Как защитить компанию от утечки информации и недобросовестных сотрудников — полезные советы

Как защитить компанию от утечки информации и недобросовестных сотрудников — полезные советы

Проблема «увода» сотрудниками компании клиентов к конкурентам, к сожалению, хорошо знакома российским предпринимателям. Борьба с таким двурушничеством, как правило, выходит за рамки правового поля и переносится в плоскость поиска эффективных мер защиты своего бизнеса и управления кадрами. Что делать, если продавец умышленно сообщает потенциальному покупателю информацию о конкуренте (от которого, разумеется, получает за это вознаграждение)?

  • Методы борьбы с недобросовестным продавцом условно можно поделить на два блока, классифицируя их по субъектному составу.
  • Отношения компании с работником
  • Данную проблему и пути ее решения нужно рассматривать через призму построения отношений с самим работником. По сути, у работодателя есть два возможных варианта действий:
  • — прекращение трудовых отношений с такими работниками путем их увольнения;
  • — продолжение трудовых отношений с уличенными в двурушничестве работниками, изменение условий их труда, которое сделает невыгодным работу на стороне.
  • Рассмотрим каждый из вышеназванных вариантов действий.
  • Привлечение работника к ответственности

Сотрудник, который работает на другую компанию, лишая тем самым своего работодателя потенциальных покупателей, несомненно, причиняет своими действиями материальный ущерб работодателю. Вместе с тем ввиду того, что ст.

238 ТК РФ позволяет взыскать с работника только прямой действительный материальный ущерб, привлечь работника к материальной ответственности в данном случае не представляется возможным.

Поэтому удержание из зарплаты работника суммы, рассчитанной работодателем как упущенная выгода за увод клиента, будет незаконным.

Возможности привлечь работника к дисциплинарной ответственности за разглашение коммерческой тайны также не имеется. Согласно ст. 3 Федерального закона от 29.07.

2004 № 98-ФЗ «О коммерческой тайне» под коммерческой тайной понимается режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Поэтому, когда речь идет о сообщении работником клиенту информации о других компаниях, занимающихся аналогичной деятельностью, говорить о разглашении коммерческой тайны нельзя. Ведь в данном случае на такую информацию не распространяется режим коммерческой тайны, так как она (информация) является открытой и доступной всем. В этой ситуации уместнее говорить о ненадлежащем исполнении (или неисполнении) работником своих трудовых функций.

  1. Согласно ст. 192 ТК РФ неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей является основанием для применения к работнику следующих дисциплинарных взысканий:
  2. — замечание;
  3. — выговор;
  4. — увольнение по соответствующим основаниям.

Вместе с тем привлечение работника к дисциплинарной ответственности должно проходить в точном соответствии с процедурой привлечения работника к дисциплинарной ответственности, регламентированной в ст. 193 ТК РФ. Не останавливаясь подробно на описании всей процедуры наложения дисциплинарного взыскания, отметим нюансы, имеющие место в нашей ситуации.

Ведь доказать факт работы сотрудника на конкурента не так просто, да и одного его установления не всегда достаточно для наложения дисциплинарного взыскания, тем более такого, как увольнение. К тому же ст.

192 ТК РФ требует, чтобы при наложении дисциплинарного взыскания учитывались тяжесть совершенного проступка и обстоятельства, при которых он был совершен.

  • Итак, дабы предотвратить возможные судебные разбирательства, работодателю следует запастись соответствующими доказательствами, свидетельствующими о ненадлежащем исполнении (неисполнении) работником своих трудовых функций.
  • Для этого необходимо:
  • — четко прописать в трудовом договоре либо должностной инструкции трудовые обязанности работника, чтобы в дальнейшем не было сомнений в их ненадлежащем исполнении (неисполнении). Причем сделать это нужно не задним числом, без согласия работника, а путем составления дополнительного соглашения к трудовому договору;

— документально фиксировать ненадлежащее исполнение (неисполнение) работником трудовых функций. Работодатель должен иметь на руках документы, свидетельствующие о низких результатах работы сотрудника либо о полном их отсутствии. Например, можно требовать от работника составления отчетов о проделанной работе, количестве заключенных сделок и т.д.

