На начальном этапе своей карьеры я был свидетелем настоящей драмы — когда репутация стабильной и приносящей прибыль группе совладельцев компании была разрушена одним поступком наемного высокопоставленного менеджера, подкупленного конкурентами. Критически важные данные утекли на сторону, а вместе с ними ушло доверие заказчиков, которое зарабатывалось годами. Когда мы начинали «Инфосекьюрити», воспоминания об этом эпизоде были свежи. Наша молодая компания не имела права на подобную ошибку. Совершив ее, мы вряд ли смогли бы вывести на рынок сервисы кибербезопасности, которые теперь составляют ядро нашего бизнеса, например услугу DLP-аналитики.

Сотрудники департамента компании, занятые мониторингом эпизодов утечек данных и их пресечением, соприкасаются с информацией, которую легко назвать бизнес-критичной. Информация о внутренней кухне практически каждого из клиентов сервиса DLP-аналитики интересует конкурентов, которые на многое готовы, чтобы наладить эпизодическую или регулярную поставку таких данных. Они могут действовать в том числе через сотрудников, у которых есть доступ к подобной информации.

Для нас было важно исключить «человеческий фактор» и с первого дня работы не допускать утечки информации по нашим каналам — иначе с перспективой развития сервиса DLP-аналитики и других профессиональных услуг нам пришлось бы расстаться.

Чтобы не допустить таких утечек и не дать заказчикам повода усомниться в том, что мы умеем хранить их тайны, мы сознательно решили сделать полиграф частью нашей кадровой политики.

Проверить всех — иллюзия

На этапе становления компании организовать процесс тестирования на полиграфе было несложно. Мы могли себе позволить проверять всех сотрудников — тогда команда насчитывала 15–20 человек, и процедура не отнимала много времени. Но компания почти за десять лет выросла в десять раз. Сейчас перспектива проверить всех 200 человек выглядит туманной, а территориальная распределенность ставит затею под угрозу.

Мы приняли первое непростое решение — отказаться от мысли проверять всех, а сфокусироваться на ключевых сотрудниках, на компетенциях которых строятся услуги нашей компании. Непростым решение получилось по понятной причине: отменив проверку для всех без исключения представителей команды, мы в нашей картине мира потеряли контроль за коллегами. Сейчас-то я понимаю, что тотальный контроль — это иллюзия. А тогда был повод на собственном опыте убедиться, что расставание с иллюзиями происходит сложнее всего.

Корпоративное чистилище

Мотивировать на проверку полиграфом представителей «старой гвардии» проблем не составило: каждый представитель ядра команды понимал свою роль в обеспечении работоспособности сервисов и в поддержании репутации компании перед заказчиками, поэтому воспринимал (и воспринимает) проверки на детекторе как подтверждение своей квалификации высококлассного профессионала в области хранения чужих тайн. Предстояло донести эту мысль до новобранцев.

Нам помогает сознательность сотрудников, на которых базируются ключевые сервисы компании. Наряду с руководителями «ветераны» поясняют новичкам, что проверки — это часть работы, а набор вопросов в рамках теста сформирован так, что определяющими становятся не детали биографии, а реакция сотрудника на те или иные вопросы. Ни работодателю, ни полиграфологу неинтересны факты употребления легких наркотиков, мелкое воровство в супермаркетах и другие бытовые прегрешения. Подобные вопросы задаются для калибровки полиграфа, чтобы понимать, насколько сотрудник честен и как далеко в своей честности он может зайти. Поэтому кабинет, где проходит проверка, лучше воспринимать как своего рода чистилище. 

Без скидок на лояльность

Бывало, что за вакансию в компании конкурировали два специалиста, но один отнесся к будущей проверке спокойно, а другой ждал подвоха. При этом лояльность к проверке первого кандидата не давала ему никаких преимуществ. Поскольку мы — инженерная компания, решение о найме принимаем главным образом на основе умений и навыков соискателя: пусть даже талантливый специалист «в моменте» показывает несколько худшие результаты проверки на полиграфе. Мы учитываем вероятные погрешности проверки и делаем поправку на стресс и не всегда адекватные психофизиологические реакции в ходе тестирования. Поэтому, если перед нами действительно талант, предпочитаем моменты, связанные с сигналами на полиграфе, проверять другими способами. Например, просим коллег из СБ детальнее проверить кандидата. Либо в рамках дополнительного соглашения с сотрудником фиксируем договоренности о более пристальном мониторинге всех его действий и планируем новое обследование на полиграфе в момент прохождения испытательного срока.

Еще один момент связан с одаренностью соискателей. К нам приходят люди с разным прошлым. И если мы ищем талантливого пентестера, важно отдавать себе отчет, что только один человек из миллиона — талант от рождения, другие же должны были на чем-то учиться и как-то получать опыт, который мы покупаем, когда делаем этому специалисту предложение о работе. Нередко опыт и драгоценные навыки добывались не совсем законным путем, и на закономерный вопрос о связи с криминальным миром он вспомнит про свои аккаунты на хакерских форумах и о своих знакомствах с «узкими специалистами» в даркнете. Полиграф это увидит.

Положительная реакция полиграфа не прерывает общение с кандидатом. Скорее она дает основания для внешней проверки: нам необходимо узнать, не вызывал ли наш герой в прошлые периоды своей жизни интереса у правоохранительных органов.

