В этом блоге мы рассказываем про информационную безопасность и делимся своей практикой. И нам интересно. Вы прочитаете — и, возможно, ответите на вопрос.
Почему вы, владельцы бизнеса, стараетесь выполнять все предписания регуляторов и требования законодательства, но при этом не берёте во внимание человеческую коммуникацию? Сметы, тендеры, договорённости, базы клиентов, схемы премирования — всё это держится на людях. Но эту сферу почему-то оставляют без внимания. «У нас же всё строится на доверии», — говорят собственники.
Но когда бизнес растёт, вы физически не можете видеть, что пишет каждый сотрудник, с кем общается, какие файлы пересылает. Вы думаете, что всё в порядке, но на самом деле просто не знаете, что может навредить.
Речь в этой статье пойдёт о том, что даже самые лучшие и преданные сотрудники могут намеренно или случайно совершить действия, которые нанесут ущерб. Вопрос не в недоверии. Вопрос в том, чтобы предотвратить последствия, о которых вы даже не догадываетесь.
Для более детального обсуждения темы приглашаем вас присоединиться на наш вебинар 26 мая в 11.00. Разберём, как выстроить работающие процессы по ИБ, когда отдельного бюджета на безопасность нет. Покажем, как аутсорсинг помогает закрыть внутренние угрозы: саботаж, утечки баз, неэффективные сотрудники.
Регистрация по ссылке:
https://sbsecurity.ru/news/webinar?utm_source=dzen&utm_medium=article&utm_campaign=webinar
А сейчас рассказываем 5 случаев из компаний среднего бизнеса.
Прочитайте. И в конце спросите себя: «А могло бы такое случиться у меня?»
А если захотите — напишите нам в комментариях, узнали ли вы себя в какой-нибудь из историй.
История 1. Строительство: менеджер, который создавал свой бизнес в рабочее время
Обычный менеджер среднего звена. Отчёты сдаёт, премии получает, на него никто не жалуется. Идеальный сотрудник — на первый взгляд.
В рамках планового аудита решили посмотреть, с кем и о чём он общается. Проанализировали рабочую переписку и мессенджеры.
Оказалось: он регулярно обсуждает с внешними контактами сторонние проекты. Согласовывает сметы. Подписывает акты. Всё это — в рабочее время, с рабочего компьютера.
Выяснилось — он учредитель собственной компании, которая занимается точно тем же, что и компания-работодатель.
Что могло быть дальше: клиентов постепенно переводили бы на «свою» компанию. Тендеры, которые выигрывал работодатель, начинали «вдруг» уходить конкурентам. А менеджер оставался бы идеальным сотрудником ещё долгие годы.
История 2. Логистика: когда бывший регулярно напоминал о себе
Генеральный директор логистической компании обратил внимание: после ухода топ-менеджера список проектов стал заметно уменьшаться. Разошлись плохо — скандал, недопонимание, взаимные обиды.
Вскоре бывший топ открыл свою логистическую компанию. И она резко начала набирать обороты, забирая клиентов, которых ещё не были действующими клиентами в базе, но проходили как горячие лиды с вебинаров или проводимых мероприятий.
Проверка показала: бывший топ обрабатывал одного из действующих сотрудников. Между ними была регулярная переписка в мессенджерах. Обсуждали сделки. Сотрудник передавал информацию о текущих переговорах компании. Всё это — в рабочей переписке, с рабочего компьютера.
Что могло быть дальше: этот сотрудник мог стать «троянским конём». Он сливал бы стратегическую информацию: цены, условия, возражения клиентов, слабые места компании. И тогда у бывшего топа появлялось бы не просто «хочу забрать клиентов», а конкретное оружие для этого. За полгода могла уйти половина ключевых менеджеров. Крупные клиенты, которые «всегда были с нами», тихо перетекли бы к конкуренту. Бизнес мог просесть на годы вперёд.
