Полезная информация в шапке и теме постоянно обновляется, читайте новые статьи и рекомендации в сообщениях ниже!
Информационная и кадровая безопасность на работе и в жизни.Информационная и кадровая безопасность на работе и в жизни.
Полезная информация в шапке и теме постоянно обновляется, читайте новые статьи и рекомендации в сообщениях ниже! У нас есть отдельный раздел форума для самых интересных новостей, полезных статей и их обсуждения по данной тематике, который находится ЗДЕСЬ.
Не знаешь, чем заняться и как заработать? Кризис и безденежье портят настроение? Найди вакансии и работу своей мечты на нашем портале 9955599 (ЖМИ СЮДА!) быстро и легко!
ADV2
AdveR3
MG
TG
Информационная безопасность на работе и в бизнесе.Вы знаете, где хранятся Ваши персональные данные? Защитите их!
Все началось в Калифорнии, как, в общем, и многие другие тенденции. Когда большинство из нас только начинали беспокоиться о краже личных данных, в Калифорнии был принят закон о «нарушении безопасности». Согласно ему, любое физическое или юридическое лицо, которое занимается сбором личной информации, если узнаёт о том, что происходит кража личных данных или кто-то посторонний получил к ним доступ, то он обязан сообщить об этом всем заинтересованным лицам. Хотя в Калифорнии этот закон был принят в 2002 году, большинство штатов не сделали ничего подобного и до 2005 года (и позже). Был один случай, о котором много писали в прессе: «В начале 2005 года компания «ChoicePoint» (штат Джорджия) сделала сенсационное признание, что в 2004 году она "случайно" продала данные примерно 145 тыс. американских потребителей нигерийским ворам. Но компания, которая занималась различными видами проверки личных данных тысяч людей, нарушила только один закон – калифорнийский. Жители штата Калифорния, чьи данные были украдены, получили индивидуальное уведомление об этом факте. Эта истории привлекла внимание законодателей и в других штатах. Мы попросили эксперта по вопросам конфиденциальности Линду А. Риццо, доктора юридических наук, обсудить эти законы. Редактор: Пожалуйста, опишите типичные примеры нарушения законодательства. Риццо: Это касается компаний, которые занимаются хранением конфиденциальных данных, содержащих личную информацию, включая имя человека, а также, например, номер социального страхования, номер водительских прав, кредитной карточки или счета в банке, а также код доступа или пароль. После того, как компания узнает, что эта информация находиться в опасности, она должна определить, существует ли реальная угроза того, что данные могут быть использованы не по назначению. В таком случае организация должна как можно быстрее уведомить всех пострадавших о произошедшем. В большинстве штатов, это уведомление можно получить по почте или телефону. В случае, если процесс уведомления является слишком обременительным, или же фирма не имеет достаточного количества контактной информации, необходимой для решения этой задачи, то для этого могут быть использованы различные средства массовой информации. Редактор: Сколько штатов приняли закон о «нарушении системы безопасности»? Риццо: По состоянию на январь 2007 года - 35 штатов, а в конце марта еще 9 штатов приняли такой закон. Редактор: Цель этих законов? Риццо: Основная цель – остановка кражи личных данных, которая стала очень распространенным явлением в последнее время. На самом деле, во всех 50 штатах и округе Колумбия есть свои законы, криминализирующие кражи личных данных. Подобное действие квалифицируется как преступление согласно федеральному закону «Identity Theft and Assumption Deterrence Act», принятому в 1998 году. Некоторые штаты пошли намного дальше. В двадцати пяти из них приняты законы, позволяющие «замораживать кредиты» (никто не может получить или передать какую-либо информацию о состоянии финансов человека без его личного согласия). На Гавайях, а также в штате Канзас, Мэн, Южная Дакота, Техас, Вермонт и Вашингтон такой услугой могут пользоваться только жертвы кражи личных данных. Но в других 18 штатах все потребители могут «замораживать» свою кредитную историю. Что делать? Во-первых, никогда не стоит игнорировать меры предосторожности, которые могут вам помочь защитить ваши личные данные. Независимо от рода деятельности, которой вы занимаетесь, вам приходиться сталкиваться с хранением конфиденциальной информации о ваших сотрудниках. Отдел кадров должен очень внимательно относиться к вопросам защиты данных. Держите информацию «под замком». При необходимости, уничтожайте документы при помощи шредера. Но, если нарушения безопасности действительно имеют место быть, несмотря на все ваши усилия, то сообщите об этом вашим сотрудникам и помогите им решить любые возникшие проблемы.
Не знаешь, чем заняться и как заработать? Кризис и безденежье портят настроение? Найди вакансии и работу своей мечты на нашем портале 9955599 (ЖМИ СЮДА!) быстро и легко!
BH
Информационная безопасность на работе и в бизнесе.Легко ли украсть персональные данные из Вашей компании?
Кража персональных данных – очень распространенное явление. Существует несколько простых шагов, которые может предпринять каждый работодатель, чтобы защитить персональные данные сотрудников и клиентов компании. Проблема Исследования, проведенные Мичиганским государственным университетом (МГУ), показывают, что пятьдесят процентов всех краж личных данных происходит на рабочем месте. Один исследователь говорит о том, что реальная цифра, скорее всего, даже выше. «Я думаю, что наша цифра занижена», говорит Джудит Коллинз, доктор философии и автор «Preventing Identity Theft in Your Business» («Предотвращение кражи личных данных в вашем бизнесе»). Если вы проанализируете, какой объем информации хранит каждая компания, то вы поймете, почему многие из них становятся жертвами мошенников. По данным Федеральной торговой комиссии, воры могут получать имена и адреса, номера социального страхования, кредитных карт и информацию о банковских счетах, используя совершенно несложные методы: 1. Кража информации у своих работодателей. 2. Подкуп сотрудников, которые заведуют необходимой информацией. 3. Взлом компьютеров компании. Кража личных данных приносит финансовый и моральный ущерб жертвам, а также имеет негативное влияние на бизнес. Ежегодно несколько миллионов человек страдают от проделок мошенников. Потребители теряют несколько миллиардов долларов, в то время как убытки финансовых учреждений исчисляются десятками, а то и сотнями миллиардов. Сегодня Конгресс прикладывает максимум усилий для борьбы с этой проблемой. В США был принят закон, который предусматривает более серьезное наказание за кражу личных данных. Решение Общество по управлению человеческими ресурсами провело опрос среди HR-профессионалов, чтобы выяснить, что делают их организации для защиты личных данных сотрудников и клиентов. Компании предпринимают следующие шаги: 1. Блокируют файлы, содержащие личные данные, а также ограничивают к ним доступ (95%). 2. Политика компании предусматривает защиту конфиденциальной информации (54%). 3. Проводят регулярные проверки сотрудников, которые имеют доступ к файлам рабочего персонала (49%). 4. Обучают сотрудников, как необходимо предотвращать мошенничество (24%). 5. Придерживаются определенной схемы действий, если конфиденциальная информация находится под угрозой (21%). 6. Сотрудничают с внешней фирмой, которая помогает жертвам мошенников (2%). Коллинз говорит, что существует много стратегий, которые могут помочь свести к минимуму риск кражи личных данных на рабочем месте. Например, компьютеры необходимо ставить «лицом к стене», как говорит она. Таким образом, прохожие не смогут легко прочитать конфиденциальную информацию на мониторе. Она также рекомендует усилить безопасность информационных технологий. Для этого необходимо внедрять более строгие критерии выбора сотрудников, которые будут обрабатывать конфиденциальную информацию, а также регулярно проводить оценку потенциальных рисков, чтобы определить, насколько эффективно компания защищает личнуы данные рабочего персонала и клиентов.
Не знаешь, чем заняться и как заработать? Кризис и безденежье портят настроение? Найди вакансии и работу своей мечты на нашем портале 9955599 (ЖМИ СЮДА!) быстро и легко!
Adster
TG2
Информационная безопасность на работе и в бизнесе.Организация работы службы безопасности компании с персоналом.
