Внедрение корпоративного портала (КП) на определенном этапе развития компании – не только целесообразно, но явно необходимо в нынешний век сверхконкурентной борьбы. Корпоративный портал сегодня – не просто доска объявлений, это:
· хранитель документальной базы и всей истории деятельности компании;
· глобальный планировщик и контролер выполнения задач;
· универсальный коммуникатор, сборщик информации иPR-пропагандист;
· управленческий монитор за состоянием бизнес-системы.
В дополнение на него можно довесить системы CRM, CALL-центр и пр.
Возможности и преимущества корпоративных порталов – это отдельный разговор. В этой статье речь пойдет об одном из рисков, сдерживающих в некоторых компаниях принятие решений о внедрении и/или развитии КП: страх за безопасность коммерческой информации, особенно, когда к работе привлекаются сторонние подрядчики.
***
Процесс внедрения на предприятии современного корпоративного портала сегодня в принципе уже трудно представить без привлечения сторонних подрядчиков – вопрос только в степени их вовлеченности. Некоторые руководители видят в этом риски для своего бизнеса. Для многих служб безопасности компаний мысль о том, что к «святая святых» придется допустить посторонних, просто невыносима, и даже готовность подрядчика подписать любой договор о неразглашении полученной информации успокаивает как-то не сильно. (Хотя в серьезных, заботящихся о своей репутации консалтинговых и «внедренческих» конторах, договоры о неразглашении информации клиентов сотрудники подписывают еще при заключении кадровых контрактов.)
Но есть не только юридические, но и организационно технологический меры, обеспечивающие защиту коммерческой информации.
При грамотно выстроенной системе защиты информации, сотрудники подрядчика вынесут после внедрения портала в разы меньше информации, чем самый рядовой сотрудник компании.
Рекомендации от BlueOceanвсем компаниям, внедряющим и обслуживающим свои корпоративные порталы с привлечением подрядчиков:
Для начала изложим основные принципы организации работы с подрядчиками по внедрению и обслуживанию корпоративного портала, минимизирующие риски утечки коммерческой информации.
Принцип 1: Выбирай надежного подрядчика. Разумеется, степень информационной безопасности не зависит прямо пропорционально от величины компании-подрядчика и времени ее присутствия на рынке, однако контора, внедрившая несколько десятков КП и не испортившая свою репутацию, заботится о защите информации своих клиентов сильнее, чем иногда сами клиенты.
Принцип 2: Меньше подрядчику – больше своим сотрудникам. Многие операции на стадии внедрения КП могут выполнить сотрудники компании-клиента после небольшого обучения. Чем на более ранней стадии процессов внедрения КП будет запланировано привлечение к работе сотрудников компании-клиента, тем меньше будет вовлеченность сотрудников подрядчика и, как следствие, меньше доступа к коммерческой информации.
Принцип 3. Визуальный и технический мониторинг работы операторов подрядчика. На любой аккаунт и операторское место возможно поставить программу, протоколирующую все действия оператора или даже записывающую все происходящее на мониторе в медиа-файл, который потом можно просматривать хоть в покадровом режиме. Контроль за действием подрядчиков в своей информационной системе можно установить тотальный. При работе с наиболее ценной информацией вполне уместен визуальный контроль за работой оператора со стороны сотрудников службы безопасности (или сотрудника IT) компании-клиента.
Здесь еще надо понимать, что операторы подрядчика – это «технари», которые точно не могут «на лету» разобраться в открывшейся им управленческой или маркетинговой информации (да им это и не нужно, они «втыкают» в свое). Они не смогут эту информацию вынести «наружу» в сколько-нибудь связном виде (если, конечно, они не прошли специальную диверсионную школу и не обладают фотографической памятью).
Принцип 4. Удаленный доступ для подрядчика – только санкционный. Это значит, что у подрядчика не должно быть свободного бесконтрольного удаленного доступа к КП. При возникновении необходимости подключения подрядчика для обслуживания КП, представитель клиента санкционирует такой доступ, открывает канал входа, принимая все меры в соответствии с Принципом 3.
***
А теперь разберем более подробно обеспечение безопасности каждого вида коммерческой информации.
Документы. Оператор подрядчика работает здесь с массивами (списками, каталогами) документов. Необходимость открыть какой-нибудь документ может возникать только для тестовой проверки, читать документы для выполнения своих задач оператору некогда и незачем. Следовательно, технический или визуальный контроль со стороны клиента исключит утечку информации в этой части работ.
Данные о персоналиях(сотрудниках, контрагентах и пр.). На стадии внедрения КП можно практически на 100% исключить доступ подрядчика к этой информации. В этом случае портал внедряется с помощью тестовых персональных карточек, а реальные данные «заливают» потом свои сотрудники. Если же данные втягиваются из каких-то готовых баз (например, ActiveDirect), оператор здесь также, как и в Документах, работает с массивом информации, без необходимости изучать ее детально (для тестовых работ контролер со стороны клиента может выбрать и указать наименее «секретные» карточки).
Задачи и проекты.Эта информация заполняется сотрудниками компании после обучения. Оператор подрядчика, когда ему понадобиться входить в Процессы в рамках услуги по обслуживанию, в любом случае будет не в состоянии по фрагментам составить сколь-нибудь цельную картину о процессах компании. (Напоминаем, что оператор подрядчика – обладатель совсем других знаний и компетенций).
Финансовая информация, сделки. Портал – это не финансовый инструмент, так что бухгалтерской и управленческой финансовой информации подрядчик по внедрению корпоративного портала не получит. Максимально, что ему может быть доступно – это информация в сервисе CRM(отношения с клиентами), но защиту информации здесь возможно осуществить также, как и в «Задачах и проектах».
Сервисы коммуникаций («живая лента», почта, чат и пр.). Осуществить сбор информации по сервисам коммуникаций возможно только при наличии продолжительного бесконтрольного доступа. Как мы уже говорили выше, такую возможность для удаленного подрядчика можно и нужно исключить.
***
Что еще минимизирует риски утечки информации и сокращает присутствие подрядчика во внутрикорпоративном пространстве – это собственный обученный главный администратор портала в штате IT-службы. Как правило, до 90% требуемых исправлений и доработок может делать такой администратор при консультационной поддержке подрядчика.
Выводы.На основании всего вышесказанного можно с уверенностью утверждать, что при грамотном применении организационных и технических мероприятий вероятность утечки коммерческой информации при внедрении и обслуживании корпоративного портала с привлечением сторонних организаций-подрядчиков стремится к нулю. Поэтому руководству компаний нет никаких оснований затягивать вопрос с внедрением корпоративного портала в деятельность своего предприятия из-за подобных опасений. Также, как и нет смысла набирать свой штат программистов для полностью закрытого внедрения и обслуживания КП, когда есть намного более эффективный, и при этом безопасный, аутсорсинг.
Из практики компании BlueOcean. В одной крупной международной компании работающей на логистическом рынке Европы и СНГ, служба безопасности запретила подрядчику удаленный доступ при внедрении и обслуживании внутрикорпоративного портала, мотивируя это тем, что IT-служба при таком доступе не сможет обеспечить защиту информации. Приходилась нашим сотрудникам по каждому случаю ездить к подрядчику, что затягивало процесс. Удивление такому решению клиента не прошло до сих пор, всё задаемся вопросом: это такой уровень компетентности у службы безопасности, или же это желание СБ сократить себе работу в ущерб интересам компании?
===
Заполните форму, чтобы получить подробное описание внедренных проектов Битрикс24: https://goo.gl/xChVWh