Совместное воздействие информационной безопасности и корпоративной культуры на общую производительность российских компаний

 ЛАГУТЕНКОВ А.А., мастер делового администрирования, Университет Кингстон, Великобритания, Москва, Россия, alexlagutenkov@mail.ru

Совместное воздействие
информационной безопасности и корпоративной культуры на общую производительность российских компаний

Цель данного исследования – предложить экономическую модель, способную объективно оценить необходимость внедрения средств информационной безопасности на любом российском предприятии. Страновая специфика России заключается в особенностях корпоративной культуры, которые необходимо учитывать при запуске проектов по внедрению информационной безопасности. Результатом данного исследования должно стать уравнение линейной регрессии, которое может быть в дальнейшем использовано для расчета экономической целесообразности проекта ИБ

Введение

Современные технологии позволяют обрабатывать и хранить огромные объемы информации о полном бизнес-цикле любой компании. Соответственно, утечка этих данных может приводить к потерям.

Рост интереса к информационной безопасности (ИБ) также обусловлен увеличением всемирной террористической активности. Однако при этом делаются не совсем очевидные выводы, что внедрение одной лишь ИБ на любом предприятии приносит компании только выгоды. Тем не менее экономическая сторона вопроса остается открытой: на данный момент практически нет исследований, позволяющих связать воедино корпоративную культуру компании, экономическую целесообразность от внедрения информационной безопасности и последующий рост или падение оборота предприятия в связи с проведенными инновациями.

Таким образом, возникают следующие вопросы. Как понять, насколько компании следует усилить ИБ? Следует ли инвестировать дополнительные средства в эту область или все же заняться совершенствованием корпоративной культуры или организационной структуры?

Под давлением нынешней, не самой благополучной финансовой ситуации большинство российских компаний ищут способы снижения затрат, а ведь проекты в области ИБ являются дорогостоящими и, пожалуй, с наименее очевидным экономическим эффектом от внедрения.

Это означает, что проекты по ИБ – первые кандидаты, которых принесут в жертву экономической устойчивости предприятия. Однако остановка этих проектов может иметь крайне негативные последствия для работы компании в ближайшем будущем. Возникает необходимость найти разумный баланс между затратами на ИБ и экономической эффективностью предприятия. Результаты исследования в этой статье могут послужить основой для рекомендаций, которые могут быть использованы в работе HR и ИТ-менеджеров в российских компаниях.

Подходы к исследованию организации и организационной культуры

В этой работе исследуется взаимозависимость между организацией, корпоративной культурой и субкультурой информационной безопасности.

Культура в целом представляет собой определенный набор поведения, ценностей, убеждений и целей. Это понятие применимо к одному человеку и к группе лиц. Любая организация – это группа людей, соответственно, в любой компании можно найти все перечисленные признаки культуры. Крёбер и Клукгон (1952) дали около 160 определений «культуры», что означает – этот термин весьма неоднозначный и зависит от контекста. Термин «культура организации» был впервые применен Петтигрю (1979).

Уровни влияния в корпоративной культуре определили Джонсон и Скоулз (1999) в модели «Культурная паутина». Основная идея «паутины» в том, что парадигма компании зависит от ряда информативных факторов, таких как истории, символы, ритуалы и внутренний распорядок. Влияние оказывают также структурные факторы, такие как силовые структуры (отдельные лица или группы, которые имеют власть), системы управления (которые определяют нормативные акты в функциональных областях) и сама структура организации. Наиболее подходящими уровнями для исследования являются «внутренний распорядок», «системы управления» и «структура организации», поскольку истории, символы ивластные структуры, как правило, – вещи неизмеримые.

Структуру, внутренний распорядок и элементы управления можно подвергнуть дальнейшей декомпозиции. Одним из наиболее известных фреймворков, развивающих идею Джонсона и Скоулза (1999), является модель 7-S от McKinsey. Она обеспечивает глубокий анализ, но без чрезмерного уровня абстракции.