Вопросы безопасности чрезвычайно важны для обеспечения устойчивости компании. Не каждая компания, особенно в мелком и среднем бизнесе, может позволить себе иметь собственную службу безопасности, но проблемы, порождаемые «человеческим фактором», игнорировать нельзя. Если такой службы в компании нет, тогда обеспечением внутренней безопасности приходится заниматься специалисту по управлению персоналом или руководителю. Эйчару небольшой компании (который поневоле становится «секьюрити») помогут советы опытного профессионала. В своей деятельности служба безопасности компании (СБ), или, на английский манер, секьюрити, руководствуется законами Украины, постановлениями Кабинета Министров Украины, подзаконными актами министерств и ведомств, внутренними нормативными документами — Концепцией безопасности, Положением о службе безопасности. Во внутрикорпоративных документах задачи, основные функции, права и обязанности СБ определяются с учетом специфики работы каждой конкретной организации. Задача СБ заключается не только в предотвращении нанесения экономического или морального ущерба извне, но и в обеспечении гарантий внутренней безопасности — предотвращении нанесения ущерба компании ее сотрудниками. СБ определяет направления своей работы с учетом организационной структуры компании, территориального расположения ее подразделений и особенностей их работы. Сотрудники СБ уделяют особое внимание персоналу тех подразделений, где сосредоточены или находятся на хранении материальные ценности, а также документы, содержащие конфиденциальные сведения, с целью предотвращения хищений и утечки информации, составляющей коммерческую тайну. Кроме того, сотрудники службы секьюрити ответственны за работу с теми категориями работников, которые могут совершить неправомерные действия, нанести ущерб экономической безопасности компании. Прежде всего, речь идет о сотрудниках, работающих с договорами, персонале бухгалтерии, лицах, имеющих право распоряжаться печатями и бланками, сотрудниках информационно-технических отделов, персонале, имеющем доступ к коммерческой тайне. Сотрудники СБ в своей работе с персоналом используют различные методы предупредительно-профилактического характера, такие как обучение, инструктажи, санкции. СБ тесно сотрудничает со службой по управлению персоналом (отделом кадров) и руководителями структурных подразделений. Взаимодействие со структурными подразделениями регламентируется в соответствующем разделе Положения о службе безопасности, где определяются функции, зоны ответственности и права СБ. Работа с персоналом проводится по следующим направлениям: • проверка кандидатов при приеме на работу, выявление возможных рисков и угроз для компании; • обеспечение безопасности в процессе исполнения персоналом служебных обязанностей; • предотвращение нанесения экономического ущерба и утечки информации, составляющей коммерческую тайну в случае увольнения сотрудника. Проверка кандидатов при приеме на работу Подбор кандидатов на работу осуществляется в соответствии с требованиями, предъявляемыми к специалисту на данном рабочем месте с учетом его профессиональных умений, навыков и личностных качеств. При отборе кандидатов на вакантные должности необходимо руководствоваться тем, что потенциальный сотрудник должен: • иметь надлежащую квалификацию или возможность быстро ее приобрести; • быть лояльным к компании; • обладать высокими моральными качествами. СБ подключается к работе с кадрами уже на этапе подготовки объявлений о вакантных рабочих местах. При подборе кандидатов используются различные способы поиска потенциальных сотрудников: • изучаются предложения службы занятости, рекрутинговых агентств; • размещаются объявления о вакансиях в периодических изданиях; • рассматриваются рекомендации лояльных сотрудников, уже работающих в компании; • просматриваются базы анкет и резюме, собранные ранее; • изучаются предложения кандидатов в интернете, в специализированных периодических изданиях и т. д. Иногда на первоначальном этапе поиска кандидатов предложений оказывается слишком много, что требует дополнительной работы отдела кадров и СБ. Число кандидатов можно сократить, если грамотно составить объявление о найме, указав в нем ограничительные требования: уровень образования и профессионализма, возрастные рамки, необходимость прохождения медицинского обследования, уровень предполагаемой оплаты труда, график работы, при необходимости — обязательность прохождения армейской службы, знание иностранных языков, наличие водительских прав и т. д. В настоящее время при подборе специалистов уже становится нормой обращение в специализированные организации, выступающие аккумуляторами предложений на рынке труда: службы занятости, рекрутинговые агентства. Поскольку при реструктуризации, ликвидации или сокращении рабочих мест на предприятиях информация о сотрудниках передается в службу занятости, то среди этих работников могут оказаться именно те высококвалифицированные специалисты, которые требуются компании. Информация, находящаяся в распоряжении организаций, занимающихся подбором персонала и трудоустройством, может быть очень полезна на этапе предварительного изучения кандидатов. Практика показывает, что установление доверительных отношений с работниками службы занятости и агентств позволяет облегчить первичный поиск и изучение данных о кандидатах на вакансию. Служба секьюрити участвует в подготовке психологических тестов, а также в подготовке профессиональных вопросов (вместе со специалистами тех подразделений, где открыты вакансии). Содержание всех предоставленных кандидатами документов анализируется совместно сотрудниками отдела кадров и СБ. При этом оценивается уровень образования кандидата, опыт работы, умение грамотно оформлять документы и пр. Цель сотрудника СБ — собрать максимум дополнительной информации о кандидате. Это очень важно для предотвращения потенциальной угрозы безопасности компании и в настоящем, и в будущем. Необходимо выяснить: • не привлекался ли кандидат к уголовной ответственности за правонарушения, связанные с финансовой или иной деятельностью на предыдущих местах работы; • не был ли кандидат уволен с прежних мест работы по причинам, связанным с финансовыми и иными нарушениями, которые официально не получили огласки; • не было ли в числе мест прежней работы организаций, которые практикуют «теневые» схемы бизнеса. Проверка кандидата на работу по рекомендации сотрудников должна проходить по комплексной схеме, в полном объеме. Важно учитывать репутацию человека, который советует пригласить на работу в компанию своего знакомого, а также мотивы приглашения и степень родственных связей, наличие у них совместных бизнес-интересов. Проведение собеседования При первом личном контакте с кандидатом необходимо оценить его внешний вид и манеру поведения. При этом важно отмечать негативные признаки — развязность, небрежность в одежде, броский макияж, татуировки с уголовной символикой и др. Стиль поведения и одежды человека должен соответствовать требованиям должности, на которую он претендует. Собеседование кандидата с сотрудниками СБ — обязательный этап при приеме на работу. Беседа должна быть построена таким образом, чтобы располагать к свободному общению и определенному уровню доверительности. При проведении собеседования цель сотрудника СБ — получить максимум сведений установочно-биографического характера от самого кандидата, а также проверить достоверность представленной в документах информации (уровень образования, опыт работы и т. п.). Если на требование предоставить какие-либо дополнительные документы кандидат отвечает отказом, важно проанализировать причины такого поведения. Во время беседы с кандидатом нужно выяснить: • основные побудительные мотивы трудоустройства в данную компанию; • наличие необходимого опыта работы; • планы кандидата в перспективе (повышение квалификации, карьерный рост, зарплатные ожидания и пр.); • причины увольнения с предыдущего (предыдущих) мест работы (неудовлетворенность уровнем заработной платы, конфликты с коллегами, руководством); • наличие полезных (или подозрительных) личных и деловых связей; • характер отношений с руководителями и сотрудниками на предыдущем месте работы и др.; • готовность кандидата (при необходимости) помогать коллегам, работать сверхурочно, в праздничные и выходные дни; • наиболее предпочтительный для кандидата режим работы (рутинный, активный, с частыми командировками и пр.). При общении с потенциальным сотрудником необходимо обращать внимание на аргументацию ответов, интонацию, мимику, жестикуляцию, стилистику речи. Если человек не способен последовательно и логично рассказать о своем опыте, то стоит дополнительно проверить его интеллектуальный уровень с помощью тестов. Анализ ответов кандидата позволяет выявить такие моменты, как: • отсутствие системности мышления; • неумение кратко и четко излагать свои мысли, отвечать на конкретные вопросы; • неумение слушать собеседника; • чрезмерная конфликтность, обидчивость; • чрезмерная амбициозность, упрямство при отстаивании собственных взглядов и убеждений. Рекомендуется в общих чертах информировать кандидата об основных задачах и характере деятельности компании. При этом важно не разгласить конфиденциальную информацию, которая может быть использована конкурентами. Во время проведения собеседования следует обратить внимание на следующие негативные моменты: • склонность кандидата к алкоголизму, наркомании; • наличие психических расстройств; • явно выраженные проявления импульсивности, недостаточного волевого контроля и пр. Лица с подобными отклонениями могут представлять потенциальную угрозу безопасности компании. Желательно организовать непосредственное общение кандидата с сотрудниками, выполняющими аналогичную работу или задействованными в том подразделении, в котором планируется работа новичка. Их мнение очень важно. Встречу с будущими коллегами можно провести и вне офиса, на «нейтральной» территории (в ресторане, баре, на пикнике) — в зависимости от предполагаемой должности кандидата в компании. В неформальной обстановке человек может сообщить важные сведения о себе, своих планах или обстоятельствах работы на предыдущем месте. Иногда даже сам характер вопросов, которые кандидат задает своим возможным коллегам об условиях работы, оплате труда, о принятых правилах взаимоотношений и дисциплинарных порядках в компании (как и рассказ о том, что не нравилось на предыдущем месте работы), может многое рассказать о человеке. Поскольку будущих коллег не воспринимают как проверяющих, с ними кандидат может быть более откровенен, чем с сотрудниками СБ или отдела