История 3. Общепит: торренты на рабочем компьютере и претензия на 5 миллионов
Компания получила официальную претензию от правообладателя. Кто-то с их IP-адреса раздавал пиратский контент. Штраф — до 5 миллионов рублей. Плюс репутационные риски для ресторанной сети.
Проверка показала: рядовой сотрудник установил торрент-клиент на рабочий ПК. Раздавал фильмы и сериалы. Не со зла — просто не знал, что нельзя.
Что могло быть дальше: суды, штрафы, публичные разбирательства. Для бизнеса, который живёт репутацией, — удар, который не отмыть деньгами.
История 4. Производство: сотрудник, который устал и начал разрушать команду изнутри
В производственной компании работал менеджер по продажам. Когда-то он был эффективным, но со временем выгорел. Устал. Перестал следить за рабочим временем, срывал планы, но формально числился в штате.
Он постоянно писал в общих рабочих чатах. После каждого совещания — подробный разбор того, что «руководство опять сказало какую-то чушь». Обсуждал каждое решение в негативном ключе и подкалывал коллег.
Атмосфера в коллективе начала портиться. Люди, которые раньше работали спокойно, начали сомневаться: «А может, и правда здесь что-то не так?» Постепенно лучшие сотрудники стали уходить. Не потому, что им было плохо лично, а потому что общий фон стал невыносимым. А этот продажник продолжал сидеть в чатах. Не работал. Не продавал. Просто разлагал команду изнутри.
Что могло быть дальше: если бы ситуацию не вскрыли, текучка продолжала бы расти. Лучшие сотрудники уходили бы к конкурентам — не за деньгами, а за нормальной атмосферой. А один уставший продажник остался бы в компании, продолжая писать в чатах и разрушать то, что строилось годами.
История 5. Как менеджер по подбору персонала получал двойную оплату
Во многих компаниях действует система мотивации: если сотрудник приводит кандидата не в свой отдел и тот успешно проходит испытательный срок — назначается премия. Логика простая: свой человек лучше поймёт и корпоративную культуру, и суть работы. И доверия к таким кандидатам больше.
В одной компании эта система работала стандартно. Пока не решили посмотреть, что происходит на самом деле. Оказалось, что менеджер по подбору персонала выстроил целую схему. Он сам находил кандидатов, но приводил их через других сотрудников. Те автоматически считались «рекомендателями» и получали премию. А после выплаты отдавали менеджеру по персоналу откат. По сути, менеджер получал деньги за ту же работу, которую и так должен был делать по своей должности. За год таким способом украли больше миллиона рублей.
Что могло быть дальше: схема могла работать годами. Компания теряла бы миллионы на «премиях для своих», даже не подозревая, что система мотивации превратилась в дойную корову для собственного менеджера. А качество найма при этом падало, потому что реально нужные люди просто не доходили до собеседований.
Что общего у всех пяти историй?
Ни одна из этих ситуаций не была очевидной заранее.
- На менеджера из строительства не было доносов.
- Топ из логистики выглядел лояльным до последнего дня.
- Сотрудник из общепита никому не угрожал.
· Продажник из производства был «своим» много лет.
· Менеджер по персоналу был одним из ключевых сотрудников.
Их объединяет одно: в каждой компании не было системного подхода. Не было независимого взгляда со стороны. Никто не смотрел на рабочие переписки и не анализировал, что происходит внутри. Как только появился инструмент, который это показал, — угрозы перестали быть скрытыми.
Если вы узнали свою компанию в любой из этих пяти историй
Не паникуйте. Это не значит, что у вас всё плохо.
Это просто сигнал: возможно, вам стоит просто посмотреть, что реально происходит в вашем бизнесе. Один месяц наблюдения. Без обвинений. Без выводов на глазок. Только факты. А дальше вы сами решите, что с ними делать. Больше историй про DLP-систему на нашем сайте https://sbsecurity.ru/