Если работник не рекламирует покупателю товар своей компании, а предлагает обратиться в стороннюю фирму, следует закреплять это документально (например, путем составления докладных от отдела кадров, службы безопасности и т.д.).

Подобные документы также могут стать основанием для наложения на работника таких дисциплинарных взысканий, как замечание и выговор.

Нельзя забывать также требовать от подчиненных объяснительных до наложения дисциплинарного взыскания.

При увольнении же работника по п. 5 ч. 1 ст. 81 ТК РФ (за неоднократное неисполнение без уважительных причин трудовых обязанностей) следует учитывать следующее.

Работодатель вправе расторгнуть трудовой договор по данному основанию при условии, что к работнику ранее было применено дисциплинарное взыскание и на момент повторного неисполнения им без уважительных причин трудовых обязанностей оно не снято и не погашено.

Причем, как разъяснил Верховный Суд РФ, увольнение по п. 5 ч. 1 ст. 81 ТК РФ допустимо также, если неисполнение или ненадлежащее исполнение по вине работника возложенных на него трудовых обязанностей продолжалось, несмотря на наложение дисциплинарного взыскания (п.

33 Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации»).

Однако на практике многие работодатели не прибегают к увольнению за неудовлетворительную работу (дабы избежать дальнейшего возможного судебного восстановления работника), а просто предлагают работнику расторгнуть трудовой договор по соглашению сторон (ст. 78 ТК РФ).

Поощрение работника

Смысл данного метода заключается в том, что работодатель должен сделать невыгодным для своего сотрудника работу на стороне.

Здесь можно упомянуть увеличение заработной платы, премирование, возможность кадрового роста, предоставление соцпакета и т.д. Работник должен дорожить своим рабочим местом и бояться его потерять.

Стоит отметить, что в экономическом сообществе материальное стимулирование работников как мера борьбы с двурушничеством считается одним из самых действенных.

Построение грамотной кадровой политики

Оградить свою компанию от «шпионов» поможет проведение грамотной кадровой политики, направленной на подбор надежного персонала.

Для этого во многих компаниях на ответственные должности стараются принимать только проверенных людей, людей из «своего» круга (знакомых, родственников, друзей и т.д.).

Вместе с тем нужно учитывать, что исходя из требований ст. 64 ТК РФ такое предпочтение «своим» людям является незаконным. Ведь данная статья запрещает необоснованный отказ при приеме на работу, не допуская какую-либо дискриминацию при заключении трудового договора. При приеме на работу должны учитываться только деловые качества работника.

Читайте также:  Как самому раскрутить аккаунт в instagram — 6 советов, понятных даже школьнику

В этой связи работодатель должен уделять достаточное внимание профессиональному кредо работника, учитывать предыдущие места его работы, рекомендации от предыдущих работодателей и данные ими характеристики.

Некоторые работодатели доверяют выбор персонала кадровым агентствам. Действительно, хорошее кадровое агентство может подобрать достойного и надежного сотрудника, проверить его взаимоотношения с конкурентами, пре-дыдущие места работы и т.д.

Отношения компании с клиентом

Работодателю следует уделить внимание построению своей маркетинговой политики. Для владельца компании главное — ориентировать потенциальных покупателей не на конкретного продавца, а на саму фирму. Компания должна выстраивать свои отношения прежде всего с клиентом.

И построение этих отношений должно идти по такому пути, чтобы клиент был заинтересован купить товар именно в данной компании, даже если менеджер порекомендует ему другой магазин.

Прежде всего, конечно, речь идет о развитии рекламной сферы, проведении разных рекламных акций, введении системы бонусов и скидок, а также о подарках, предложениях по ремонту товара и его замене и т.д.

Нельзя забывать, что, даже если клиент и последует совету продавца и пойдет в другой магазин, это еще не значит, что клиент потерян. Потенциальный клиент будет сравнивать предложения магазинов и выберет, конечно, более выгодное.