кадров; такую информацию обязательно нужно внимательно анализировать. Проверка и анализ информации Отдельное направление работы СБ — непосредственная проверка сведений о кандидате. После сбора необходимой информации и документов, проведения предварительной беседы все полученные данные изучаются и анализируются. На практике для получения дополнительной информации о новом работнике сотрудники СБ обращаются в частные компании, специализирующиеся на предоставлении информационных услуг. Эти агентства работают с различными массивами информации, базами данных и могут предоставить необходимые сведения в отношении конкретного лица или организации. При обращении в информационные агентства сотрудники СБ могут выяснить или уточнить: • список компаний, в которых проверяемое лицо являлось (или является) учредителем, руководителем, главным бухгалтером, а также организационно-финансовое состояние этих компаний в настоящий момент; • наличие у кандидата судимостей, участие в деятельности преступных группировок; • наличие связей (в том числе родственных) с конкурирующими компаниями. Выявить некоторые негативные особенности человека можно, проанализировав предоставленные им документы, в частности, изучая причины взысканий и увольнений с предыдущих мест работы. При необходимости можно под благовидным предлогом (профосмотр) рекомендовать кандидату пройти медицинское обследование. В результате анализа документов биография кандидата должна быть представлена как логически непротиворечивая цепь событий. При проверке данных анкеты и трудовой книжки необходимо обращать внимание на непрерывность стажа. Если на вопрос о причинах перерывов в работе человек дает неубедительный ответ, нужно провести дополнительную проверку, в том числе с использованием баз данных частных информационных агентств. Например, можно проверить финансовое состояние компаний, в которых кандидат ранее работал и которые, по его словам, ликвидированы или не ведут никакой деятельности. Значительный перерыв в трудовом стаже может свидетельствовать о пребывании в местах лишения свободы, о работе или учебе за границей и других обстоятельствах, которые могут влиять на работу будущего сотрудника. Анализ должностей, занимаемых человеком в разных компаниях, дает представление о карьерном росте специалиста. Сотрудник СБ должен уточнить причины повышений (понижений) в должности кандидата на прежних местах работы. Пояснения не должны содержать противоречий. Одна из форм проверки — получение сведений о кандидате по предыдущему месту работы, учебы. Однако заметим, что опросы контактных лиц чаще всего не дают объективной информации. Более достоверные сведения о кандидате можно получить, беседуя с бывшими сослуживцами, работниками отдела кадров, руководителями структурных подразделений, а при наличии на предыдущем месте работы кандидата службы безопасности — с ее сотрудниками. Такие беседы можно проводить как в «телефонном» режиме, так и с выездом в организации. Проводить их можно, открыто проговаривая цели визита, либо используя заготовленную «легенду». Второй вариант предпочтительнее, если кандидат пока еще работает в организации, и поэтому нежелательно разглашать информацию о том, что он хочет перейти на другое место работы. «Легенды» могут быть различными, они разрабатываются в зависимости от ситуации (например, целесообразно обратиться в компанию под предлогом проведения социологических или маркетинговых исследований). Выполняет такую работу подготовленный сотрудник СБ, возможно, с привлечением доверенных лиц из внутренних рекрутеров службы занятости, рекрутинговых агентств. В отдельных случаях используется метод сбора информации по месту жительства кандидата. При этом важно обратить внимание на его местопроживание, поведение в быту и пр. Сбор таких данных осуществляется сотрудником СБ, имеющим соответствующую подготовку. Тщательно проанализировав всю полученную информацию, сотрудник СБ проводит заключительное собеседование с кандидатом (как правило, совместно с сотрудником отдела кадров или руководителем подразделения). Допуск сотрудника к работе Для обеспечения безопасности компании не рекомендуется принимать на работу кандидата, если в результате проведенной проверки о нем выявлены следующие негативные факты: • сокрытие важной для работодателя информации, во время собеседований — неискренность в ответах на вопросы; • работа в конкурирующей компании; • наличие деловых интересов в сфере деятельности компании (собственный бизнес, родственные или дружеские связи); • наличие крупных или сомнительных долговых обязательств (как внутри страны, так и за границей); • предоставление недостоверной информации; • увольнение с предыдущего места работы по причине конфликта. В случае принятия на работу кандидата с выявленными негативными моментами вопреки рекомендациям СБ, деятельность его должна быть под постоянным контролем СБ. В большинстве случаев для нового работника предусматривается определенный испытательный срок, во время которого сотрудники СБ должны уточнить достоверность информации, полученной в результате проверки, и завершить изучение личности кандидата. Но говорить о «завершении» в данном случае можно лишь с натяжкой, процесс ознакомления с личностью сотрудника не должен прекращаться никогда. При решении о приеме кандидата на работу сотрудник СБ проводит с ним инструктаж по такому кругу вопросов: • предотвращение нанесения экономического ущерба фирме; • правила работы с коммерческой информацией компании. Затем новый сотрудник подписывает «Обязательства в связи с допуском к конфиденциальной информации, подлежащей защите», где указаны требования по выполнению обязательств и ответственность за их нарушения (скачать можно ЗДЕСЬ). Комплексная проверка кандидатов на работу позволит работодателям уменьшить риск нанесения ущерба деятельности компании из-за ошибок в подборе сотрудников. Безупречность деловых и личных качеств работников — лучшая гарантия внутренней безопасности компании. Об этом должны помнить и руководители организации, и служба управления персоналом, обеспечивающая подбор кандидатов.
Не знаешь, чем заняться и как заработать? Кризис и безденежье портят настроение? Найди вакансии и работу своей мечты на нашем портале 9955599 (ЖМИ СЮДА!) быстро и легко!
Med.ad
TO
Информационная безопасность на работе и в бизнесе.Работа службы безопасности компании с персоналом.
Кадровая безопасность — ключевая составляющая экономической безопасности компании. Поскольку в процессе исполнения своих служебных обязанностей сотрудники ежедневно и ежечасно встречаются с бизнес-партнерами, ведут с ними переговоры, заключают договора, руководитель должен быть уверен в том, что действия персонала не поставят его бизнес под угрозу. На помощь приходит служба безопасности компании (СБ), работа которой позволяет лучше узнать сотрудников и предусмотреть их действия. Мировая статистика свидетельствует о том, что около 80% ущерба материальным активам организаций наносит их собственный персонал. За последние 20 лет около 100 банков США потерпели крах из-за мошенничества сотрудников. К сожалению, нельзя сказать, что в отечественном бизнесе дело обстоит иначе. Вот почему вопросы кадровой безопасности должны оставаться в фокусе внимания руководителей даже (и особенно) в том случае, когда финансово-экономические показатели компании благополучны. Топ-менеджерам необходимо иметь как можно более полное представление о качестве «человеческого капитала», который создает это благополучие, а также является носителем информации о компании, в том числе конфиденциальной. Задачи СБ и методы их решения Основные условия эффективности работы с персоналом — согласованность деятельности СБ по различным направлениям (внутренняя безопасность, информационная безопасность, правовая безопасность, техническая защита и прочее) и тесное взаимодействие с другими структурными подразделениями (с отделом кадров, спецотделом и т. п.). Задача СБ — с одной стороны, выявлять лиц, склонных к мошенничеству, хищениям, недобросовестной работе и прочее, с другой — способствовать созданию единой команды проверенных добросовестных сотрудников. Для этого проводятся организационные и организационно-технические мероприятия, используются личные наблюдения и беседы , а также результаты информационно-аналитической работы . Выстраивая свою деятельность в компании таким образом, СБ должна стремиться проводить ее бесконфликтно , но принципиально и компетентно . Организационные мероприятия, проводимые в компании, включают: • регламентацию внутрикорпоративных процедур, в том числе разработку нормативных документов (приказов, распоряжений, положений, инструкций); • организацию контроля за экономической деятельностью компании; • разъяснительно-обучающую работу с сотрудниками (проведение занятий по сохранению коммерческой тайны, изложение методов действий конкурентов в отношении компании и т. п.); • профилактическую работу с сотрудниками (выявление лиц, склонных к различным правонарушениям, разъяснение последствий правонарушений и т. п.). Организационно-технические мероприятия включают: • организацию физической и технической охраны объекта (в т. ч. контроль режима работы сотрудников, регистрацию посетителей, предотвращение утечки информации по техническим каналам и пр.); • анализ детализированной распечатки переговоров по служебным телефонам, использования электронной почты, интернета для изучения связей сотрудников и содержания информации; • анализ использования копировальной техники (с целью предотвращения утечки информации, представляющей коммерческую тайну); • контроль за поведением сотрудников в местах, находящихся в зоне открытых камер видеонаблюдения. Личные наблюдения и беседы позволяют изучить: • личностные особенности сотрудников компании; • особенности психологического климата в коллективе; • степень удовлетворенности сотрудников условиями труда, заработной платой и т. п. Цель информационно-аналитической работы СБ с персоналом — выявление позитивных и негативных моментов, связанных с поведением сотрудников. Данная работа состоит из двух этапов: • сбор и обработка информации; • анализ и оценка полученных сведений для принятия оперативных управленческих решений. Накопление информации начинается с момента изучения личности человека при приеме на работу и продолжается непрерывно в течение его трудовой деятельности в компании. Распорядок рабочего дня сотрудника, особенности его поведения во время проведения переговоров, при организации тендеров, при подготовке и заключении договоров и прочее должны постоянно контролироваться сотрудниками СБ. Очень полезную информацию о работниках компании