Ливитт (1965) предложил структуру, которая известна как «Бриллиант Ливитта». Фреймворк довольно близок к модели 7-S, но подчеркивает всего четыре аспекта организации и, следовательно, намного проще для целей исследования.

Корпоративная культура в российских компаниях

До нынешних экономических сложностей экономика России была одной из самых перспективных в мире. В нашей стране все еще наблюдается низкое присутствие западных компаний и большой спрос на их экономические модели поведения. Однако в нашей стране существуют также глубокие культурные различия с западным миром, которые обязаны быть приняты во внимание. Большинство иностранных компаний пытались внедрить западную культуру бизнеса вРоссии, но они часто встречались со многими проблемами, которые базируются именно на культурных особенностях нашей страны. Исследование, проведенное Хофстедом (1980), показало, что управленческие практики нуждаются вадаптации для разных стран. Согласно Хофстеду существует четыре культурных аспекта, на которые следует обращать внимание:

• Дистанция власти. Как общество относится к тому, что власть распределена неравномерно?
• Избегание неопределенности. Как общество реагирует на неопределенность и неоднозначность?
• Индивидуализм и коллективизм. Как люди понимают разницу между «мой, собственный» и «принадлежащий компании, где я работаю».
• Мужественность – Женственность. На какой тип поведения ориентировано общество: мужской (материалистический) или феминистский (качество жизни)?

Боллинджер (1994) провел исследование в России с использованием метода Хофстеда и дал сравнительные оценки, где 1 является самым низким показателем, а 100 – максимальным. Он получил результат (см. таблицу 1), сравнив между собой Россию и США.

Таблица 1. Источник: Д. Боллинджер «Четыре краеугольных камня и три столпа в Доме России» (1994)

Различия в цифрах очевидно велики. Поскольку менеджмент как наука родилась в США, то, не вдаваясь в суть цифр, можно сделать вывод, что некоторые управленческие практики могут оказаться неэффективными в России.

Согласно исследованию, проведенному Фей (1999), самые серьезные культурные различия между Россией и США заключаются в следующем:

• «Два поколения рабочей силы». В России существует два поколения, одно из которых прожило большую часть своей жизни в культуре Советского Союза, и другое, новое поколение, которое никогда не сталкивалось с советской действительностью. Существуют большие различия в поведении этих двух групп. Это глубокая разница в мотивации, стилях работы, которые совершенно различаются для данных групп.
• Проблемы с обучением. Несмотря наточтовряд ли где-товмире можно встретить столько людей свысшим образованием, каквРоссии (почти всеимеют высшее образование, амногие инаучные степени), россияне неимеют практического бизнес-опыта вобласти ихобразования. Очевидные понятия применимости знаний вработе дляобычного западного человека– нетоже самое, чтодлягражданина России. Этосоздает серьезные проблемы впостроении тренингов иобразовательных программ длярусскоязычных сотрудников.
  • Русские не знакомы с неявными нормами бизнес-поведения и хорошим обслуживанием.
  • Русские очень мало общаются между собой на рабочем месте. Они могут обсуждать что-либо во время перерывов на перекур или кофе, но это будут исключительно нерабочие вопросы. В процессе же работы вся коммуникация происходит через руководителей среднего звена.
  • Для россиян в большинстве случаев требуется очень четкое объяснение стратегии компании. Иногда это необходимо делать не один раз.

Другой важный вопрос, типичный для русской культуры, – это отказ от обмена знаниями. Михайлова и Хастед (2003) обращают особое внимание на этот факт. В их исследовании есть некоторые типичные модели поведения, наблюдаемые вроссийских компаниях.

• «...Типичное поведение в российской компании – это преобладающий климат подозрений и конфиденциальности. Все в России стараются держать все в тайне.
• ...Знание передается российским менеджерам высшего и среднего звена от западных коллег, но, как правило, вниз по структурной лестнице эти знания никогда не спускаются и, таким образом, не попадают к рядовым сотрудникам.
• Совершенные ошибки и их обсуждение относятся к табу в большинстве российских организаций.
• ...Русские сильно сосредоточены на инструкциях и правилах».

