При передаче функционала на аутсорсинг собственник бизнеса беспокоится не только о качестве услуг, оказываемых компаниями-провайдерами, но и за предотвращение утечки информации. Комментирует старший менеджер по внутреннему контролю сервисной компании «ПИКТА» Александр Рыбачев:
«Могут быть разные причины утечки, но в целом их можно разделить на технические и человеческие.
Как вы понимаете, технические проблемы могут возникнуть на уровне информационных систем как провайдера, так и клиента. Поэтому, важно защитить рабочие процессы с обеих сторон. Это можно сделать разными способами. Например:
- внедрить автоматические контрольные проверки как на уровне информационных систем, так и на уровне транзакций/операций, выполняемых сотрудниками
- разграничить полномочия и доступы
- ввести ограничения на уровне информационных систем (запрет на установку ПО, блокировка небезопасных электронных писем/сайтов)
- создать програмные инструменты по предотвращению хакерских атак
Человеческие факторы труднее всего закрыть, т.к. они могут быть как целенаправленными (преднамеренными), так и непреднамеренными.
Непреднамеренный характер в большинстве случае связан с недостаточной квалификацией сотрудника, передачей нового функционала, нехваткой персонала, ведущей к увеличению нагрузки и др. И для возможного предотвращения риска конечно необходимо:
- определять стандарты и правила работы, включая формализацию детальных инструкций, помогающих в выполнении функционала
- внедрять автоматизации и автоматические проверки, предотвращающие или блокирующие некорректные действия/операции
- проводить обучающие семинары для поддержания профессиональных знаний сотрудников
- гибко и эффективно распределять задачи/нагрузку между сотрудниками
Для предотвращения преднамеренных ошибок необходимо внедрять ту же самую автоматизацию на процессах, включая разграничение полномочий, и проверять данные сотрудников при их приеме на работу.
При реализации той или иной ошибки одна из задач любого провайдера - это тщательно разобрать коренные причины произошедшей ситуации, и разработать мероприятия для их митигации и предотвращения повторения.
Наша компания следит за поддержанием в актуальном состоянии системы управления рисками и своевременно разрабатывает инструменты в случае выявления новых «дыр» и предпринимает все возможные мероприятия для того, чтобы клиент был спокоен в сохранности информации.»