можно получить при проведении неофициальных мероприятий (праздники, вечера отдыха, экскурсии, культурные и спортивные мероприятия). В этой обстановке оценивается микроклимат в коллективе, уровень интеллекта, культуры, личное поведение сотрудников. Сведения, полученные в ходе изучения работников компании, формализуют: составляют аналитическую справку, которую подшивают в личное дело сотрудника. Это позволяет систематизировать работу с данными. В справке должно фиксироваться, проявляет ли сотрудник халатность при исполнении должностных обязанностей, принимает ли непрофессиональные решения, нарушает ли дисциплину, уличен ли в нечестности — или наоборот: показывает высокие результаты в работе, добросовестно исполняет свои обязанности, отличается высокими личными качествами (порядочность, честность, готовность помогать коллегам и пр.). Аналитическая информация должна содержать выводы, полученные в результате оценки текущих событий. Для большей эффективности этой работы целесообразно использовать автоматизированные базы данных, позволяющие накапливать и систематизировать информацию по каждому сотруднику, группировать ее по разделам (например, «лица», «организации», «события», «договоры», «контакты»), выявлять закономерности. Все данные взаимосвязаны, что дает возможность формировать досье, содержащее достоверную информацию. В работе с персоналом СБ учитывает влияние внешних и внутренних факторов, которые могут отражаться на деятельности компании как позитивно, так и негативно. К внешним факторам относятся: • социально-экономические (улучшение или ухудшение социально-экономической ситуации в стране в целом, влияние на работников перемен в обществе, уровень безработицы, уровень оплаты труда и т. п.); • политические (политическая стабильность или конфликты в обществе, правовые отношения или коррупция); К внутренним факторам относятся: • организация управления процессами в компании; • стиль руководства (демократичный, авторитарный и т. д.); • особенности внутрикорпоративной культуры. Сотрудник СБ обязан отмечать случаи неадекватного поведения работника компании во время исполнения им служебных обязанностей, в отношениях с коллегами. Особое внимание следует обращать на такие факты: • нарушения режима трудового дня (немотивированные опоздания на работу, уход в рабочее время, выход на работу во внерабочее время, задержки на работе); • склонность к азартным играм; • злоупотребление алкоголем, наркотическая зависимость; • наличие серьезных личных проблем, стрессов. О возможных «факторах риска» для компании можно говорить в том случае, когда в поведении сотрудника наблюдается: • интерес к кругу производственных и финансовых вопросов компании, которые не входят в его функциональные обязанности; • неоправданно частые звонки и контакты с организациями и лицами, не связанными деловыми отношениями с компанией; • ведение в рабочее время каких-либо дел, не входящих в функциональные обязанности; • заметные изменения в стиле общения с коллегами, появление неуверенности, страха; • использование в нерабочее время оборудования, множительной техники в личных целях; • признаки внезапного ухудшения материального положения сотрудника, резкое увеличение его личных расходов, не соответствующее официальным доходам (приобретение дорогостоящих товаров, недвижимости и пр.). Одна из форм работы СБ — изучение взаимоотношений между руководителями структурных подразделений и подчиненными. В компании должны быть разработаны формы контроля за работой сотрудников — карточки оценки труда (своевременность, качество работы, творческий подход, инициативность, самостоятельность в принятии решений). Резко негативная или завышенная оценка деятельности работников требует дополнительного изучения и выявления причин. Благодаря информации, полученной от доверенных лиц и в личных беседах, сотрудники СБ могут изучать психологический климат в коллективе, отношение сотрудников к различным формам стимулирования труда и пр. О своих наблюдениях СБ информирует руководство компании. Понятие «экономическая безопасность» включает в себя: • финансовую безопасность (финансово-экономическая состоятельность компании, устойчивость к банкротству, уровень платежеспособности и пр.); • силовую безопасность (режим доступа на территорию компании, физическая охрана объектов, личная охрана руководства, противодействие криминальным структурам, взаимодействие с правоохранительными органами); • информационную безопасность (защита информации компании, в том числе конфиденциальной, информационно-аналитическая работа с внешними и внутренними субъектами, деловая разведка); • технико-технологическую безопасность (создание и использование технической базы, технологий и бизнес-процессов, укрепляющих конкурентоспособность предприятия); • правовую безопасность (всестороннее юридическое обеспечение деятельности предприятия, профессиональная правовая работа с контрагентами и органами государственного управления); • кадровую безопасность (предотвращение негативных воздействий со стороны персонала компании на все элементы экономической безопасности). Работа с договорами Очень важное направление работы СБ по предотвращению нанесения материального ущерба компании — контроль за сотрудниками, в обязанности которых входит заключение договоров. Сотрудники СБ должны хорошо разбираться в юридических и экономических особенностях деятельности компании для того, чтобы выполнять требования разработанных положений и инструкций, регламентирующих функции каждого участника договорного процесса (сотрудника, его руководителя, главного бухгалтера, экономиста, юриста, СБ). На основании опыта хотелось бы дать следующие рекомендации: 1. Сотрудник, в полномочия которого входит заключение договоров, обязан убедиться, что контрагент также имеет соответствующие полномочия (право подписи) и документы (паспорт, свидетельство предпринимателя, уставные документы, свидетельство государственной регистрации, справку из управления статистики, сертификаты, лицензии, разрешение на проведения работ и т. д.). С документов, представленных партнером, необходимо снять копии и передать их в СБ, которая изучит их и проведет проверку с участием информационных агентств на предмет надежности компании. 2. В ходе проведения предварительных переговоров с партнерами нужно обратить внимание на: • деловую историю компании-контрагента и репутацию ее первых лиц; • компетентность представителей компании-контрагента; • порядочность и точность выполнения требований при проведении подготовительного периода до подписания договора и пр. • Для более полного изучения партнера необходимо побывать в офисе компании (в некоторых случаях — совместно с сотрудником СБ). Даже беглый осмотр помещения, оргтехники, информация о количестве сотрудников иногда позволит сделать вывод об успешности потенциального партнера. • При работе с проектом договора сотрудник обязан оговорить такие условия, которые уменьшат риск невыполнения договора партнером (предоплата, оплата по факту выполненных работ, гарантии третьей стороны, залог, аккредитив и др.). • Особое внимание необходимо уделить при заключении договоров со вновь созданными компаниями и начинающими руководителями, поскольку отсутствие у них опыта ведения дел повышает риск невыполнения условий договора. • Дополнительная информация о будущем партнере, полученная из любых источников, доводится до ведома СБ. • Подготовленный проект договора необходимо завизировать как внутрикорпоративный документ, удостоверяющий согласие всех должностных лиц (в том числе СБ) в соответствии с Положением о регистрации договоров, и получить рекомендации относительно форм, условий и обязанностей сторон договора; выполнение этих рекомендаций обязательно. • После подписания договора сотрудник-исполнитель обязан осуществлять планомерный контроль за его выполнением, отслеживая работу компании-контрагента (возможны реорганизация, ликвидация, изменение формы собственности и т. п.). • Сотруднику, ответственному за выполнение договора, рекомендуется хранить копии всех документов, относящихся к данной сделке. • Сотрудник, работающий с договором, обязан незамедлительно ставить в известность руководство своей компании, СБ и юристов о фактах нарушения условий договора партнером. Изучая договор, СБ обращает внимание на предмет договора, ценообразование, порядок расчета и условия выполнения. Необходимо убедиться, что сотрудник, уполномоченный на договорную работу, выполняет все требования инструкции, грамотно отвечает на вопросы, касающиеся договора. Нужно сразу выявлять некомпетентность (слабое знание рынка, неумение работать с договорами) и халатность (поверхностное изучение партнера и преимуществ работы именно с ним). Об умышленных действиях из корыстных соображений могут свидетельствовать следующие признаки: • излишняя поспешность в оформлении договоров (с мотивировкой «такой выгодный партнер ждать не станет» и т. п.); • предоставление недостоверных или труднопроверяемых данных о контрагенте; • обоснование необходимости работы с данным контрагентом по рекомендации влиятельных людей или вышестоящих организаций и т. д. Рассмотрим пример работы СБ с сотрудниками, отвечающими за договорные отношения с контрагентами. Объектом изучения стали договора, заключавшиеся руководителем структурного подразделения компании N и его заместителем на протяжении двух лет с компанией-контрагентом (ООО «Мечта»). Предмет договора и схема ценообразования отвечали рыночной конъюнктуре, порядок выполнения и условия договора также не вызывали подозрений. Анализ предмета договора показал, что ООО «Мечта» занималось работой, аналогичной той, которая входила в обязанности данного структурного подразделения компании. На протяжении двух лет с ООО «Мечта» были заключены договоры на сумму свыше 500 тыс. грн. СБ проверила ООО «Мечта», обратившись к услугам информационных агентств. Дата регистрации этой компании совпадала с началом выполнения работ структурным подразделением. Количество сотрудников ООО «Мечта» — два человека, офис зарегистрирован по месту проживания одного из работников. Анализ финансовых документов показал, что суммы, проходившие по ее финансовым отчетам, точно соответствовали оплаченным компанией N счетам. В процессе дальнейшего расследования удалось установить, что компания N оплачивала работу, которую фактически выполняли сотрудники ее структурного подразделения в рабочее время. Таким образом, руководитель подразделения и его заместитель имели дополнительный заработок, а компания N несла убытки. После принятых административных мер незаконная схема перестала существовать. Возможна и такая форма проверки