Эти наблюдения западных ученых могут пригодиться при проведении исследований взаимозависимости между корпоративной культурой и информационной безопасностью.

Информационные технологии и информационная безопасность

Исторически исследование вопроса экономической эффективности ИТ было начато Эриком Бринолфссоном (1993). Вилкокс (2007) провел исследование, почему никто до сих пор не построил эффективную модель оценки ИТ. Онперечислил следующие проблемы: неправильные методы оценки ИТ, неправильные измерения, неоптимальное использование ИТ, отсутствие портфельного подхода и неравномерная производительность ИТ.

Оценка эффективности ИТ имеет отличие от других областей знаний. ИТ создают некоторые нематериальные ценности, которые трудно подсчитать очевидными и простыми методами оценки.

Существует точка зрения, что ИТ вообще не приносят никакой экономической пользы. Например, Карлоу и Оксли (2008) попытались оценить взаимное соотношение между внедренными информационными технологиями и экономическим ростом в Новой Зеландии. Они создали свою модель исследований и обнаружили очень слабую корреляцию между экономическим ростом и его зависимостью от информационных технологий. Они обнаружили, что, несмотря на огромный скачок в развитии ИТ (общее увеличение количества веб-сайтов, интернет-доменов, пользователей интернета и мобильных телефонов), это никак не связано напрямую с ростом экономики.

Другие исследователи, наоборот, обнаружили положительное влияние ИТ на экономику. Например, два испанских ученых нашли подтверждение положительного влияния развития ИТ на испанскую экономику. Мартинес, Родригес и др. (2008) построили специальную модель. Однако большинство ученых полагают их мнение спорным, поскольку их модель имеет сильные ограничения.

Следующий вопрос заключается в том, что именно делает ИТ-проект успешным?

Одна из самых известных моделей оценки успеха в области ИТ принадлежит Делону и Маклину (1992). Их подход заключается в исследовании взаимосвязей между шестью категориями информационной системы (ИС):

1. качество самой системы,
2. качество информации,
3. степень использования ИС,
4. степень удовлетворенности пользователей,
5. индивидуальное воздействие ИС на пользователя,
6. воздействие ИС на организацию в целом.

Эта модель предоставляет два важных инструмента для измерения успеха любой ИС. Во-первых, это схема того, как ИС воздействует на деятельность любого предприятия. Во-вторых, модель наглядно показывает взаимосвязи между категориями воздействия.

В 2003 году Маклин и Делон предложили усовершенствованную модель успеха ИС, поскольку с 1992-го ИТ сделали большой шаг в сторону электронной коммерции. Они согласились с Седдон (1997), что консолидация дисперсии ипроцесса объяснения в одной модели сбивает с толку, но они не согласились с подходом Седдона к разделению успеха модели ИС на две сущности из-за очевидной чрезмерной сложности получившегося результата.

Построение взаимозависимости между организационной культурой и информационной безопасностью

В 2007 году Институт компьютерной безопасности (CSI) сообщил, что компании США несут ежегодные потери из-за несоблюдения норм информационной безопасности – в среднем около $350 000. Согласно результатам опроса, проведенного ими:

• почти одна пятая часть респондентов, которые понесли убытки от одного или нескольких видов инцидентов с безопасностью, заявили, что они пострадали «в результате целенаправленного нападения», т.е. вредоносная атака была направлена исключительно на их организацию;
• инсайдерские атаки, связанные с несанкционированным доступом к сети и электронной почте непосредственно внутри организации, а также вирусные атаки отметили при опросе соответственно 59% и 52% респондентов.

Это означает, что угрозы информационной безопасности компании существуют не только снаружи, но также внутри организации. В соответствии с исследованиями международной компании Ernst & Young важный аспект безопасности – это культура информационной безопасности внутри организации.

Культурные аспекты безопасности ИС были исследованы Ротволдом (2008). Эту тему интересно развить в свете культурных особенностей России: как корпоративная культура российских организаций может ответить на угрозы информационной безопасности?

Качественные исследования

Для получения качественных ответов на вопросы, участвующие в обработке гипотез, планируется сделать два типа интервью:

1. Структурированный опрос сотрудников.

