для доставки телефонов заказчикам. Через месяц работы двое курьеров сами сделали крупный заказ в Интернет-магазине на вымышленный адрес и подтвердили его по сотовому телефону. Потом они вызвались произвести доставку, забрали товар, а на следующий день не вышли на работу. Руководитель отдела принялся разыскивать двух курьеров, однако оказалось, что у него были записаны только номера их сотовых телефонов, которые уже давно были заблокированы. Также выяснлось, что при приеме на работу никто не проверил паспортные данные, и они оказались "липовыми". В итоге Интернет-магазин не досчитался 2,5 тысячи долларов". (Зимин А., Модель оценки рисков предприятия по степени зависимости от персонала. Журнал "Управление персоналом", январь 2004.)

К тому же редкий сотрудник доволен своей зарплатой, поэтому считает, что нет ничего предосудительного в том, чтобы слегка поправить свое положение за счет родной компании. А уж набить карманы подарками (предназначенными для клиентов в рамках промо-акции) – вообще милое дело.

Существуют и иные способы дополнительного заработка – например, многочисленные варианты откатов.

·  риск увольнения ценного кадра

Ах, какой урон может нанести компании ценный сотрудник, просто-напросто уволившись! Опытный специалист уходит, как правило, вместе с клиентской базой. А уход менеджера высшего звена с предприятия иногда может быть равносилен его банкротству.

Что советуют специалисты в подобных случаях?

"На заводе на однотипном оборудовании (определенной сложности) работали около 50 "операторов-наладчиков". Число единиц оборудования росло, стали возникать проблемы. Работа несложная и монотонная, но требуется физическая сила, а также навыки работы с техникой (машина нуждалась в периодической отладке). Специалисты шантажируют руководство, постоянно и необоснованно требуя повышения оплаты труда. Эта задача принципиально не решается воздействием на людей – их воспитанием, уговорами, иными "психотропными" способами. Эта задача решается усовершенствованием самого процесса, разделением функций по разным качественным уровням.

Для решения задачи должность "оператор-наладчик" разделили... на 4 должности: наладчика технологического оборудования (высококвалифицированная функция), оператора (стандартная функция) и грузчика (неквалифицированная функция). В результате - резко упростилось выполнение сменных заданий.

Наладчик, настроив оборудование, затем постоянно находится в цехе и наблюдает за работой сразу нескольких станков, но не работает сам. А только, если происходит сбой, подходит и устраняет его. Квалификация наладчика отделена от выполнения текущей работы.

Оператор, наоборот, работает за станком, но в случае сбоя или необходимости перенастройки, зовет наладчика. Высокой квалификации, связанной с настройкой оборудования тут не требуется - так оператору ЭВМ не требуется знания устройства компьютера.

С грузчиком вообще все понятно. Работа грузчиков - неквалифицированная, малооплачиваемая. Она вполне допускала текучесть кадров.

Наладчиков, в отличие от "операторов-наладчиков", уже требовалось в 4 раза меньше (т.к. каждого прикрепили сразу к нескольким машинам). Ткаим образом, стало возможным сокращение числа "буйных гениев", увольнения которых ранее боялись, и повышение оплаты оставшимся (лучшим специалистам).

На должность операторов станков взяли женщин из сельской местности. С зарплатой гораздо меньшей, чем была у "гениев", но существенно более высокой, чем у женщин в сельской местности.

Хотя число должностей стало больше, но управляемость выросла, а фонд заработной платы даже сократился. Вот так решается данная задача".

Сергей Сычев (консалтинговая компания "Сычев и К", Ростов-на-Дону, www.triz-ri.ru)

Итак, проблема "излишне ценного кадра" может быть решена разделением "квалифицированных" и "неквалифицированных" функций между разными сотрудниками.

"Включаем голову раньше, чем... кнопку вызова охраны", – такая надпись была вывешена на одном петербургском складе.

И верно: вопросы хищений решаются службой безопасности. Проблема в том, что помимо явных "сбоев", существуют т.н. "скрытые дефекты" системы, которые долго время могут никак не проявляться. Другая проблема – как еще при составлении плана, проектировании нового изделия и т.п. предсказать возможные аварии, дефекты, которые могут произойти в будущем?

По данным VERITAS Software, 43% организаций во всем мире остаются в основном неподготовленными к крупным катастрофам. В результате опроса 1259 ИТ-профессионалов во всем мире, оказалось, что всего 38% респондентов имеют планы послеаварийного восстановления и обеспечения непрерывности бизнеса, несмотря на то, что 92% признают, что крупная авария их ИТ-инфраструктуры привела бы к серьезным последствиям.