договорной работы сотрудников, как проведение экспертной оценки по договорам (проектным, научно-техническим, при выработке кредитной политики компании и т. д.), что позволяет подтвердить или опровергнуть эффективность работы по ним и объективность действий СБ. Одна из важнейших мер контроля за персоналом со стороны СБ в процессе финансово-хозяйственной деятельности компании — взаимодействие со службой внутреннего аудита по проверке финансово-хозяйственной деятельности. Вместе с аудиторами СБ изучает нарушения, выявленные в процессе проверки, которые могут нанести или уже нанесли ущерб. Сюда относятся необоснованные расходы на различные виды деятельности, образование дебиторской задолженности и другие нарушения. Анализируя данные проверки, СБ выявляет конкретных лиц, допустивших нарушения, и докладывает о результатах проверки руководству компании для принятия административных или иных мер. В период проверки СБ также использует полученные в повседневной работе материалы, указывающие на нанесение экономического ущерба в проверяемом структурном подразделении, которые подтверждаются или нет в процессе этой проверки. Обеспечение конфиденциальности информации Большое внимание при работе с персоналом СБ уделяет вопросам обеспечения защиты конфиденциальной и коммерческой информации, утечка которой может нанести ущерб интересам компании. Необходимо разработать перечень документов и сведений, являющихся коммерческой тайной, положение о системе доступа к таким документам, а также порядок учета, хранения и организации работы с ними. При приеме на работу, как было указано в предыдущей статье (читать ЗДЕСЬ), представитель СБ проводит инструктаж новых сотрудников, знакомит их с правилами работы с документами, содержащими конфиденциальную информацию и коммерческую тайну. Работник подписывает обязательство о ее неразглашении. Как показывает практика, конкуренты часто получают интересующие их сведения, используя несовершенство или нарушения регламента по защите коммерческой информации, а также человеческие слабости и пороки. Контролируя соблюдение работниками компании установленного порядка, требований по охране конфиденциальной информации и коммерческой тайны, СБ выявляет факты их нарушения. Для этого используются организационные, технические меры, а также работа с доверенными лицами. Анализируя причины утечки информации, СБ должна предлагать способы их устранения, а также выявлять лиц, которые могут способствовать такой утечке или прямо передавать коммерческую информацию конкурентам. Приведем пример борьбы СБ с утечкой информации. В компании «Прогресс» был разработан перспективный план на следующий год. Конкурирующей компании «Метеор» удалось получить этот документ. Воспользовавшись содержащейся в нем стратегической информацией, «Метеор» добился заметного успеха, захватив часть доли рынка, которую прежде занимала продукция «Прогресса». Расследование выявило нарушения при работе с документами, составляющими коммерческую тайну. Перспективный план относится к категории информации с ограниченным доступом. Руководитель структурного подразделения нарушил Положение о работе с документами, содержащими коммерческую тайну, поскольку не контролировал процесс подготовки и тиражирования материалов. К составлению плана были привлечены лица, не имевшие допуска к работе с данной категорией документов. При редактировании, копировании и рассылке копий указанного плана в филиалы компании не проводился учет количества переданных экземпляров, что в результате и привело к утечке коммерческой информации. По материалам расследования были сделаны административные выводы. Элементы технической защиты Рассмотрим использование регламентных мер, контролирующих пользование интернетом и локальной сетью компании. Целесообразно подготовить инструкцию о порядке их использования, в которой регламентировать допуск сотрудников, предусмотреть отключение пользователей при их перемещениях, увольнениях и прочее, а также при нецелевом использовании интернета и локальной сети. Каждая компания также определяет собственные корпоративные правила использования электронной почты, что доводится до персонала в виде распоряжений, инструкций. Задача СБ при контроле за пользователями заключается в том, чтобы фиксировать утечку информации, содержащей коммерческую тайну. Для решения этой задачи необходимо взаимодействие с IT-отделом компании и наличие определенных программ (например, для серверов Exchange — программа Promodag storelog). Рассмотрим случай нецелевого использования служебных персональных компьютеров сотрудником компании «Колос». Из беседы с доверенными лицами (из числа работников отдела автоматизации) стало известно, что в подразделении, где сосредоточены документы, являющиеся коммерческой тайной, сотрудник N нарушает правила инструкции «Порядок использования сети интернет в компании «Колос». СБ зафиксировала факт, что N самовольно устанавливает хакерские программы, имеет на рабочем компьютере личный внешний модем, кроме того, 70% объема жестких дисков его ПК занимают игровые программы. По требованию СБ отдел автоматизации выявил несанкционированную программу, установленную сотрудником N, которая позволяла дистанционно управлять несколькими компьютерами сети, в том числе получать доступ к документации, являющейся коммерческой тайной. Сотрудники, за которыми были закреплены «управляемые» ПК, в своих объяснениях указали, что при нарушениях работы компьютеров они обращались к N за помощью как к хорошему специалисту-«компьютерщику». О наличии дополнительной программы им ничего не было известно. В своем объяснении N не признавал своей причастности к установлению хакерской программы, указывая на то, что компьютер, в котором обнаружены программные изменения, неоднократно использовался работниками других подразделений. Однако дальнейшее расследование доказало вину этого сотрудника: он установил программу несанкционированного управления компьютерами других пользователей. Хотя факт утечки коммерческой тайны не был доказан (установленные программы использовались для игр), N был наказан. В заключение хочется особо подчеркнуть, что сотрудникам СБ совместно с работниками отдела кадров важно создать в коллективе обстановку доверия. Каждый добросовестный сотрудник должен ощущать поддержку со стороны работодателя, иметь возможность карьерного и профессионального роста. Проводя работу через доверенных лиц, информируя руководство об обстановке в компании, СБ стоит на страже экономической безопасности компании. Атмосфера подозрительности и слежки недопустима, она может разрушить коллектив. При возникновении конфликтных ситуаций служба безопасности объективно их оценивает и находит компромиссы между сторонами. Предотвращение конфликтов между руководителями и подчиненными, между интересами сотрудников и компании помогает снизить для организации риски: уменьшить количество хищений, использования теневых схем, утечку к конкурентам коммерческой информации. В конечном итоге — снизить степень возможного ущерба компании от действий нелояльных сотрудников.
Не знаешь, чем заняться и как заработать? Кризис и безденежье портят настроение? Найди вакансии и работу своей мечты на нашем портале 9955599 (ЖМИ СЮДА!) быстро и легко!
Информационная безопасность на работе и в бизнесе.Применение DLP-систем в кадровой работе.
Введение, или слово к правозащитникам Ещё недавно DLP-системы [сноска 1] попадали под прицел местных правозащитников. Сама мысль, что подлец-работодатель читает частную переписку своих работников, да еще имеет наглость требовать, чтобы те в рабочее время занимались работой, приводила поборников прав человека в неистовство. Следовали немедленные кляузы… простите, жалобы в суды и надзорные органы с вечными ссылками на статью 23 Конституции РФ [сноска 2] и для солидности на статью 63 закона РФ «О связи». Работодателям приходилось отступать под опасливый шепот юрисконсульта «Нельзя так делать, на нас же в суд подадут!». Постепенно здравый смысл вновь вступил в свои права. Большинство корпоративных юристов все-таки сумели разрешить «непреодолимое» противоречие между интересами компании и статьёй 23. Неожиданно для крутых правозащитников в той же самой Конституции РФ нашлась ещё и статья 17 [сноска 3]. Закон же «О связи», к несчастью правдорезов, и вовсе не имеет отношения к делу. Этот закон вообще-то регулирует отношения операторов связи с клиентами. Работодатель (по крайней мере, в большинстве случаев) не является оператором связи для своих работников, не предоставляет им какие-либо платные услуги связи, а следовательно закон «О связи» никак не регулирует отношения работник-работодатель. Таким образом, внедрение работодателем DLP-системы никак не нарушает охраняемые законом права работников (увы, права бездельничать и воровать законом пока не охраняются). Но как же компании пользуются завоеванными возможностями? Прошлое В настоящее время использование DLP-систем становится обычной практикой большинства корпоративных служб безопасности. Основная задача подобных систем на современном этапе – сбор и протоколирование всей информации о деятельности сотрудника в автоматизированной системе предприятия, а также обработка этой информации для выявления инсайдерства, мошенничества и других подозрительных действий. Изначально, в 2003-2005 годах DLP позиционировались на российском рынке как средства для контроля за действиями пользователей (точнее – для уменьшения потерь от простоя сотрудников, занятых бесполезными прогулками по просторам Интернета) и, действительно, для перлюстрации почты сотрудников в целях предотвращения фактов утечки конфиденциальных данных. При этом внедрением таких систем занимались службы IT и информационной безопасности. Впрочем, довольно скоро стало понятно, что игра не стоит свеч. Программы-агенты существенно снижали быстродействие компьютеров, затрудняли нормальную работу и легко обнаруживались самими пользователями. Системы были негибкими – реально настроить систему можно было лишь одним из двух способов – пропускать всё или ловить столько, что никаких человеческих ресурсов не хватало для анализа всего собранного. Да и представленные на рынке системы были далеки от совершенства – их возможности зачастую ограничивались электронной почтой и контролем за WEB-трафиком. Интерес к технологии немного поутих, но лишь на время. Сейчас достоинства системы уже распробовали службы кадров и экономической безопасности. Накоплен опыт правильного применения и настройки данных систем. Сейчас на рынке имеется значительное количество DLP-систем, в т.