1.1. Способы обследования следующие:

1.1.1. Прямой опрос на основе бумажного вопросника.

1.1.2. Организовать обследование через интернет.

1.1.3. Отправка анкеты по почте.

2. Полуструктурированное интервью для ИТ-менеджеров и ИТ-директоров российских компаний.

2.1. Информацию планируется получить двумя способами:

2.1.1. Прямое интервью.

2.1.2. По телефонному звонку.

Количественные исследования

В рамках исследования предполагается получить ответ на пять вопросов:

Вопрос 1

Действительно ли информационная безопасность и корпоративная культура компании влияют на эффективность работы предприятия, что отражается в увеличении оборота компании?

Вопрос 2

Существует ли какая-либо взаимосвязь между планированием информационной безопасности, качеством системы ИТ-безопасности и информацией, предоставляемой ИС-безопасности, полезностью системы безопасности, типом индустрии, где работает компания, размером компании и связанной с ними корпоративной культурой, существующей в российских компаниях? Как эти факторы влияют на корпоративную эффективность в свете выручки предприятия?

Вопрос 3

Есть взаимосвязь между размером компании и выручкой?

Вопрос 4

Как возраст персонала влияет на доход от продаж в российских компаниях?

Вопрос 5

Какие рекомендации могут быть даны российским компаниям в отношении построения наиболее эффективной корпоративной культуры в свете ответа на вопрос 2?

Для исследования предлагается использовать уравнение многофакторной линейной регрессии.

Sales_Income = α₀ + α₁SystQual + α₂InfQual + α₃InfSecPlan + α₄Usflns + α5OrgType + α₆Ind+ α₇Size + ε

где:

• Sales_Income – годовой оборот предприятия (выручка).
• SystQual – переменная «Качество ИС». Адаптирована из McLean и Делоне IS модель успеха (2003) для применения в информационной безопасности.
• InfQual является переменной качества данных. Адаптирована из McLean и Делоне IS модель успеха (2003) для применения информационной безопасности.
• InfSecPlan является переменной планирования информационной безопасности. Адаптирована из модели Берда и др. (2006) для применения к информационной безопасности.
• Usflns – «полезность». Эта переменная была заимствована из модели Маклина и Делона (1992) и Берд (2006). Берд определяет полезность как «степень, в которой ИС позволяет Организации улучшить свою оперативную иадминистративную эффективность, улучшить распределение ресурсов, а также улучшить обслуживание и качество продукции». Полезность системы информационной безопасности может быть определена таким же образом.
• OrgType является переменной, которая определяет тип организации в соответствии с моделью Кеннеди (1982).
• Ind – это переменная, которая определяет тип отрасли, в которой работает компания. Берд и др. (2006) отмечают, что некоторые компании могут быть более интенсивными пользователями информации, например банки или страховые компании.
• Size – в соответствии с подходом Чавушоглу (2004) размер компании может повлиять на любую исследовательскую модель, которая включает организации разных размеров.

Гипотеза №1: «Качество ИС» положительно влияет на оборот организации.

Гипотеза №2: качество данных положительно влияет на выручку организации.

Гипотеза №3: информация о планировании безопасности положительно влияет на выручку предприятия.

Гипотеза №4: полезность положительно влияет на выручку предприятия.

Гипотеза №5: тип организации положительно влияет на выручку организации.

Гипотеза №6: тип отрасли положительно влияет на выручку организации.

Гипотеза №7: размер компании положительно влияет на доход организации от продаж.

Выводы

Предлагаемая модель не лишена недостатков, поскольку учитывает далеко не все аспекты как корпоративной культуры, так и информационной безопасности. Еще одна сложность исследования заключается в том, что для него понадобится статистически значимая выборка информации по российским компаниям. Что, как известно, является большой проблемой в России, поскольку источников открытой статистики в нашей стране мало, а корпоративная культура на российских предприятиях, как уже говорилось выше, согласно Фэй (1999) не предполагает раскрытия никаких данных. Тем не менее результат этого исследования может оказаться весьма интересным с точки зрения менеджмента именно в российском секторе экономики и в свете продвигаемой программы импортозамещения. Опираясь на результаты этого исследования, возможно, удастся значительно улучшить экономические показатели российских предприятий.