Если документальных свидетельств интереса нет и наше задание по своему профилю он успешно выполнил, то перед нами, скорее всего, действительно талантливый пентестер, с которым можно продолжать диалог о трудоустойстве.

Полиграф для топа

Процедура проверки новичков-«топов» углубленней, поскольку в руках сотрудников, которым предлагается занимать высокие посты, консолидируется больше процессов и знаний. Помимо базовой проверки полиграфолог фокусируется на психологических аспектах личности новичка и пытается как можно раньше «поймать» сигналы, свидетельствующие о его заинтересованности в деструктивной работе в интересах третьей стороны.

Поскольку с нашим коллективом работает опытный полиграфолог, ему удается получить исчерпывающе полные данные для формирования профиля новичка, не повышая градус стресса. Как и в случае с рядовыми сотрудниками или со специалистами среднего звена, при проверке нет задачи «закошмарить» тестируемого. Важно выявить близкую связь с конкурентами или корыстный интерес к клиентским данным. И то, и другое соискатели пытаются сознательно скрыть, что сразу видит полиграфолог. Поэтому в рамках подготовки к проверке для топа возможны такие опции, как проведение тестирования в знакомой обстановке (в кабинете испытуемого) и в удобное ему время.

Имеет ли смысл проверять сотрудников бэк-офиса? Универсальную рекомендацию дать сложно — все зависит от характера бизнеса, от организационной структуры и от того, насколько влияет работа команды бэк-офиса на устойчивость организации. Например, в производственной компании стоит проверять закупщиков: несмотря на то что закупщики формально относятся к бэк-офису, их честная работа влияет на себестоимость продукции и в конечном счете на конкурентоспособность предприятия в целом. Если ответственность сотрудника высокая и его влияние на бизнес ощутимо, то проверить его на детекторе имеет смысл. В нашей практике стоимость обследования составляет 3–5% оклада сотрудника в месяц, но не превышает десятой части ежемесячного вознаграждения.

Не рассказывай никому

Результаты проверки — это одна из самых охраняемых категорий данных в нашей компании. Мы не знакомим с ними даже тех, кто проверку прошел. Право обращаться к отчетам у нас имеют два человека — руководитель СБ и операционный директор. Это единственно верная политика. Во-первых, она обеспечивает безопасность полиграфолога — сотрудники, которые не прошли испытание детектором, не смогут ему отомстить, поскольку не будут в курсе того, что именно тестирование стало поводом для внутренней проверки, в ходе которой вскрылись обстоятельства, позволившие принять решение об увольнении. Во-вторых, даже для руководителей прошедших обследование сотрудников это совершенно лишние данные.

В компании стабильный по составу коллектив, поэтому у нас есть возможность наблюдать за динамикой изменения личности сотрудников. Изменения в поведении сотрудника по сравнению с прошлыми периодами могут мотивировать нас проработать каждый конкретный случай. Например, психологический профиль изменился из-за утраты мотивации, либо прежние задачи уже не вдохновляют, и сотруднику хочется расширения полномочий, либо он перегружен и понимает, что поставленные перед ним задачи не может выполнить, поэтому нет смысла пытаться совершить невозможное. Хорошо видно в отчетах нарастание внутренней тревоги. Причин может быть множество — от переживаний по поводу болезни кого-то из близких и крупного проигрыша в онлайн-казино до столкновения с криминальным миром. Такие эпизоды случаются. Сотруднику в таких случаях помогает СБ, причем делает это так, чтобы не поднимать у пострадавшего уровень стресса.

Полиграф = психолог

Практика работы с сотрудником по итогам психофизиологического тестирования — это первый шаг к институту корпоративных психологов, который давно работает в иностранных компаниях.

В США такой специалист совмещает функции психолога и полиграфолога. Его навыки и знания часто незаменимы в ходе первичных собеседований с каждым соискателем. Специалист составляет заключение о профпригодности кандидатов, выполняет задачи штатного психолога, к которому сотрудники приходят за советом, связанным с той или иной жизненной ситуацией. Он, как корабельный священник, хранит личные тайны всего экипажа и оберегает их даже от высших офицеров корпорации.

Вопреки распространенному мнению, обследование сотрудников на полиграфе не регулируется трудовым законодательством. Но в кодексе прописано, что для законного применения подобной практики работодателю необходимо включить пункт о проверке на полиграфе в трудовое соглашение. Работодатель должен иметь в своем распоряжении подписанное сотрудником согласие на проверку, оригинал которого остается у работодателя, а копию полиграфолог берет себе. Большее, чем обычно, количество формальностей не отменяет главного: сами по себе результаты проверки на полиграфе, указывающие на возможные злоупотребления и/или на нарушение сотрудником положений о коммерческой тайне, не могут быть поводом для увольнения.

Итоги тестирования — это легитимное основание для служебной проверки. Проверка либо докажет злоупотребление, нарушение или сговор, либо опровергнет заключение полиграфолога. Поэтому я рекомендую генеральным директорам и владельцам бизнеса, раздумывающим о внедрении «детектора лжи» в кадровую политику их организаций, отказаться от идеи рассматривать полиграф как «меч правосудия». Скорее это эффективный инструмент, который поможет понимать, насколько честны с работодателем представители коллектива. И недостаточный общий градус честности — вовсе не знак того, что вы окружены предателями. Вероятно, это сигнал о необходимости что-то менять в корпоративной культуре.