ч. и российской разработки, работа с которыми не представляет существенных трудностей. Типовая DLP-система включает три основные части: • программы-сенсоры (они же сторожа, они же агенты, они же снифферы — в зависимости от конкретного продукта) — более или менее скрытно ставятся на рабочие станции пользователей и непосредственно осуществляют сбор информации; • сервер базы данных (он же алерт-центр, он же шлюз, он же центральный компьютер) — принимает информацию от сенсоров, сохраняет в собственной базе данных и фильтрует по запросам администратора); • программа администратора (она же административная панель, она же дата-центр) — обеспечивает интерфейс с администратором, интерпретацию его запросов и выдачу информации. Благодаря русскоязычному интерфейсу и более или менее понятной инструкции с установкой DLP-системы справляются в 80% компаний. А вот дальше… Настоящее Сегодня считается, что основной потребитель DLP-систем – служба безопасности компаний. Но служба безопасности начинает обслуживать систему в соответствии с собственными представлениями об эффективности. При этом во главу угла ставятся соображения секретности и конспирации – основной задачей оказывается сохранить в тайне сам факт установки и эксплуатации системы. Вторым препятствием на пути полномасштабной эксплуатации оказывается значительный объем «сырых» лог-файлов (например, переписка по ICQ), требующий больших затрат времени на обработку (в силу применения жаргонизмов, сокращений и т.п. обрабатывать такую информацию может только человек). Совокупность этих проблем буквально диктует специалисту службы безопасности легкий, совершено очевидный и неправильный вывод: использовать полученные результаты лишь в исключительных случаях. То есть данные, собранные с помощью DLP, пускаются в ход только в самых тяжелых ситуациях, когда требуется хирургическое вмешательство. Служба безопасности, разумеется, не пройдет мимо явного присвоения имущества компании, инсайдерства, откатов. Уличенных с помощью DLP-систем мошенников иногда увольняют, а чаще просто просят написать заявление «по собственному желанию». При этом (секретность же!) служба безопасности компании демонстрирует воистину экстрасенсорные способности, упорно замалчивая способ получения сведений. Ну что же, лучше так, чем никак. А вот в менее серьезных случаях полученные сведения либо просто игнорируются, либо складываются «под сукно» до лучших времен. Наиболее типично, когда из поля зрения службы безопасности выпадают: • откровенно некомпетентные работники (задают по переписке и в сообщениях мессенджеров «детские» вопросы, не могут разобраться в стандартных ситуациях, допускают нелепые ошибки); • конфликтные работники (интриги и скандалы в служебной переписке, распространение сплетен, участие в явно аморальных действиях) [сноска 4]; • корпоративные бездельники (проводят рабочее время за просмотром развлекательных ресурсов и общением с братьями по разуму); • теневые (они же неформальные) лидеры, пытающиеся управлять коллективом вместо официального руководителя. Специалисты службы безопасности, если продемонстрировать им этих достойных персонажей, всегда имеют наготове дежурное оправдание: мы тут ни при чем, это компетенция менеджера по персоналу. В некоторой степени специалисты правы. Действительно, поддержание нормального психологического климата в коллективе – обязанность менеджера по персоналу, или, как теперь модно говорить, HR. Однако HR чрезвычайно стеснён в средствах, и тут ему на помощь вполне можно было бы использовать DLP-систему. Будущее, или «А чем еще она полезна?..» Для менеджера по персоналу очень важно понимать, что происходит в коллективе. Но надо признать, что большинство HR просто не в состоянии получить полную и адекватную картину неформальных взаимоотношений. Как и в других подразделениях, в кадровой службе вечно не хватает людей, на них висит множество разнообразных задач (мотивация, страховки, обучение). В результате немногие вообще дотягиваются до задачи анализа проводимых ими же политик, а эффективно это делают вообще единицы. Кроме того, никакие анкеты не заменят живого общения. А на это у HR не хватает ни времени, ни умения. HR не обладают навыками оперативно-розыскной деятельности, за редчайшими исключениями не умеют приобретать «людей» [сноска 5] и потому буквально обречены на использование различных малоэффективных средств оценки состояния психологического здоровья коллектива. К числу таких приемов сомнительной полезности в различных компаниях могут относиться: • интервью с работниками. Основное неудобство в том, что сами «серые кардиналы» вовсе не собираются каяться перед HR и расписывать свою неблаговидную роль в коллективе. Многие же работники просто не замечают закулисной деятельности неформальных лидеров и не в состоянии проконсультировать HR. Вдобавок коллектив, как правило, воспринимает HR как представителя администрации. В таком случае информационный ручеек тут же пересыхает – никто не хочет прослыть стукачом; • анонимное анкетирование. Обычно дает достаточно полное представление о ситуации в компании. Однако иногда оказывается, что сотрудники компании склонны, мягко говоря, к фантазированию. Основная проблема – существенные затраты сил и времени на обработку таких анкет; • интервью с увольняющимися работниками. Способ достаточно эффективен. Многие работники в последний день перед увольнением режут правду-матку, невзирая на лица. В этом случае, правда, работники далеко не всегда догадываются об истинной причине своих проблем и могут навести HR на ложный след; • форум для работников на внутрикорпоративном портале. При грамотном подходе и изрядных усилиях HR тут можно почерпнуть немало полезной информации. Однако форум ошибок не прощает – стоит модератору слегка замешкаться, и дискуссионная площадка превращается в рассадник конфликтов и сплетен [сноска 6]. В условиях некоторого дефицита информации менеджеру по персоналу могла бы оказать неоценимую помощь служба безопасности. Речь идет именно о совместном использовании материалов, полученных с помощью DLP-системы. Те материалы, которые не используются службой безопасности, вполне могут оказаться кладезем полезных знаний для HR. Заключительные оговорки Разумеется, автор ни в коем случае не предлагает возложить на HR анализ «сырых» данных – эта работа была, есть и останется прерогативой службы безопасности. Слишком велика вероятность того, что HR не сможет скрыть от сотрудников неуместную осведомленность об их личных делах, а отсюда недалеко и до рассекречивания самого факта существования DLP-системы. Специалистам службы безопасности предстоит передавать HR уже обработанную информацию, не содержащую колоритных цитат. Возможна подготовка для HR соответствующих аналитических справок и ежемесячных обзоров о настроениях в коллективе. Анализ общения работников посредством электронной почты и интернет-мессенджеров позволяет достаточно легко вычислить как неформальных лидеров, так и корпоративный балласт – бездельников, склочников, любителей поразвлечься в рабочее время. В необходимых случаях служба безопасности может оперативно уведомлять HR о негативных явлениях в коллективе: • об оскорбительном, вызывающем поведении отдельных работников и попытках разжечь конфликт; • о нарушениях требований корпоративной политики использования информационных ресурсов, например загрузке файлов большого размера, пользовании внешними адресами электронной почты и т. д.; • о нелояльном поведении отдельных работников — рассылке резюме, назначении встреч с новыми работодателями, незаконной передаче за пределы компании сведений ограниченного доступа; • о «моббинге» работников. При этом во всех документах службы безопасности, конечно же, не будет никаких упоминаний о DLP-системах, а также характерных цитат, позволяющих работнику понять, откуда получены сведения. Своевременно получив информацию, HR сможет спланировать и принять ответные меры. К числу таких мер могут относиться перетягивание на свою сторону, изоляция или увольнение неформальных лидеров, пересмотр трудовых функций бездельников, пересмотр системы мотивации или плавное увольнение нелояльных сотрудников и т. д. В обоснование своих действий специалист службы безопасности и HR могут ссылаться на «информацию, полученную из конфиденциальных источников» и даже на «письмо лояльного и самокритичного работника». Даже одна такая ссылка весьма больно бьет по неформальным группировкам отрицательной направленности. И наконец. Чтобы ввод в эксплуатацию DLP-системы не проходил по бессмертной российской схеме «гладко было на бумаге, да забыли про овраги, а по ним ходить», крайне нежелательно постигать систему методом проб и ошибок в собственной компании [сноска 7], гораздо надежнее для начала обучить ответственных сотрудников службы безопасности в компании-разработчике или стороннем учебном центре. Автор с благодарностью примет Ваши замечания по этой теме по адресу sobetsky@itsecurity.ru. ________________________________________________________________________ [1] Data Leak Prevention — системы предотвращения утечки данных. Как правило, такие системы обеспечивают контроль за деятельностью пользователей корпоративной сети. [2] Часть вторая этой статьи гласит: Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. [3] Часть третья этой статьи гласит: Осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц. [4] Автору известен печальный случай, когда работники одной уважаемой российской компании в течение полудня по корпоративной системе обмена мгновенными сообщениями сговаривались заблокировать директора департамента в туалете. Весь обмен сообщениями фиксировался DLP-системой, но служба безопасности узнала об этом дьявольском плане лишь post factum, когда горемыка через три часа заточения был спасен уборщицей. [5] Более употребительный термин для такого рода персонажей автор никак не может вспомнить после увольнения с государственной службы. [6] На внутреннем портале одного крупного банка автору довелось увидеть реплики работников с такими многообещающими названиями, как «Очередное скотство начальника отдела аудита» и «Управляющий увольняет тех, кто не лижет ему промежность». Реплики не слишком походили на конструктивную критику. [7] Между прочим, одним из последствий ошибок может стать рассекречивание DLP-системы перед широкими массами работников компании. Автор статьи: Игорь Собецкий, Руководитель Лаборатории экономической безопасности Учебного центра "Информзащита"
Не знаешь, чем заняться и как заработать? Кризис и безденежье портят настроение? Найди вакансии и работу своей мечты на нашем портале 9955599 (ЖМИ СЮДА!) быстро и легко!
Информационная безопасность на работе и в бизнесе.Шефу виднее.
