Определенный процент потерь от мошенничеств с использованием компьютерных технологий, безусловно, есть, но он не так велик, как процент ущерба, причиненного самими сотрудниками банка

NBJ № 7(41), 2007
«Наша служба и опасна, и трудна», стр. 38–39

Человеческий фактор выступает неотъемлемой частью большинства процессов в банковской организации и в силу своей многозначности может оказывать как позитивное, так и негативное влияние на эти процессы. За все годы существования ИТ на банковском рынке человеческий фактор был, остается и в перспективе будет оставаться «самым слабым звеном» информационной безопасности. 
Объективная реальность состоит в том, что полностью автоматических систем информационной безопасности (ИБ) не существует, все они автоматизированные, т.е. предполагающие участие человека. Правильное построение и дальнейшее управление системами ИБ является исключительно прерогативой персонала. И здесь хочешь не хочешь, но самые совершенные ИТ-решения не помогут, даже идеально технически спроектированная ИТ-система не является гарантом высокого уровня информационной безопасности в банке.
По данным исследований, свыше 80% нарушений информационной безопасности вызвано сотрудниками самой организации. В этом нет ничего удивительного, считают эксперты. Люди подвержены разного рода эмоциям, они могут быть ленивыми, некомпетентными, заинтересованными в получении дополнительного, пусть и нечистоплотного заработка и т.д.
В отличие от технических средств защиты и обеспечения безопасности, человеку могут быть присущи такие качества, как нежелание следовать правилам информационной безопасности, отсутствие определенных навыков и знаний, забывчивость, он может совершать преднамеренные и непреднамеренные ошибки, у него могут быть личные мотивационные побуждения. Эти факторы несут в себе существенные риски нарушения стандартов и правил ИБ и в определенных ситуациях сводят практически к нулю эффективность самых совершенных технических средств защиты. 
Банковские эксперты в области ИБ уверены, что следует целенаправленно повышать осведомленность сотрудников по вопросам информационной безопасности, а не действовать по принципу «может, обойдется». Именно это является необходимым условием для нормального функционирования системы управления ИБ в банке. Подчеркивается, что люди могут по-разному отвечать на вопрос «что такое хорошо, и что такое плохо» с точки зрения соблюдения ИБ. Поэтому в организации, если она стремится минимизировать риск совершения ошибок, утечек информации и хищения средств, должны быть четкие, единые для всех правила, обязательные для исполнения.
Правила информационной бе-
зопасности могут не соблюдаться либо по причине их сложности, либо в связи с низкой трудовой и исполнительской дисциплиной. В первом случае надо постараться максимально упростить правила – сделать их понятными рядовому сотруднику, а за счет внедрения технических средств безопасности сделать невозможным отступление от тех или иных правил. Во втором случае необходимо ужесточать меры дисциплинарной ответственности.
Вопрос, как все-таки можно если не избежать, то хотя бы уменьшить влияние человеческого фактора на информационную безопасность, не имеет универсального ответа. В противном случае человеческий фактор не был бы тем самым «слабым звеном».
Здесь можно говорить скорее о том, что необходимо учитывать человеческий фактор, а также оценивать его влияние с точки зрения ИБ как при построении процессов в организации, так и при проектировании и внедрении ИТ-систем.
 Меры и способы контроля, которые позволяют уменьшить влияние человеческого фактора, могут быть как техническими, так и организационными и должны формироваться исходя из полученной оценки и применительно к конкретному процессу или ИТ-системе. Эксперты утверждают, что все эти меры придуманы достаточно давно, нужно только их четко соблюдать.