1. Diego Martınez, Jesus Rodrıguez, Jose´ L. Torres «The productivity paradox and the new economy: The Spanish case», Journal of Macroeconomics 30 (2008) 1569-1586.
2. E. Brynjolfsson «The productivity paradox of information technology», Communications of the ACM 36 (1993) 67-77.
3. W. DeLone and E. McLean, Information Systems Success: «The Quest for the Dependent Variable». Information Systems Research, 3(1), 1992, pp. 60-95. Copyright 1992, The Institute of Management Sciences (now INFORMS).
4. W. DeLone and E. McLean «The DeLone and McLean Model of Information Systems Success: A Ten-Year Update», Journal of Management Information Systems/spring 2003, Vol. 19, No. 4, pp. 9-30.
5. Seddon, P.B. A respecification and extension of the DeLone and McLean model of IS success. Information Systems Research, 8, 3 (1997), 240-253.
6. Pettigrew, A.M. (1979), On studying organizational cultures, Administrative Science Quarterly, 24, 570-81.
7. Leavitt, H.J. and Bahrami, H. (1988) Managerial Psychology, University of Chicago Press, London.
8. Leavitt, H. J. (1965). Allied organizational change in industry: Structural, technological and humanistic approaches. In J. G. March (Ed.), Handbook of Organizations (pp. 1144-1170). Chicago: Rand McNally.
9. G. Hofstede «Culture's Consequences», Newbury Park, CA.: Sage, 1980.
10. D. Bollinger «The Four Cornerstones and three Pillars in the House of Russia», Journal of Management Development, №2 (1994), pp. 49-54.
11. Carl F. Fey, Claes Nordahi, and Heike Zatterstorm «Organizational Culture in Russia: The Secret to Sucess», Business Horizons/November-December 1999, p.47-55.
12. Snejina Michailova, Kenneth Husted «Knowledge-Sharing Hostility in Russian Firms», California Management Review Vol. 45, No. 3 Spring 2003.
13. Glenda Rotvold «How to create a Security Culture in your organization», the information Management Journal, September/October 2008.
14. CSI/FBI 2007 Computer Crime and Security Survey, Available at http://www.gocsi.com/press/20070913.jhtml.
15. Ernst & Young «10th Annual Global Information Security Survey», 2007, Available at http://www.ey.com/global/assets.nsf/Finland/Global_Information_Security_Survey_2007/$file/10th%20Annual%20GISS.pdf.
16. Byrd T. et al. «A process-oriented perspective of IS success: Examining the impact of IS on operational cost», Omega34 (2006) pp.448-460.
17. Cavusoglu, H.; Mishra, B.; and Raghunathan, S. The effect of Internet security breach announcements on market value: Capital market reactions for breached firms and Internet security developers. International Journal of Electronic Commerce, 9, 1(Fall 2004), 70-104.
18. Deal T. E. and Kennedy, A. A. (1982) Corporate Cultures: The Rites and Rituals of Corporate Life, Harmondsworth, Penguin Books.

Ключевые слова: внедрение информационных систем, информационная безопасность, корпоративная культура, исследовательский опрос.

The cooperative impact of Information Security together with corporate culture to overall performance in Russian companies

Lagutenkov A.A., MBA Kingston University UK, Moscow, alexlagutenkov@mail.ru

Summary: The purpose of this research is to offer an economic model that is capable to objectively assess the need or lack thereof for the implementation of Information Security (IS) in any Russian company. Country specifics in Russia is unusual corporate culture and this feature it is also necessary to consider when you start implementation of information security project. The result of this research is the linear regression equation, which can be further used to calculate the economic feasibility of any the IS project.

Keywords: Information Systems implementation, Information Security, Corporate culture, Survey Research.

Комментарии могут оставлять только зарегистрированные пользователи