Подключив услугу отслеживания абонентов по их мобильным телефонам, ваше руководство может в любой момент, говоря официальным языком, проверить местоположение сотрудника с привязкой к городской инфраструктуре. Или, проще говоря, посмотреть, где вы сейчас: в офисе партнера в поте лица ведете переговоры или беззаботно гоняете шары в боулинге. Как на ладони "Просто нажмите на ссылку "Где?" напротив имени своего сотрудника и через несколько секунд на интерактивной карте города вы увидите его местонахождение", - объясняют преимущества метода авторы услуги тотального контроля за персоналом. Подразумевается, что таким образом можно проследить прежде всего за сотрудниками, много работающими вне офиса: за торговыми агентами, водителями, курьерами. Но ограничений нет, можно следить за всеми сразу и за каждым в отдельности. Никаких "шпионских" чипов в отслеживаемый телефон устанавливать не надо. Все просто: на ваш номер поступает запрос, и по привязке к ближайшей антенне GSM-сети определяются координаты. Все что необходимо для тотального шпионажа: договор с оператором, компьютер, подключенный к Интернету. Даже специального программного обеспечения не требуется, все на ресурсах оператора. Примерно по такой же технологии работают многочисленные услуги вроде "найди друга". С той лишь разницей, что другу придет эсэмэска с просьбой разрешить за собой слежку. Естественно, у него есть право отказаться. А вот сотрудник такого права лишен. Есть и издержки: на окраинах, как признается оператор, точность определения координат около километра. В центре - несколько сот метров. Предупрежден - вооружен. Если некто Петров в рабочее время по глупости зайдет в фитнес-центр, кинотеатр или боулинг в центре, то выдаст себя с потрохами: на интерактивной карте города он будет как на ладони, там высветится даже название конкретного заведения. Другое дело - поход в небольшой пивной ресторанчик на окраине. Начальство видит, что работник был где-то не там, где ему положено быть. Но вот где именно - с такой погрешностью не определит. Так что есть шанс попытаться что-то придумать в оправдание. Важное уточнение. Ни один сотовый оператор не заинтересован в судебных исках по обвинению в нарушениях неприкосновенности частной жизни (за это - крупный штраф и до пяти лет тюрьмы). И ни один умный работодатель не использует термины "слежка" и уж тем более - "шпионаж". Он не шпионит, а проводит "оптимизацию и организацию эффективной работы коллектива". А самое главное, услугу предоставляют только клиентам, использующим корпоративные тарифы мобильной связи. В этом случае владелец всех номеров - не конкретный человек, а фирма. Получается, что работодатель следит как бы и не за вами, а за своими телефонами, что неподсудно. Право налево Лютует и прогресс на фронте контроля за водителями компании. Масса новинок на рынке автомобильных трекеров - систем слежения за транспортом при помощи спутников ГЛОНАСС и GPS. Самые простые устройства стоят от 6 тыс. рублей и позволяют записывать маршрут по точкам с географическими координатами. Каждая точка маршрута привязана ко времени, поэтому водителю становится почти невозможно побомбить на стороне или перевезти левый груз. Трекеры стоимостью от 10 до 25 тыс. обеспечивают голосовую связь, подсказывают оптимальный маршрут, показывают пробки и даже следят за техническим состоянием машины и остатком бензина в баке. Чем хитрее устройства шпионажа, тем изворотливее "шпионы". Знакомый водитель хвастается, что знает, как заглушить сигнал. - Накрываешь приемник фольгой и исчезаешь с экрана компьютера шефа, - уверяет Роман. Но с некоторых пор пошла мода на скрытую установку трекера. Это ведь маленькая коробка весом 300 грамм, которую размещают в труднодоступных местах. Если не знаешь точное расположение приемной антенны, то как заглушить сигнал? Всю "Газель" накрывать металлической фольгой, согласитесь, хлопотно и непрактично. Есть и более радикальный метод: GPS-глушилки, но их используют угонщики, а не недисциплинированные водители. К тому же до бесконечности глушить сигнал невозможно. А при первом подозрении на угон руководство компании прикажет дистанционно заглушать двигатель - продвинутые модели трекеров и такое уже позволяют. И несудимы будете Спор о том, насколько этично и законно шпионить за персоналом, не утихает много лет. Показательный диалог на одном из форумов рекрутингового агентства. Пользователь возмущается: "Современные системы видеонаблюдения позволяют писать еще и звук, следовательно, когда я звоню по личному мобильному телефону, а работодатель меня видит и слышит, то это - незаконный сбор сведений о частной жизни, за это - штраф и тюрьма!" Модератор: "Так и не говори на работе по телефону о личном". Пользователь: "А если я в свой обеденный перерыв?" Модератор: "А ты зайди в какой-нибудь супермаркет и потребуй от секьюрити выключить все камеры в торговом зале на том лишь основании, что тебе захотелось поболтать по телефону. Расскажи потом, чем история закончится - посмеемся". Проблема, скорее всего, будет только обостряться, поскольку технических средств контроля все больше, и они все доступнее по цене. Собственно, это интернациональная тенденция. Недавно в эпицентре скандала оказалась ИКЕА: ее французский топ-менеджмент шпионил за сотрудниками и клиентами компании. Показательно, что в ИКЕА даже не стали тратиться на собственные технические средства шпионажа, а банальным образом покупали информацию из полицейской базы данных: электронные письма, досье и пр. Стоимость каждого запроса составляла 80 евро. Компанию оштрафовали, несколько директоров уволили. О российских реалиях на условиях анонимности согласился рассказать Виктор - директор средней региональной медиакомпании. Шпионаж за сотрудниками Виктор называет системой "мониторига персонала". Сначала хотели установить видеокамеры в кабинетах и в переговорных, но от этой затеи по совету юриста отказались, ограничившись камерами в коридорах. Звук они не пишут: "Дорого, да и слушать некому". Электронную переписку своих сотрудников при помощи сисадмина Виктор контролирует, но выборочно, главный упор - на бухгалтерию и отдел рекламы. О том, что сведения, добытые с нарушением закона, нельзя использовать в суде, Виктор знает, но это его нисколько не беспокоит: "В суд не пойду ни я, ни сотрудник, которого поймаю с поличным; я - потому что знаю законы, он - просто потому, что не заинтересован в огласке". Кстати Каждый третий (30%) подозревает своего работодателя в слежке. Такие цифры получены по итогам июньского опроса 7170 работников разных фирм аналитиками компании HeadHunter. 12% работников признали, что у них случались неприятности из-за того, что работодатель читал их личную переписку и видел, какие сайты они посещают на рабочем месте. Наказание, как правило, было не очень суровым: чаще все ограничивалось неприятной беседой с начальством (63%). Реально пострадали немногие: 8% виновных уволили, 4% оштрафовали и стольких же лишили премии. Вместе с тем, только 8% опрошенных заявили, что возмущены фактом шпионажа настолько, что готовы уволиться, 5% грозят подать в суд. А 69% респондентов на возможную слежку со стороны работодателя наплевать.
Не знаешь, чем заняться и как заработать? Кризис и безденежье портят настроение? Найди вакансии и работу своей мечты на нашем портале 9955599 (ЖМИ СЮДА!) быстро и легко!
Информационная безопасность на работе и в бизнесе.Системные администраторы - слабое звено информационной безопасности.
Сотрудники IТ-отделов являются одним из главных «слабых звеньев» при утечке важной и конфиденциальной корпоративной информации. В частности 39% сотрудников IТ-отделов имеют доступ к файлам, которые им видеть в общем-то не положено, при этом каждый 5-й уже использовал эти файлы себе во благо. Такие результаты показал опрос 450 программистов, который проводила компания Lieberman Software, пишут зарубежные СМИ. Интересно также, что в 68% случаев системные администраторы имеют больше привилегий в корпоративной сети, чем сотрудники финансового отдела, HR-отдела или менеджеры компании. Вместе с тем 11% программистов признаются, что готовы нарушить права доступа и «залезть куда не надо», если их безопасности или работе в конкретной компании будет что-то угрожать. Самое интересное, что каждый третий начальник не знает, как побороть «программистский произвол» и привести в порядок доступ к секретной корпоративной информации. Впрочем, IТ-специалисты все еще остаются в топе самых необходимых и высокооплачиваемых профессий и пока ситуация не поменяется, действительно ущемлять их права на доступ к корпоративной сети вряд ли кто-то осмелится.
Не знаешь, чем заняться и как заработать? Кризис и безденежье портят настроение? Найди вакансии и работу своей мечты на нашем портале 9955599 (ЖМИ СЮДА!) быстро и легко!
Информационная безопасность на работе и в бизнесе.5 советов как уличить лжеца.