Дабы укрепить доверие клиента именно к магазину, а не к конкретному продавцу, необходимо задуматься также о мерах, способных оградить от «лишнего» общения продавца и покупателя.

К примеру, можно ввести должность старшего менеджера, продавца, в обязанности которого будут входить направление клиентов к конкретным работникам, перенаправление клиентов к другим менеджерам в случае выявления недочетов в работе продавца, а также общий контроль за деятельностью всех продавцов.

Анна Тимреева

Источник: gazeta-yurist.ru

За стеклом. Как защититься от утечки данных при увольнении ключевого сотрудника

Есть работники, увольнение которых особенно болезненно для бизнеса, — это ключевые сотрудники, руководители направлений или топ-менеджмент. Но просто увольнение — полбеды, хуже, когда такие люди уносят ценную информацию или начинают использовать опыт против вас. 

Джентльменские соглашения, как и золотые парашюты, сегодня не работают — это я проверил на себе. Больше года назад из команды ушел топ-менеджер. Он не справился с должностью технического директора — и сначала вернулся к работе с клиентами.

Конечно, расстроился и скоро заявил об уходе. Прощаясь, жал руку и говорил о преданности.

Я поблагодарил человека за 6 лет работы, выплатил «золотой парашют» в несколько годовых зарплат, а через несколько недель узнал, что тот устроился к конкуренту. 

Устному соглашению не конкурировать пришел конец, и началась игра против: в течение года мы наблюдали, как экс-менеджер использует знание наших внутренних процессов, чтобы продвигаться на новом месте.

Он обращался к клиентам с конкурентными предложениями и использовал связи, приобретенные в нашей компании. Но дальше — больше: когда его новый работодатель не смог решить техническую проблему в собственном продукте, бывший директор обратился к нашему программисту.

Предложили задачу по разработке и вознаграждение, даже составили договор. Не узнай мы об этом — могли бы своими руками помочь конкуренту. 

Я уверен, что подобные истории есть у каждого бизнеса. И, увы, ни договоренности, ни деньги, ни даже закон не могут застраховать от них. Остается только работа на упреждение.

Для начала придется ввести правила и задокументировать их. У вас есть технические средства и информационные ресурсы — должен быть и режим их использования.

Пусть трудовые договоры, должностные инструкции и правила внутреннего распорядка фиксируют, что сотрудники могут использовать информацию компании строго для выполнения должностных обязанностей.

Отдельно придется прописать и условие о неразглашении тайны: служебной, коммерческой или той, что продиктует специфика бизнеса.

Следующий шаг — назначить права доступа и не пускать к чувствительным данным тех, кого не следует. Вы же не оставляете дверь нараспашку, когда уходите из дома? То же самое в компании. Проведите аудит, классифицируйте всю корпоративную информацию и назначьте права доступа. Пусть каждый сотрудник свободно обращается только к тем данным, которые нужны ему по работе. 

И наконец, внедрите систему контроля, которая сообщит, если правила будут нарушены. Рынок предлагает бизнесу множество систем предотвращения утечек конфиденциальной информации — DLP, SIEM и др. Одни программы просто блокируют отправку секретов фирмы неположенным адресатам.

Другие могут больше: понять, что поведение сотрудника подозрительно, провести расследование, выяснить причину и устранить угрозу. Проще говоря, первые заблокируют отправку, когда менеджер попытается слить базу клиентов.

А вторые заранее сообщат, что конкурент начал хантить вашего сотрудника и предлагает ему более выгодные условия в обмен на информацию.

По шаблонной процедуре можно увольнять только линейных специалистов, которые не владели секретами, не являлись критичными для организации и не могут нанести вреда компании после ухода.

Здесь все относительно просто: подписали бумаги, лишили доступов, пожелали всего хорошего — и вернулись к работе. Но в случаях с ключевыми сотрудниками универсального скрипта быть не может.

Хотя, как только становится ясно, что человек уйдет, у компании появляется две цели: просчитать риски и свести негатив работника к минимуму. 

План действий зависит от того, почему специалист уходит. Кто инициатор увольнения: вы или он? Если вы, то, скорее всего, сотрудник будет обижен, лучше перестраховаться и сразу закрыть доступы к критичной информации. Если инициатива за работником — важен контекст.

