По данным нашего ежегодного исследования, чаще всего виновниками инцидентов информационной безопасности (ИБ) становятся рядовые сотрудники (66%). Но не всегда за этим стоит желание умышленно нанести ущерб компании. Часто — это банальная невнимательность персонала, пренебрежение правилами ИБ, ошибки по халатности.
Сегодня контроль сотрудников на рабочих местах не обходится без специализированного софта. Системы класса DLP – базовый инструмент защиты от инсайдерских рисков и утечек информации в компаниях. Кроме того, DLP-система снижает риски случайных инцидентов ИБ, поддерживает дисциплину в коллективе и помогает сохранять ценные кадры. А теперь подробнее.
Контроль в рамках закона
По закону работодатель вправе контролировать работу сотрудников, чтобы защитить персональные данные, банковскую и коммерческую тайну, информацию в государственных информационных системах, а также данные в АСУ на объектах критической инфраструктуры. Работодатель несет ответственность за сохранность сканов паспортов, ИНН, СНИЛСов и прочих документов сотрудников, партнеров, клиентов компании. Это закреплено в федеральных законах: «О персональных данных», «О банках и банковской деятельности», «Об информации, информационных технологиях и о защите информации», «О коммерческой тайне» – и других нормативных актах.
Но, если в компании внедряется система автоматизированного контроля, нужно оформить ее применение документально и оповестить об этом персонал. Сотрудники должны знать о программе, для чего она применяется, и подписать согласие на мониторинг их активности на рабочем ПК. Для этого необходимо составить допсоглашение к трудовому договору и по пунктам изложить все задачи использования этой программы:
- для контроля за соблюдением должностных инструкций, внутреннего трудового распорядка;
- для контроля за использованием информационных ресурсов и технических средств компании для выполнения должностных обязанностей;
- для обеспечения защиты коммерческой, служебной тайны, как того требуют регуляторы.
Также система контроля применяется для поддержания дисциплины и оценки эффективности трудовой деятельности.
Чтобы избежать конфликтов и недопонимания, работодателю следует ввести регламенты работы с информацией. Для этого создайте отдельное положение об использовании контролирующих программ и пропишите, как должны храниться документы, можно ли пользоваться «облаками», личной почтой для общения по рабочим задачам. Так сотрудник будет понимать, что можно делать, а что нельзя. А именно, не использовать корпоративный ПК для личной переписки в социальных сетях, хранения домашних фотографий и т.д.
В чем польза контроля для сотрудников?
Бывает, что внедрение систем для мониторинга работы сотрудники воспринимают, как недоверие к ним и чрезмерный контроль. В таком случае нужно показать коллективу преимущества контроля и специализированного софта. Лучше всего для этой цели приводить примеры из реальной практики. Вот кейс нашего клиента. Он показывает, как сотрудник может попасть под подозрение из-за инцидента, к которому не причастен.
Отдел безопасности обнаружил на компьютере штатного сотрудника конфиденциальную информацию, доступа к которой у него не было. Тут же приступили к расследованию. Как выяснилось, на этом ПК регулярно запускались средства для удаленного доступа, но неподготовленный пользователь мог не замечать этого. Выяснилось, что к делу причастен администратор сети, который временно хранил конфиденциальные данные на компьютере «жертвы» до передачи их третьим лицам. Так добропорядочный сотрудник стал невольным соучастником слива информации.
Подобные случаи – не редкость. Не используй наш клиент DLP-систему, сотруднику было бы очень сложно избежать подозрений и тем более доказать непричастность к утечке данных.
Современные средства контроля помогают сотруднику не столкнуться с ситуацией, в которой ему придется оправдываться. А ведь в некоторых организациях его могут обязать проходить через полиграф или другие стрессовые проверки.
DLP-система в помощь сотрудникам
Есть несколько важных преимуществ, которые дает DLP-система для самих сотрудников.
