Punctele cheie ale securităţii informaţiilor sunt corectitudinea, loialitatea şi responsabilitatea persoanelor care au acces la informaţii sensibile. Majoritatea şi cele mai grave încălcări ale măsurilor de securitate se datorează erorilor „deţinătorilor de secrete”, pe fondul existenţei punctelor slabe din cadrul firmei lor şi a diminuării ataşamentului faţă de organizaţie.

În acest context, o deosebită atenţie trebuie acordată următoarelor categorii de persoane:
a. Persoane care trebuie să cunoască datele organizaţiei
Echipa de conducere – are acces la toate informaţiile organizaţiei
Personalul mediu de conducere – echipa de conducere stabileşte categoriile de informaţii la care se va acorda acces
b. Persoane care, voit sau accidental, vor afla suficiente date la care nu au acces
Şefi de la niveluri mijlocii sau mici – se vor strădui să afle date la care nu au acces, considerând că ele îi vor ajuta să se orienteze mai bine, pentru a promova uşor.
Curioşii din fire – fără a avea un scop anume, vor căuta să afle secretele celor mari
Concurenţa – a descoperi care sunt punctele tari şi punctele slabe pentru a le utiliza în avantajul propriu
Practicanţii, colaboratorii şi consultanţii externi – au posibilitatea de cunoaşte, în timp, suficiente date. În cazul în care apar indicii privind posibile legături cu servicii secrete sau alte situaţii suspecte, nu trebuie evitată contactarea autorităţilor de securitate.

Scurgerile de informaţii ar putea fi evitate dacă ar exista un program de instruire şi consiliere pe protecţia informaţiilor. Indicaţiile şi recomandările privind protecţia informaţiilor vor fi specifice pentru fiecare domeniu de activitate sau orientate pe grupuri-ţintă. Formulate în mod clar şi limitate la strictul necesar, reprezintă mijlocul potrivit de a informa personalul în mod eficient asupra măsurilor de protecţie existente şi asupra obligaţiilor de a lucra atent cu secretele, de a păstra secretul şi de a sesiza eventualele nereguli. Toţi angajaţii trebuie informaţi asupra reglementărilor de securitate valabile în organizaţie, respectiv să li se pună la dispoziţie câte un exemplar cu prevederile respective.

Politica de personal adecvată – selecţie, integrare, coordonare, motivare, promovare – şi respectarea consecventă a principiilor managementului modern reprezintă mijlocul cel mai eficient pentru o protecţie preventivă a informaţiilor.

A. Selecţionarea personalului
a. Încadrarea de personal
– în textul anunţului nu se menţionează probleme interne cu relevanţă în domeniul securităţii firmei;
– descrierea funcţiei pentru care se caută personal se face ţinând cont de sensibilitatea problemelor de securitate pe care le implică postul respectiv.
b. Principii de angajare
– trăsături de personalitate care să corespundă funcţiei;
– luarea în considerare a calităţilor caracteriale şi stabilităţii psihice.
c. Metode de selecţie (stabilirea capacităţii de a desfăşura activităţi în domenii de strictă securitate)
– verificarea atentă a documentelor depuse în vederea angajării, autobiografia, cererea de angajare, certificate, referinţe (adeverinţe complete privind totalitatea activităţilor anterioare);
– aplicarea metodelor moderne de diagnoză din domeniul resurselor umane;
– verificarea referinţelor;
– interviu cu accent pe interesele profesionale şi particulare (documentarea rezultatelor interviului)
– luarea în considerare a factorilor de risc individuali (contacte cu persoane cetăţeni străini

B. Integrarea persoanelor în organizaţie
– discuţii legate de problemele de securitate ale firmei / iniţierea în activitate;
– explicarea şi prezentarea reglementărilor de securitate ale firmei, a modului de funcţionare a sistemelor de protecţie fizică în firmă;
– obligaţia de a respecta protecţia datelor;
– obligativitatea păstrării secretului;
– stabilirea clauzelor privind concurenţa (interdicţia, obligativitatea de informare, desfăşurarea în afara firmei a altor activităţi tangente);
– limitarea accesului la domenii sensibile.

C. Activitatea de coordonare şi promovare a personalului
– stil de conducere cooperant / colaborare la toate nivelurile, bazată pe încredere;
– funcţia de model a superiorilor
– remuneraţie în funcţie de aport profesional;
– recunoaşterea meritelor profesionale (recunoaşterea valorii are consecinţe în planul conduitei de securitate);
– realizarea unei accentuate identificări cu interesele întreprinderii prin comunicarea informaţiilor de actualitate privind problemele interne ale firmei (de exemplu măsurile de securitate);
– ofertă de sprijin în situaţii personale excepţionale sau conflictuale (datorii, patima jocurilor de noroc, scăderea randamentului profesional, probleme personale);
– spor de confidenţialitate
– mutări de cadre la nivelul firmei, ţinându-se cont de sectoarele cu probleme sensibile de securitate
– selectarea persoanelor pe baza unui nou studiu privind cerinţele locurilor de muncă unde se lucrează cu secrete.