Часто расставания проходят гладко, человек просто уходит на другую должность, переезжает по семейным обстоятельствам или меняет сферу деятельности. Понимая подобные мотивы, обстоятельства и контекст, сотруднику никто не обрубает доступы и не пугает карами небесными в случае утечки.

Наоборот, стоит поблагодарить за работу, даже можно предложить вернуться, если что-то на новом месте не устроит. Но если сотрудник уходит с негативом, после ИБ-инцидентов или с балластом из служебных проступков, ситуация требует более жестких меры.

В каждом случае будет оптимальным индивидуальный подход, но чаще всего базовые действия выглядят так:

Поставить человека на особый контроль

Потому что люди могут навредить не только воровством. Например, настроить коллег против руководства, испортить репутацию компании в СМИ или подделать документы.

Один из клиентов делился историей, когда обиженный главный бухгалтер, уходя, удалил с файлового сервера около 10 000 документов. Не узнай компания об этом, история могла бы завершиться банкротством.

Но действия пресекли, файлы восстановили и предупредили нового работодателя.

Читайте также:  Как белорусский бренд отстраивается от международных франшиз – кейс «Кафе Гараж»

Закрыть доступ к критичной информации

Потому что люди ее уносят. Они считают, что имеют право, поскольку внесли непосильный вклад. Или видят в данных пропуск на новое место работы. 

Сообщить о контроле и напомнить права и обязанности

Если верить исследованиям KPMG, в 71% случаев мошенничеству в российских компаниях способствует слабость внутреннего контроля. То есть люди нарушают правила, просто потому что могут сделать это безнаказанно.

Если не уверены в человеке, сообщите ему о контроле и напомните об ответственности за нарушение правил. Формулировки типа «7 лет заключения и штраф до 1,5 млн рублей» сдерживают от необдуманных поступков.

После ухода сотрудника контролировать атмосферу в коллективе

Множество наших клиентов сталкивались с ситуацией, когда бывший сотрудник продолжал общение с коллегами и умело выманивал информацию о текущих делах компании. Коллективу необходимо периодически напоминать, что дружба дружбой, а корпоративные секреты нужно беречь.

Сегодня многое сделано для борьбы с утечками информации и недобросовестной конкуренцией: создается и внедряется специализированное ПО, разрабатываются политики безопасности, принимаются законы, защищающие данные компании и клиентов. Все это в разы снижает риски потери данных. Почему же информацию все еще воруют, а корпоративные мошенники все еще существуют? 

Потому что самый нестабильный фактор в этом уравнении — всегда человек, которого сложно оцифровать или спрогнозировать. Хотя попытки профилирования сотрудников и предугадывания их поведения предпринимает все больше компаний.

Но топ-менеджер, даже если закрыть ему доступы, может унести стратегические планы или разработки компании «в голове». И единственный способ избежать перекупки его конкурентами — соглашение о неконкуренции.

Только, увы, в российском праве, в отличие от английского, такой практики еще нет.

Как избежать утечки информации в своей компании

Большинство предприятий, независимо от их размера, хранит у себя конфиденциальные данные о клиентах или сотрудниках, будь то их имена, адреса и даже номера банковских карт. Защита данной информации от злоумышленников является чрезвычайно важной задачей, требующей большой ответственности и профессионализма.

Ведь утечка подобных данных может быть разрушительной не только для репутации компании, но и для ее деятельности в целом. О том, как этого избежать, нам рассказали специалисты по информационной безопасности рекламного интернет-агенства OLIT.

Они дали 6 основных советов, которые помогут предотвратить утечку важной информации в любой компании и избежать дальнейшей головной боли, выраженной как денежными потерями, так и репутационными.

1. Централизованная система хранения данных

Один из лучших способов избежать утечки данных — убедиться, что конфиденциальная информация не разбросана по всем цифровым устройствам предприятия, включая смартфоны сотрудников и USB-флешки. Особенно важные данные, например банковские реквизиты, не должны храниться на ноутбуках или внешнем жестком диске во избежание их физического похищения. Лучше хранить конфиденциальную информацию централизованно в надежно защищенной базе данных, к которой будут иметь доступ только обладатели специальной учетной записи.