Во-первых, система снижает риски случайной утечки данных, которая может обернуться санкциями по отношению к работнику. В системе реализованы блокировки, их настраивает специалист по ИБ, чтобы уменьшить вероятность того, что конфиденциальные документы специально или непреднамеренно уйдут за периметр компании. Также DLP оповестит, если «заметит» какую-либо подозрительную активность пользователей, что опять же снизит риски инцидентов, в том числе случайных.
Кроме того, в DLP есть открытый режим работы, который помогает не совершить опасных действий при помощи подсказок. Можно настраивать предупреждения об опасных действиях или включить пользовательский интерфейс — видимое окно на панели задач, тогда сотрудники смогут взаимодействовать со службой ИБ. Так, например, наша DLP позволяет оповещать сотрудников, если их письма не прошли проверку и попали «в карантин» из-за нарушения ИБ-регламентов. Если это случайная отправка, то уведомление напомнит пользователю о правилах ИБ, и он сможет предотвратить нарушение.
Сотрудник института готовил документацию, в которой содержались данные клинических исследований препарата. По привычке он выслал документы на проверку на личную почту бывшему руководителю, который в то время уже работал на конкурентов. Ошибка сильно ударила по репутации института из-за невнимательности сотрудника. При использовании DLP такого инцидента можно было бы избежать.
Во-вторых, работа DLP дает уверенность в том, что все инциденты будут расследованы объективно. Это касается не только предотвращения ложных обвинений, но и, например, проверки жалоб от сотрудников на самоуправство топ-менеджмента компании.
После внедрения DLP в ритейл-компании было найдено подозрительное email-письмо финансовому директору от одной из уволенных сотрудниц. Она обвиняла бывшего руководителя в том, что он пользуется полным доверием со стороны генерального директора, чтобы заниматься самоуправством. При этом сообщение, кроме эмоций, содержало и ссылки на конкретных людей, которые были уволены не за трудовые нарушения, а просто по желанию этого руководителя. Был проведен серьезный разбор инцидента, в результате чего руководителя сместили с должности. Из-за самоуправства были уволены без веских причин несколько ценных специалистов.
В-третьих, функционал контроля рабочего времени сотрудников, который зачастую есть в защитном ПО, дает объективный анализ продуктивности. А значит, помогает и самим сотрудникам формировать репутацию и правильно распределять нагрузку. Наши клиенты делились: если видят переработку, начинают искать причины, перераспределять задачи, перестраивать процессы. При необходимости расширяют штат, чтобы разгрузить сотрудников, или дополнительно премируют тех, кто перерабатывает. Есть и неординарный кейс по контролю эффективности.
В проектном бюро работает около 100 сотрудников. Специалистов мало, и они очень ценные. Появилась проблема – один сотрудник делал стандартные проекты значительно дольше коллег (2 недели вместо 3 дней). Сначала думали, что он параллельно работает на конкурентов, но DLP-система помогла выяснить другую причину. Сотрудник не умел пользоваться рядом функций автоматизированной системы проектирования, из-за чего тратил много времени. Специалиста отправили на обучение, которое повысило его навыки и производительность. Так компания получила более лояльного и квалифицированного сотрудника.
Подведем итог
Перечисленные кейсы наших клиентов показывают, как защитные решения помогают работодателям удержать профессиональные кадры, и работают в интересах сотрудников. Нужно только правильно аргументировать внедрение контроля.
Также сегодня мировая тенденция – выстраивать корпоративную безопасность, привлекая сотрудников. Этот подход направлен на то, чтобы предоставить работникам ресурсы, знания о потенциальных угрозах, а также формировать понимание важности их роли в обеспечении информационной безопасности. Следуя этим международным трендам, некоторые защитные решения, включая DLP-систему, уже реализуют функционал, с помощью которого сотрудники могут содействовать службе безопасности и предотвращать потенциальные риски, связанные с человеческим фактором.
Автор: Леонид Чуриков, ведущий аналитик «СёрчИнформ».
Оригинал публикации на сайте CISOCLUB: "Закон и порядок: в чем преимущества контроля для сотрудников?".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.