В качестве причин аварий вычислительных систем называют:

·  отказы аппаратуры или программного обеспечения (37%)

·  Внешние компьютерные угрозы, включая атаки вирусов и хакеров (26%)

·  Природные катастрофы, такие как пожары и наводнения (14%)

·  Внутренние компьютерные угрозы, включая ошибки или злонамеренные действия сотрудников (13%)

·  Рукотворные катастрофы, такие как военные действия и терроризм (10%).

Когда респондентам предлагали сценарий, в котором естественная катастрофа (например,пожар или ураган) полностью выводит из строя главный вычислительный центр компании, свыше 40% не смогли сказать, сколько времени потребуется для восстановления нормального или хотя бы элементарного функционирования бизнеса.

Всего 3% уверены, что они смогут немедленно восстановить полноценное функционирование предприятия и всего 28% верят, что им удастся восстановить элементарные операции меньше, чем за 12 часов. Согласно результатам исследования, среднее время, которое требуется компаниям для восстановления элементарной работы после крупного пожара, превышает 72 часа.

Потенциальное влияние катастрофы на бизнес заключается в снижении производительности труда (62%), сокращении доходов (40%) и причинении ущерба отношениям с заказчиками (38%).

Еще несколько десятков лет назад над подобной задачей задумался инженер, специалист по ТРИЗ Борис Злотин. Он предложил следующее: чтобы предотвратить аварию, надо сначала подумать, как эту аварию… устроить, да еще так, чтобы никто не заметил. По существу, нам предлагается поиграть в эдакого агента 007: представьте себе, что вас внедрили на родную фирму, дабы снизить эфективность ее работы либо совсем ее развалить. Как бы вы действовали? Добавим, что "вредить" нужно, используя внутренние ресурсы компании, т.е. бомбу приносить нельзя.

Например, вопрос: как организовать зарплату персонала, чтобы сотрудники работали плохо?

"В 30-е годы прошлого века, чтобы поддержать энтузиазм пожарных, им стали платить за время пребывания на пожаре. За год число пожаров удвоилось, и гасить их стали не спеша".(Четкарев В., Как и за что платить, журнал «Персонал», 2004 г., N 9, с. 25.)

Вот в чем состоит суть "диверсионного анализа:

"Мы не ждем, а специально моделируем возникновение нежелательных явлений, чтобы затем, найдя способы их нейтрализации, упредить их реальное появление… Поскольку речь идет об обнаружении, как правило, скрытых дефектов, то и в обращенной задаче дефект необходимо получить скрытый, который не в состоянии вовремя обнаружить отдел контроля, заказчик и т.п.

По сути дела, речь идет о придумывании диверсии, отсюда и название подхода. Естественно, после того, как диверсия придумана, следует проверить, не реализована ли она на практике, есть ли вероятность ее реализации. И если такая возможность не исключается, необходимо решить следующую задачу: как этого не допустить", – пишет Борис Злотин.

Он приводит пример диверсионного анализа для обычного выключателя, производившегося на одном советском заводе. Во время дискуссии по поводу его конструкции ведущий задал вопрос: "Допустим, этот выключатель идеальный, и мы не можем его улучшить. А как его испортить? Причем так, чтобы дефект оказался скрытым?".

Слушатели с охотой стали предлагать свои способы. Кто-то предложил вот что: если части выключателя спаивать не по всей площади соприкосновения, а только по краям, то при пропускании малых токов ничего плохого не произойдет, но при больших токах спай начнет интенсивно греться, и в итоге выключатель может развалиться на две половинки. "Неожиданно это предложение вызвало замешательство технолога, который сообщил, что именно так и происходит при пайке из-за того, что рабочие экономят дорогостоящий припой, что в свою очередь вывело из себя инженера-исследователя, чья лаборатория уже больше 10 лет исследовала причины перегрева и разрушения контактов…

Добавим от себя: и все 10 лет получала зарплату.

Итак, процесс анализа состоит из множества этапов, в течение которых анализируемая система рассматривается с различных позиций. Мы приводим упрощенный вариант.

1. Сначала нужно сформулировать диверсионную задачу в виде: "Дана система, предназначенная для (указать основную функцию). Необходимо создать максимально возможное количество вредных эффектов, связанных с данной системой".

2. Затем нужно выписать основные параметры системы и их значения для нормального режима работы системы.

3. Далее нужно выявить вредные явления, которые могут возникнуть при нарушении нормального режима – с помощью т.н. числовой оси., т.е. резко увеличивая или, наоборот уменьшая один из параметров.

Например: что будет, если увеличить оборот компании в 10 раз? Уменьшить в 10 раз? Что получается, если резко возрастает штат сотрудников? Резко падает?

"В 2000 г. российская фирма–производитель пельменей с огромным успехом провела дегустацию своей продукции на выставке в одной из западных стран. Для иностранцев пельмени – экзотическая русская еда, естественно, попробовать хотелось всем. Ряд местных оптовиков, увидев такую реакцию посетителей, счел необходимым заключить договор на поставку пельменей из России.

Окрыленная успехом, фирма решила устроить аналогичную акцию на выставке в одном из российских городов. Но ринувшиеся за угощением посетители чуть не затоптали несчастных стендистов".(Екатерина Михайлова, заместитель директора ЗАО "Мобильные выставочные технологии")

4. Теперь надо найти типовые опасные зоны (болевые точки). Какие места нашей организации наиболее уязвимы?

Вот фрагмент перечня типовых опасных зон:

·  зоны концентрации проходящих через систему потоков (потоки людей, денежные потоки, информационные потоки и т.п.);

·  зоны, узлы, сотрудники, выполняющие большое количество разных функций (вспомним пример про операторов-наладчиков!).

·  так называемые "стыки" – зоны стыковки разных систем, отделов (например, отдел закупок – отдел продаж – рекламный отдел – бухгалтерия …) Из-за несогласованности на стыках этих отделов часто возникают аварийные ситуации.

·  зоны контакта с внешней средой (в частности, зоны контакта с клиентами, с конкурентами, с проверяющими органами и т.п.).

·  зоны, в которых уже происходили те или иные аварии, подвергавшиеся ранее исправлениям, ремонтам и т.п. Так сказать, "самое слабое звено".

·  зоны, в которых ответственные решения должны приниматься в условиях высокой неопределенности, недостатка времени и информации (в стрессовых обстоятельствах) и т.п.

5. Теперь надо рассмотреть перечень типовых причин вредных эффектов и решить, какие из них можно реализовать в нашей задаче.

Фрагмент перечня причин вредных эффектов:

·  волевые решения, принятые без обоснования, пренебрежение "неугодными" фактами, мнениями специалистов;

·  недооценка опасности из-за привыкания к ней (минеры, курящие при работе со взрывчатыми веществами), из-за надежды, что "пронесет";

·  снижение внимания, скорости и точности реакций из-за усталости, монотонности, психологического напряжения и т.п.;

·  формальное отношение к безопасности, направленное не столько на ее действительное обеспечение, сколько на снятие ответственности в случае аварии.

·  преобладание личных или групповых интересов. Вредные эффекты появляются потому, что оказываются выгодными для кого-то, либо потому, что работа по их предупреждению кому-то невыгодна ("Боязнь начальства больше, чем боязнь аварии");

·  отсутствие "защиты от дурака" – системы, предохраняющей от неверных (ошибочных или умышленных) действий сотрудника.

Рассказывает бизнесмен: "Когда-то мне пришлось побывать на заводе, где методом штамповки изготовлялись некие металлические изделия. Основной элемент процесса – здоровенный пресс, под который нужно совать заготовку. Я обратил внимание, что у большей части сотрудников не хватает пальцев на руках. Оказывается, их зарплата была прямо пропорциональна количеству произведенных изделий.

Вроде бы, все было сделано для обеспечения безопасности: сотрудник должен специальным пинцетом положить заготовку под пресс. А затем, чтобы пресс опустился, нужно обеими руками нажать две большие кнопки. Кажется, в таких условиях травма исключена… Не тут-то было! Сообразительные работники пинцетом блокировали одну из кнопок и, нажимая вторую рукой, одновременно совали заготовки прямо под опускающийся пресс…"

6. Этап обострения смоделированной ситуации. Допустим, мы найти способ, как навредить родной организации. Теперь думаем, как усилить вредные эффекты.

Фрагмент перечня усилений вредных эффектов:

·  задержки в устранении аварии, вызванные попытками скрыть ее, страхом перед начальством и т.п.

·  задержки в надежде, что "как-нибудь пронесет"…

·  использование при устранении аварии средств, усугубляющих положение (гашение горящей проводки водой и т.п.)

·  несовершенство системы безопасности, которая может сработать по ошибке, сама нанести урон…

Ложные срабатывания автомобильных подушек безопасности как правило приводили в неприятным последствиям, в том числе даже к смертельным исходам — в особенности среди детей и пожилых людей. Ведь устройство надувается за 50 миллисекунд, а столкновение водителя с ним происходит еще примерно спустя 30 миллисекунд, что сравнимо с ударом боксера. Причиной ложного срабатывания чаще всего являются "ошибки" электронных датчиков, от которых подушка получает команду.

Полностью исключить "нехорошую" статистику при колоссальном объеме производства (90 млн. фронтальных и 33 млн. боковых подушек только в 2000 году) невозможно даже при высочайшей степени надежности, закладываемой при разработке таких устройств.

7. И, чтобы никто не догадался, надо позаботиться о надежной маскировке нашей диверсии.

Например, как воровать компьютерные комплектующие, чтобы никто этого не заметил?