2. Ограниченный доступ сотрудников к конфиденциальной информации

Представь себе следующий корпоративный сценарий. Егор — сотрудник call-центра компании, отвечающий на жалобы клиентов по поводу заказов. Выполняя свои профессиональные обязанности, он должен иметь возможность просматривать учетные записи клиентов и истории их заказов. Тем не менее Егор также имеет неограниченный доступ к данным платежных карт клиентов по причине того, что штатный айтишник, раздавая учетные права, забыл ограничить ему доступ к этой информации.

И вот однажды Егор открывает неопознанную ссылку в своем электронном ящике и, послушно следуя инструкции, натыкается на фишинг. А через пару дней кто-то под учетной записью Егора крадет данные платежных карт каждого клиента компании.

Пусть данный способ хакерского проникновения описан несколько архаично, тем не менее он демонстрирует важную закономерность: поскольку сотрудник call-центра не должен был иметь доступ к конфиденциальной информации, он не обладал нужными знаниями по информационной безопасности предприятия.

В результате произошла утечка важных данных, которую можно было предотвратить несколькими способами.

Но первое, что необходимо сделать, — это предоставить каждому сотруднику доступ лишь к тем данным, которые непосредственно связаны с его должностными функциями.

Таким образом, удастся поддерживать «политику эксклюзивных прав», при которой доступ к конфиденциальной информации имеет только узкий круг лиц.

3. Тренинги персонала по информационной безопасности

Как уже было сказано выше, если бы Егор смог вовремя распознать попытку фишинга, его аккаунт не был бы взломан, и информация осталась неприкосновенной. Поэтому важно обучить своих сотрудников основам кибербезопасности, чтобы в случае попытки взлома они могли не только распознать атаку, но и грамотно ей противодействовать. В данную программу обучения могут входить: способы распознавания угроз, советы по созданию и хранению паролей, правила пользования интернетом на работе, стратегия поведения в случае хакерского проникновения.

4. Работоспособность базовой системы кибербезопасности

Хоть такие элементарные средства сетевой безопасности, как антивирусы или брандмауэры, не остановят опытного хакера от взлома базы данных компании, они могут помочь минимизировать потери. Установка таких программ и их регулярное обновление необходимы, чтобы распознавать наиболее очевидные угрозы и своевременно предпринимать шаги по их нейтрализации.

5. Закрытый доступ для уволенных сотрудников

Неважно, уволился работник по собственному желанию или нет, остались вы при этом хорошими друзьями или теперь не будете здороваться, в любом случае следует лишить его доступа к любой конфиденциальной информации предприятия. Собственно, почему это важно для кибербезопасности — и так понятно, но на всякий случай напомним тебе уместную в данном случае английскую поговорку: Caution is the parent of safety.

6. Анализ существующей системы информационной безопасности

Лучший способ избежать войны — это быть к ней готовым. Эта расхожая истина в более пацифистской формулировке проецируется и на работу предприятия.

Чтобы предотвратить любую кибератаку, лучше сыграть на опережение и выявить уязвимые места в собственной системе защиты. Этот процесс является чрезвычайно ответственным, а потому требует высокого профессионализма.

Рекламное интернет-агенство OLIT осуществляет комплексное тестирование информационной безопасности компании, в которое входят:

— внешний анализ сети и периметра; — тест на проникновение; — внутреннее тестирование сети; — поиск уязвимостей и эксплуатация; — тестирование web-сайтов компании; — тестирование мобильных приложений компании;

Читайте также:  Как заказчику оценить эффективность креатива в рекламе: 4 критерия

— отчет о тестировании и рекомендации.

Разумеется, лучше всего работу по защите от хакерских атак способны выполнить те, кто знаком с оборотной стороной процесса, что называется «знает врага в лицо». Поэтому агентство OLIT тесно сотрудничает с White-hacker.

io, которые, как ты мог догадаться из названия, являются хакерами «наоборот» (их еще называют «белыми» хакерами).