Эксперт по обнаружению мошенничества и бывший тренер ЦРУ Джанин Драйвер делится своими секретами, как докопаться до истины. «Вы получите оплату в течение семи дней». «Я никогда не обкрадывал своего работодателя». «Вся наша работа проверена и сертифицирована». Было бы неплохо знать, когда люди говорят вам правду, и когда врут, не так ли? Вот как можно это сделать. Джанин Драйвер в течение десятилетий обучала агентов ФБР, ЦРУ и ATF, как определить ложь, а ее книга «You Can’t Lie to Me» («Вы не можете мне лгать») объясняет, как это можно сделать. «Многие хотят вами воспользоваться», говорит она. Чтобы избежать этого, выполните следующие действия, которые помогут вам определить неправду: 1. Начните с наблюдения за человеком. Прежде чем вы попытаетесь сказать, что кто-то вас обманывает, вы должны получить представление о том, как человек ведет себя в непринужденной атмосфере. «Заговорите с ним о Ред Сокс или его друге по школе, который нашел его через Facebook», предлагает она. Вам необходимо это базовое представление о поведение, потому что некоторые движения с его стороны, которые могут указывать на проблемы, например, перемещение с ноги на ногу или многократное использование «гм» и «хорошо», может быть просто нормальным способом общения для этого индивидуума. «Это базовое представление о человеке вы получаете тогда, когда пытаетесь установить с ним связь», говорит Драйвер. «Для этого вам нужно как минимум три минуты». 2. Слушайте внимательно. Анализ ответов (заявлений) может вам помочь распознать, когда кто-то говорит неправду. Например, если вы задаете полярные вопросы (на которые можно ответить «да» или «нет»), то ответ должен содержать слова «да» или «нет». Следите за отрицанием, которое не содержит слова «нет». Допустим, вы спрашиваете: «Вы когда-нибудь воровали что-то у своего работодателя?» Если звучит ответ: «Я бы никогда этого не сделал», это может служить сигналом, как говорит Драйвер. Это нормально, если человек говорит: «Нет, никогда» (потому что в ответе есть слово «нет»). Если проанализировать фразу «я бы никогда этого не сделал», то вы поймете, что речь идет о действии в будущем, что не является ответом на ваш вопрос о событиях в прошлом. 3. Следите за «горячими точками». Когда кто-то начинает вести себя подозрительно, не так как обычно, Драйвер советует обратить внимание на «горячие точки» - те области, за которыми вы должны пристально следить. Джанин использует детскую песенку «Head, Shoulders, Knees, and Toes» («голова, плечи, колени и пальцы ног»), которая дает прямую наводку за какими частями тела нужно наблюдать, чтобы увидеть истинные чувства человека. Например, как она говорит, если человек пожал плечами, то это указывает на неопределенность. И не забывайте следить за мимикой. Когда брови поднимаются вверх, то это означает, как правило, что человеку нравится то, что он только что увидел, или услышал. Если кто-то покусывает губу, то это свидетельствует об обратном. Ухмылка или полуулыбка указывает на презрение или чувство превосходства над другими (Дик Чейни всегда ходил с подобным выражением лица, отмечает Драйвер). Но это также может означать самодовольство и гордость. 4. Задавайте дополнительные вопросы. Не стоит думать, что человек врет только потому, что вы заметили какое-то отклонение в его поведении, но это точно повод, чтобы задать дополнительные вопросы. Например, после просьбы «объясните, пожалуйста, этот пробел в вашем резюме», может последовать ответ «я была в декрете и воспитывала своих детей». «Если человек говорит это с неким презрением, то это может означать только одно – он врет», говорит Драйвер. Поэтому, она рекомендует спрашивать что-то вроде этого: «Я могу ошибаться, но мне показалось, что вы испытывали чувство гордости, когда я спрашивала вас о том времени». И здесь человек может рассказать вам, насколько он горд тем, что стал родителем. Об этом вы можете и не узнать, если не спросите, поэтому, не пытайтесь быть телепатом. 5. Спросите, говорят ли они вам правду. Последний вопрос, который вы должны задать: «Вы говорили правду, отвечая на все вопросы?». «Мы ищем ответ да или нет», говорит Драйвер. Удивительно, но некоторые признают, что немного (или много!) приврали. Теперь вы можете узнать правду. Если перед вами находится человек, который вызывает у вас доверие, но вы все равно хотите убедиться в том, что он говорит правду, вы можете задать следующий вопрос: «Почему я должен вам верить?» Вот в чем уловка: что бы собеседник ни ответил, задайте этот вопрос снова: «Это не ответ на мой вопрос, так почему же я должен вам верить?» А вот теперь внимательно слушайте ответ. Он должен быть коротким, простым, и по сути, например: «Потому что я сказал правду». Но лжец будет пытаться что-то вам очень долго объяснять. Он может начать злиться на вас и говорить, что даже если он снова скажет правду, вы ему все равно не поверите, и он уже в любом случае не желает работать с вами. С другой стороны, лжец может также ссылаться на своих коллег по работе: «Вы можете спросить их, говорю я правду или нет!» Драйвер говорит, что когда вы слышите что-то подобное, лучше обратить внимание на эти контакты. «Вы, вероятно, будет удивлены тем, что можете узнать», говорит Джанин.
Не знаешь, чем заняться и как заработать? Кризис и безденежье портят настроение? Найди вакансии и работу своей мечты на нашем портале 9955599 (ЖМИ СЮДА!) быстро и легко!
Информационная и кадровая безопасность на работе и в бизСитуация с персональными данными - катастрофическая.
Роскомнадзор представил в Госдуму отчет по защите персональных данных граждан в 2011 году. Как следует из отчета, личные данные защищены так плохо, что это грозит репутационными потерями для всей страны, а предпосылки для утечек информации есть даже в федеральных органах исполнительной власти. Ущерб от такой ситуации, по мнению экспертов, огромен. Ежегодный отчет Роскомнадзора о деятельности по защите прав субъектов персональных данных в 2011 году рассказывает о проведенных проверках и выявленных по ходу их нарушениях. Но, по большому счету, данный документ свидетельствует о том, что ни отношение к защите данных, ни законы на сегодня не отвечают текущим реалиям. Так уполномоченный орган провел в прошлом году 2,2 тысяч плановых и внеплановых проверок операторов обработки персональных данных, из них более 500 - по поручению органов прокуратуры и по обращению граждан. Проверяли пассажирских перевозчиков, банки, коллекторские агентства, кадровые агентства, пенсионные фонды, интернет-магазины, сайты, организации ЖКХ и министерства. Результат – почти пять тысяч протоколов о нарушениях, тысячи предписаний и судебных разбирательств. Чаще других встречаются нарушения требований конфиденциальности при обработке персональных данных – многие операторы посылают платежки и другие документы без конвертов, как открытки – читай, кто хочет. Также в организациях операторов нет зачастую ни описания средств защиты данных, ни даже списков лиц, которые имеют к ним доступ. Встречаются и несертифицированные криптосредства, и многое другое. Отчет снабжен красноречивыми примерами. «Территориальным управлением <...> была проведена плановая выездная проверка в отношение ОАО «Энергия». <...> Установлено отсутствие у Оператора утвержденного перечня мер, необходимых для обеспечения сохранности данных и исключающих несанкционированный доступ к ним», - гласит документ. Другой частой проблемой Роскомнадзор называет обработку данных без согласия их владельца, а также передачу их третьим лицам. Грешат этим чаще коммерческие банки. В частности, АКБ «Вятич» проводил, как следует из отчета, обработку персональных данных близких родственников служащих банка без их согласия. Пример приведен как типичный. Бизнес-структуры обращаются за помощью к незаконным обладателям персональных данных и платят им деньги (а те даже платят с них налоги), десятки интернет-магазинов в прошлом году открыли доступ к данным своих клиентов, а десятки сайтов в открытую торгуют информацией о нас с вами. Даже поисковик «Яндекс», как говорит отчет, предоставляет по поиску ссылки для чтения СМС-сообщений сотовых операторов. На одних только рынках Москвы в течение года изъято 17 разновидностей баз персональных данных. Среди них такие, как «Прописка», «ГАИ + Полисы КАСКО и ОСАГО», «Федеральная таможенная служба» и другие. Причем проверка ФСБ показала: «факты утечек из информационных систем указанных органов государственной власти выявлены не были». Тогда как даже в федеральных органах исполнительной власти (проверке подверглись МИД, Минэк, МЧС, ФСИН, ФАС, Рособрнадзор, Росздравнадзор, Росимущество и Росрезерв) выявлены предпосылки для утечки информации. Результат проверок и последовавших административных дел – всего 8 миллионов рублей штрафов совокупно за целый год. Капля в море! Почему? Как это возможно, когда даже сам Роскомнадзор говорит о серьезных, в том числе международных репутационных потерях? Очень просто. Большинство административных дел закрываются за истечением срока давности. За нарушения подобного рода он - всего 3 месяца. Там же, где к ответственности организации привлечь удается – штрафы от 500 до 5 тысяч рублей. В МВД нарушения закона «О персональных данных» серьезным общественно опасным деянием не признают. И сил следить за этой областью, как выясняется, у Роскомнадзора нет. В России - 230 тысяч зарегистрированных операторов обработки персональных данных. Это 9,2% общего количества. Всего их - 2,5 миллиона. А общее число сотрудников органа – 230 человек. Поэтому не удивляешься словам Генпрокурора Юрия Чайки, изложенным 30 мая в докладе Совету Федерации, где он говорит, что нередки случаи, когда злоумышленники надевают форму сотрудников правоохранительных органов, берут на себя их полномочия и использую персональные данные граждан. При этом Роскомнадзору не дают ни увеличения штата, ни полномочий по самостоятельному возбуждению административных дел, ни законодательной поддержки (в том числе, в отношении увеличения срока давности за правонарушения). Глава Национального антикоррупционного комитета Кирилл Кабанов считает, что ситуация с персональными данными в России сложилась катастрофическая и никаких оснований для оптимизма не предвидится. «В России имеет место тотальное неисполнение закона «О защите персональных данных». Ежегодный ущерб от этого огромен. И идет оно в первую очередь от правоохранителей. Доходит до дикости. Руководитель региональной ячейки нашего комитета в Смоленске смог получить от коммерсанта записи своих телефонных разговоров!», - рассказывает эксперт. – «Нужна гораздо более жесткая, уголовная ответственность за это. И пока не будет реальных процессов, ничего не будет. Но пока ситуация обстоит как сейчас, надеяться не на что. Ничего к этому не располагает».
Не знаешь, чем заняться и как заработать? Кризис и безденежье портят настроение? Найди вакансии и работу своей мечты на нашем портале 9955599 (ЖМИ СЮДА!) быстро и легко!
|
Вернуться в Обмен опытом по вопросам работы
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7