"Лучше всего в этом отношении себя чувствуют системные администраторы, которые "под шумок" домой могут снести целый компьютер. Ведь мало кто из сотрудников на предприятии (если оно, конечно, не специализируется на ПК) разбирается в компьютерном "железе". Проводя на фирме часто необоснованные модернизации ПК, сисадмин может списать в свой счет довольно много компьютерных комплектующих, все равно никто не поймет, что он там поменял или настроил. Я знаю таких людей, которые могут "правильно" вывести из строя ПК так, что какая-то его часть временно перестает работать. Они докладывают начальству о поломке, просят выделить деньги на замену, покупают новую, а старую (полностью рабочую) оставляют себе". (Зимин А., Модель оценки рисков предприятия по степени зависимости от персонала)
 

Анализируй то и это

Диверсионный анализ разрабатывался первоначально для предотвращения в первую очередь аварий на производстве. Но очевидно, что подобные методы могут быть с успехом использованы и в иных областях.

В частности, в настоящее время диверсионный анализ эффективно применяется при проверке на защищенность брэнда, товарного знака, элементов фирменного стиля компании.

Так, Вадим Усков (руководитель юридической компании "Усков и Партнеры") называет это "диверсионный анализ брэнда – теоретическое моделирование всевозможных атак на брэнд и его составляющие с целью проверки степени юридической защищенности брэнда и его владельца".

Всем известно о маркетинговых войнах, происходивших как на Западе, так и в России, когда неопытный хозяин товарного знака, не защитивший вовремя свое детище, становился жертвой злоумышленников.

Чтобы этого не произошло, предлагается проверить, как можно атаковать ваш брэнд (со стороны конкурентов или, скажем, депутатов Госдумы), промоделировать различные внутренние конфликты (например, злоупотребление авторскими правами со стороны дизайнера) и т.п.

При этом рассматриваются несколько типовых видов диверсий:

·  паразитирование на брэнде путем использования точно такого же идентификатора в другой товарной группе.

"Например, появившиеся сигареты "Балтика" напрямую копировали почти все идентификаторы пива "Балтика", включая номера, которые не являются охраняемыми с точки зрения интеллектуальной собственности". (В. Усков, "Диверсионный анализ брэнда")

·  "хулиганство" с брэндом

Один политтехнолог откровенно похвалялся тем, что в предвыборной борьбе "легко" разделался с кандидатом по фамилии Банько: нанял за гроши студентов, вручил им маркеры и поручил пририсовывать на всех плакатах к фамилии всего лишь одну букву…

Рекомендуется проверить написание и произношение своих брэндов на так называемые "дурако-устойчивость" – как можно его исказить? Спародировать? Произнести неправильно (особенно, если в названии используются иностранные слова)? С чем его можно перепутать?

·  имитация брэнда – т.е. создание различных клонов именно с целью, чтобы клиент принял товар-фальшивку за ваш.

Известно около 20 видов имитации: фонетическая имитация – клонирование имени брэнда за счет работы с буквами и звуками (Ариэль – Апрель); цветографическая имитация – подражание фирменным цветам в упаковке и т.п.

Возникает естественный вопрос: А что, если этот диверсионный анализ в самом деле попадет в руки злоумышленника? Не роем ли мы сами себе яму? Ведь и ядерное оружие, и ЛСД создавались в свое время с благими целями… "Может ли кто-нибудь воспользоваться нашей методикой для организации настоящих диверсий? В принципе это возможно, – писал Борис Злотин. – Многие годы наша страна болела шпиономанией. Но оказалось, что мы себе сами враги из-за некомпетентности, недобросовестности… Именно поэтому подавляющее большинство аварий происходит не по злому умыслу, а по незнанию. Разрушить это незнание и призван "диверсионный» подход". (Злотин Б.Л., Зусман А.В., Решение исследовательских задач, Кишинев, 1991 г., с. 116).

А суеверным – тем, кто боится накликать смоделированную беду – мы скажем следующее: если стараться совсем не думать о грустном, потом придется грустить всерьез. Сон разума рождает чудовищ.

Александр Соколов  
Источник: Технологии разведки для бизнеса

 

Родственные ссылки
» Другие статьи раздела
» Эта статья от пользователя admin

5 cамых читаемых статей из раздела :
»
»
»
»
»

5 последних статей раздела :
»
»
»
»
»

¤ Перевести статью в страницу для печати
¤ Послать эту cтатью другу

MyArticles 0.6 Alpha 9 for RUNCMS: by RunCms.ru


PR-CY.ru Rambler's Top100
Яндекс.Метрика

RunCms Copyright © 2002 - 2024
- Free Opensource CMS System - 
- Click here to visit our mainsite! -
Design By Farsus
Hosted by ARAX COMMINICATIONS
Право, Нотариат
Пейнтбол в Молдове
- Генерация страницы: 0.182834 секунд -