Если злоумышленник нацелен взломать твою систему безопасности для похищения ценных данных, фактически нарушая закон, то «белые» хакеры делают эту защиту максимально неприступной, используя те же навыки, но только в легитимных и благих целях.

И если ты владелец небольшого бизнеса, то не стоит думать, что кибератака тебе не угрожает. Для «черного» хакера важен не объем компании, которую он собирается взломать, а количество таких компаний. В этом смысле под угрозой находятся все, так же как и все нуждаются в надежной информационной защите.

Заказать тестирование информационной безопасности→

Как обезопасить компанию от сотрудников-шпионов

Сергей Ожегов

Не задумываться об информационной безопасности сегодня — все равно что не ставить замок на входную дверь квартиры. Кража данных стала привычным делом, а главная «группа риска» — собственные сотрудники

В 2015 году более половины (52%) российских компаний столкнулось с кражей данных — таков результат общероссийского исследования аналитического центра SearchInform. Все больше людей понимают, что информация — ключ к успеху, и все больше компаний становится объектами интересов злоумышленников.

Тем не менее методы борьбы со столь частыми угрозами информационной безопасности в российских организациях не проработаны: в среднем только около 30% компаний имеет отделы информационной безопасности или хотя бы одного соответствующего сотрудника. «Шпионов» в лучшем случае увольняют, а о большинстве даже не знают.

Тапочки по почте

Менеджер отдела продаж был уволен за невыполнение плана. Обиженный сотрудник выгрузил базу клиентов, а вскоре устроился работать в мелкую компанию-конкурента. Стоит ли говорить, сколько стоила прежней организации эта база и сколько она потеряла от такого «слива»?

Ситуация типичная. Как ее можно предотвратить? Во-первых, как можно раньше поручите системным администраторам заблокировать доступ работника, которого собираетесь уволить, к корпоративным системам — CRM, файловым серверам, почте, системе постановки задач и так далее.

Во-вторых, при разговоре об увольнении напомните сотруднику о политике безопасности компании и о том, что ему грозит в случае нарушения. Это отобьет желание прихватить с собой «то, что плохо лежит». Воровство данных — это уголовное преступление, согласно ст.183 УК РФ максимальный штраф — 1,5 млн руб., нарушителям грозит до семи лет тюремного заключения.

Если в компании установлена программа контроля времени или система защиты информации, предупредите администратора системы о возможных проблемах, пусть возьмет сотрудника под индивидуальный контроль.

Болтун — находка для шпиона

Нередкая история для многих компаний — сотрудник ушел работать к конкуренту, но поддерживает приятельские отношения со старыми коллегами. Одна из таких историй закончилась немалыми убытками: бывший сотрудник манипулировал прежними знакомствами и вытягивал из коллег инсайдерскую информацию — о тендерах, планах продвижения и даже встречах руководства с партнерами и контрагентами.

Полностью обезопасить компанию от подобного рода «сливов» не получится. Запретить работникам общаться с кем-то вне работы мы не можем. Значит, риск будет всегда. Но снизить его степень можно. Главный способ защиты в таких случаях — контроль всех каналов передачи информации в компании.

Установите полноценную DLP-систему (технология предотвращения утечек конфиденциальной информации): она будет контролировать и анализировать всю переписку сотрудников, при обнаружении слов-маркеров оповестит администратора программы о нарушении в режиме онлайн.

Некоторые решения позволяют блокировать отправку сообщений: подозрительное письмо помещается в карантин и ждет одобрения или неодобрения на отправку от сотрудника службы безопасности.

  • В любом случае необходимо проводить регулярный инструктаж сотрудников, как обращаться с информацией, являющейся коммерческой тайной, конфиденциальными данными, издать внутреннее положение об ответственности за разглашение такой информации.
  • В качестве меры профилактики хорошо работают «страшные поучительные истории», рассказанные суровым «безопасником», как сотрудника-болтуна поймали и наказали «по всей строгости».
  • Стоп-менеджмент

У наших партнеров произошел случай, когда руководитель отдела продаж подставил своего подчиненного. Схема проста: начальник позвонил подчиненному «со встречи» и попросил прислать на личную почту пакет документов: план продаж и результаты исследования рынка.

