Типологии Юнга в корпоративной безопасности

Сейчас мы часто консультируем предпринимателей и руководителей бизнеса, и корпоративная безопасность - весьма популярный и правомерный запрос. Иногда для организации безопасности используются заведомо нерабочие или неоднозначные методики. 

Недавно мы с интересом узнали из блога коллег, топовой компании, занятой в организации информационной безопасности, что для определения потенциальных инсайдеров-источников утечки информации они используют типологии Юнга и опросник "Индикатор типов Майерс-Бриггс" (MBTI). 
Поскольку посту уже много месяцев, верим, что с тех пор коллеги изменили мнение о рациональности использования подобных методик. Пока же прокомментируем. 

Хотя исходно коллеги опирались на исследования ЦРУ и ФБР, где обосновано, что инсайдером может быть абсолютно любой сотрудник компании, пытаться дальше выявлять "типы риска" через типологию Юнга, устаревшую и не прошедшую толком проверку практикой, было заманчиво, но пожалуй неправильно. Поскольку инсайдером может быть любой, спровоцировать можно любого - обычно деньгами, но иногда мечтами, угрозами или поймать в подходящем эмоциональном состоянии и спровоцировать. 

Если мы хотим предсказывать поведение своих сотрудников, мы должны проводить с ними грамотное интервью на мотив исследования целей и мотивов - в данном секторе есть несколько моделей, и все они достаточно надежные. То есть наша задача - не повесить на людей ярлык, но составить представление о их личности. 

Служба безопасности сама по себе знает точки, откуда может уходить информация - те сектора, где в принципе есть информация, интересная за пределами компании, и в случае утечки, несомненно, начнет поиски именно с того, что определят, какие именно данные "ушли" и кто имел к ним доступ, а также как утечка могла быть реализована. 

Возвращаясь к предложенному коллегами опроснику MBTI - он выделяет по комбинациям предпочтений 16 различных психологических типов личности. Предпочтения человека формируются в течение всей жизни, меняются и усиливаются в разных обстоятельствах. Мы много раз писали о неработоспособности различных типологий - люди разные, и 16 типов однозначно не смогут описать все многообразие характеров и мотиваций, лишь позволят проверяющему загнать объект под один из ярлыков, с которым дальше можно будет удобно оперировать, и не более. Тем менее обосновано смешение методики Майерс-Бриггс с соционикой. 

Коллеги предложили также через тесты определять у нового сотрудника склонность к риску и "манипуляторство". Однако рискованный характер уж точно не является обязательным для будущего диверсанта - если учитывать, что спровоцировать его на слив информации может не только секундный порыв, но и шантаж, и крупная сумма денег (с предложенным сценарием, как провернуть все максимально тихо). Главным ресурсом для появления инсайдера является доступ к информации, а уж кто им станет - вопрос ситуации. 

Правомерной для определения характера можно было бы счесть шестнадцатифакторную модель или "big five". Однако и выводы имеющихся тестов авторы методики подгоняют под себя, утверждая, что определенные типы выбирают определенные профессии, например - этот вывод совершенно не подкреплен доказательствами. 

Чтобы предсказать поведение человека, нам нужно знать поведение человека в прошлом, и провести грамотный опрос по выявлению рисков, анализ целей и намерений - этого достаточно. Да, проведение подобных интервью и анализа требует квалификации опрашивающего - представителя отдела кадров или службы безопасности. Но научить их будет дешевле, чем потерять ценного сотрудника из-за необоснованного ярлыка "инсайдера" или пропущенно утечки данных.