D. Observarea şi analiza comportamentul personalului
– Frustrare, nemulţumire în activitatea profesională / la locul de muncă
– Grad mare de curiozitate, zel excesiv în activitate, interes nejustificat faţă de documentaţii şi alte acte
– Comportament neregulamentar la locul de muncă
– Utilizarea unor mijloace tehnice suplimentare la locul de muncă (ex- dischete, aparatură proprie de înregistrare audio-video etc.)
– Imbunătăţire suspectă şi neplauzibilă a situaţiei financiare, stil de viaţă luxos, indicii de corupţie
– Indicii privind slăbiciuni umane şi înclinaţii antisociale
– Supracalificare sau evoluţie profesională neclară
– Identificare redusă, respectiv lipsă de identificare cu întreprinderea sau scopurile acesteia
– Legături incerte cu reprezentanţele firmelor concurente
– Relaţii personale, călătorii, şederi în state cu risc crescut în domeniul securităţii

E. Încheierea activităţii persoanei în organizaţie
– în cazul încetării contractului de muncă înainte de termen, mutarea din sectorul unde se lucrează cu documente secrete;
– predarea completă a tuturor documentelor şi obiectelor de serviciu (inclusiv a unei declaraţii corespunzătoare);
– retragerea tuturor împuternicirilor şi drepturilor;
– informarea sectorului responsabil cu problemele de securitate şi (foarte important) a partenerilor de afaceri;

În domeniul resurselor umane, există câteva lucruri pe care le puteţi face pentru a vă asigura că persoanele care au acces la informaţii sensibile nu vor fi tentate să le dezvăluie din diverse motive:
• Nu acceptaţi niciodată indivizii pe baza a ceea ce spun ei înşişi sau alţii că sunt. Aflaţi cu ce s-au ocupat. Verificaţi meticulos trecutul oricărei persoane în care va trebui să aveţi încredere. Lucrurile care contează nu sunt scrisorile de recomandare, laudele celorlalţi sau adulaţia prietenilor, ci documentele de credit, actele de studii, dosarele judiciare şi penale (sau lipsa lor) şi eşecurile sau succesele trecute în sport, afaceri, profesiune, viaţa persoanlă.
• Comportamentul din trecut nu garantează comportamentul viitor. Oricât de imaculat ar fi trecutul sau performanţele profesionale anterioare ale cuiva, căutaţi cu atenţie indicii care nu corespund a ceea ce ştiţi deja. Luaţi decizii pe baza a ceea ce fac indivizii azi, nu bazându-vă pe ceea ce au făcut ieri, şi, cu siguranţă, în nici un caz pe ce susţin că vor face mâine.
• Nu vă bizuiţi pe soluţii rapide ca examenul cu poligraful, actualizările programate ale acreditărilor de securitate, reviziile prin surprindere, camerele de supraveghere.
• Fiţi conştiincios cu măsurile de securitate şi instruiţi-i pe cei în care aveţi încredere cu privire la modul în care persoane neautorizate vor să culeagă informaţiile confidenţiale. Oferiţi recompense substanţiale pentru oricine dezvăluie o posibilă încercare de a se “accesa” neautorizat informaţiile confidenţiale.
• Nu vă identificaţi cu specialiştii în culegerea şi protecţia informaţiilor (Nu aveţi un asemenea specialist? Dacă aveţi informaţii valoroase, aveţi nevoie pe statul de plată de cineva a cărui sarcină să fie protecţia informaţiilor). Nu-i plasaţi pe aceşti specialişti în biroul de securitate care se ocupă de siguranţa fizică şi personală a clădirii şi a angajaţilor. Aceşti specialişti trebuie să lucreze ca funcţionari de personal, asistenţi speciali, jurisconsulţi sau orice altă titulatură care le permite să circule cu uşurinţă printre angajaţi şi să culeagă informaţii fără ca nimeni să presupună cu ce se ocupă de fapt.
• Aflaţi despre subordonaţii care au acces la informaţiile sensibile mai multe detalii. Specialistul trebuie să supravegheze orice angajat care are acces regulat la informaţii importante.
• Nu ţineţi lucruri care nu e necesar să fie confidenţiale. Stabiliţi care informaţii vitale trebuie protejate şi restrângeţi accesul la acele informaţii numai la cei care e necesar să le cunoască.
• Elaboraţi practici de relaţii cu personalul normale, care recompensează eforturile, creativitatea şi loialitatea. Asiguraţi-vă că nu sunt omişi indivizii mărunţi care reprezintă “ţinte atractive”. Oricine are acces la materialele importante sau în zonele în care se păstrează acestea trebuie să fie plătit suplimentar pentru încrederea pe care i-o acordaţi. Secretarele care dactilografiază documente importante trebuie să fie plătite foarte bine şi să fie tratate cu respect.
• Nu ţineţi în schemă angajaţi nemulţumiţi, mai ales dacă aceştia consideră că au fost trataţi nedrept. Dacă nu-l puteţi avansa pe angajatul care crede că merită o avansare, transferaţi-l într-un loc unde nu se vehiculează informaţii importante, sau, in extremis, concediaţi-l.
• Nu păstraţi un angajat într-o funcţie care să-i confere accesul la informaţii confidenţiale, dacă i se formează vicii sau năravuri ca alcoolismul sau consumul de droguri, problemele de credit, comportamentul sexual anormal sau tulburări de personalitate.
• Fiţi tolerant cu comportamentul neobişnuit sau diferit, dacă acesta nu influenţează performanţele profesionale sau relaţiile personale ale salariatului.

Autori: Mihai Ioan Micle si Florin Alexandrescu