Тот не задумываясь выполнил просьбу начальства и, естественно, попал под санкции отдела безопасности. Доказать невиновность сотрудника получилось, но поверили ему не сразу.

Пришлось проводить расследование, поднимать базу перехвата, записи с видеокамер и так далее.

Случаи недобросовестности среди топ-менеджеров наиболее опасны для компании: руководители имеют доступ к широкому кругу информации. Увы, полностью застраховать себя от подобного рода утечек нельзя. Запретить руководителям свободно использовать данные, скачивать и пересылать документы — значит затормозить или нарушить важнейшие для компании бизнес-процессы.

Снизить риски можно все той же установкой DLP: она поможет вовремя обнаружить утечку, провести расследование и найти виновника «слива». Не ждите, когда утечка произойдет, нанимайте специалистов, внедряйте хотя бы первичные средства защиты информации. Не иметь отдела ИБ сегодня — это все равно что не ставить замки на входные двери из массива в квартиры.

И ты, Брут…

Согласно опросу специалистов по информационной безопасности (в рамках исследования SearchInform) 12% IT-специалистов крадут данные в своих организациях.

Проблема серьезная: у них, по сути, находится вся власть над информацией компании. Скопировать информацию и подчистить следы для IT-специалистов не составляет труда.

Возникает большой соблазн воспользоваться этой властью в собственных целях.

История из жизни: IT-специалист подключил еще один e-mail ящик к корпоративной почте, на который «зеркалилась» почта двух топ-менеджеров — коммерческого и генерального директоров. Доступ к ящику был у прямых конкурентов, и они знали о каждом шаге и стратегическом решении руководства компании.

Предотвратить такие ситуации можно, используя принцип «сдержек и противовесов». Отдел (или сотрудник) безопасности необходим в том числе для того, чтобы быть страховкой против безнаказанности айтишников.

Снабдите офицера безопасности техническими средствами для контроля IT-отдела. Например, SIEM-система покажет, если кто-то создает и удаляет учетные записи, пытается подобрать пароль к почте, открывает доступ к конфиденциальной информации лицам, не имеющим на это прав.

DLP оповестит о запуске программы удаленного доступа на компьютере главбуха, к примеру; есть решения, которые позволяют блокировать определенные папки пользователя от системного администратора, — эта проблема актуальна для топ-менеджеров, чьи компьютеры не защищены от проникновения грамотного сисадмина.

PUM-система (средство защиты от привилегированных пользователей) — наиболее надежный вариант контроля IT-отдела. Решение записывает все действия пользователя на видео.

Замечу, что система «сдержек и противовесов» работает и в обратную сторону: IT-отдел, владея львиной долей информации, будет «сдерживающим фактором» против недобросовестных работников службы безопасности.

Милый мой бухгалтер

Коллега на протяжении нескольких месяцев шантажировал сотрудницу-бухгалтера, узнав о ее нерабочих отношениях с руководителем. Под угрозой огласки та предоставляла шантажисту копии финансовых отчетов, информацию о зарплатах, закупках и другие бухгалтерские документы.

Понятно, что лучший способ избежать таких ситуаций — не заводить личных отношений в офисе. Но поводом для шантажа может стать что угодно.

Выход — контролировать сотрудников (видеокамеры в офисе, контроль рабочих ПК сотрудников) и формировать «группы риска» — работников, на которых могут «надавить», шантажировать. Такие сотрудники, может, и не пойдут на нарушение правил и закона в обычной ситуации, но могут навредить компании под давлением.

Персонал, входящий в «группу риска», нужно оградить от работы с конфиденциальными документами, персональными данными, исследованиями, отчетами и планами развития компании.

Главное, что нужно сделать компании и ее руководителю в случае утечки данных, — это правильные выводы: проанализировать, исправить прежние ошибки и постараться воздержаться от новых.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *