Технологии безопасности

Сайт посвященный вопросам безопасности

Применение DLP-систем в работе с персоналом в организации

Недавно DLP-системы попадали под прицел правозащитников. Data Leak Prevention –системы, использующиеся для предотвращения утечки информации. Данные системы, как правило, контролируют деятельность пользователей корпоративной сети

Сама мысль, что работодатель прочитывает частную переписку работников, а потом требует, чтобы те занимались работой в рабочее время, приводила в неистовство правозащитников. Следовали жалобы в суды с постоянными ссылками на статью 23 Конституции РФ и на статью 63 закона РФ «О связи»

Согласно второй части 23 статьи: каждый человек имеет право на тайну телефонных переговоров, переписки, телеграфных, почтовых и других сообщений. Это право может ограничиваться лишь на основании решения суда. Работодатели были вынуждены отступать по совету юристов «Так делать нельзя, на нас в суд подадут!»

Со временем здравый смысл вступил в права. Множество корпоративных юристов сумели решить «непреодолимое» противоречие между статьей 23 и интересами компании. Неожиданно для правозащитников в Конституции РФ отыскалась еще и статья 17 (часть третья: осуществление свобод и прав гражданина не должно нарушать свободы и прав других лиц). Закон же «О связи», как оказалось, вообще не имеет отношение к делу. Он регулирует отношения между операторами связи и их клиентами. Работодатель (во многих случаях) не является оператором связи для подчиненных, не предоставляет им платные услуги связи, а, значит, закон «О связи» не регулирует никаким образом отношения работник-работодатель. Значит, внедрение компанией-работодателем DLP-систем не нарушает права работников, охраняемые законом (права воровать и бездельничать не охраняются законом). Как же компании могу пользоваться отвоеванными возможностями?

Сегодня применение DLP-системы-систем становится обычной практикой многих корпоративных служб безопасности. Главная задача таких систем в настоящее время – сбор и протоколирование информации о деятельности сотрудника в автоматизированной системе организации, а также обработка данной информации для выявления мошенничества, инсайдерства, иных подозрительных действий

В самом начале появления DLP-систем на российском рынке они позиционировалась как средство контроля за действиями пользователей (вернее – для снижения потерь от простоя сотрудников, которые заняты бесполезными прогулками по бескрайним просторам Интернета) и, на самом деле, для перлюстрации почты работников для предотвращения утечки конфиденциальной информации. Внедрением данных систем занимались службы информационной безопасности и IT. В скором времени стало ясно, что игра не стоит свеч. Программы-агенты значительно снижали скорость работы компьютеров, усложняли нормальную работу и их легко находили пользователи. Системы были негибкими – настроить систему можно было лишь двумя способами – пропускать все или ловить столько, что никаких людских ресурсов не хватало, чтобы проанализировать всю собранную информацию. Системы, представленные на рынке, были далеки от совершенства – зачастую их возможности ограничивались контролем за WEB-трафиком и электронной почтой

Интерес к технологии снизился, но только на время. Сегодня достоинства системы проанализировали службы экономической безопасности и кадровые отделы. Накоплен опыт грамотного использования и настройки систем

На рынке есть множество DLP-систем, в том числе российского производства, работа с которыми не представляет больших трудностей. Обычная DLP-система состоит из трех частей:

Программы-сенсоры (агенты, сторожа, снифферы – зависит от конкретного продукта) – они сравнительно скрытно устанавливаются на рабочие станции пользователей и собирают информацию;

Сервер базы данных (также он имеет названия: алерт-центр, центральный компьютер или шлюз) – принимает информационные данные от сенсоров, сохраняет ее в своей базе данных и фильтрует по запросам администратора;

Программа администратора (дата-центр, административная панель) – обеспечивает интерфейс с администратором, который интерпретирует его запросы и выдачу информации

Благодаря интерфейсу на русском языке и понятной инструкции, установка DLP-системы удается 80% компаний

Считается, что основным потребителем DLP-систем являются службы безопасности компаний. Но отдел безопасности обслуживает систему согласно собственным представлениям об эффективности. Во главу угла при этом ставятся соображения конспирации и секретности – главной задачей становится сохранение в тайне самого факта установки и использования системы

Следующим препятствием на пути крупномасштабной эксплуатации является больший объем «сырых» лог-файлов (переписка в ICQ), которые требуют большого количества времени на обработку (так как используется жаргонизм, сокращения, то обработать эту информацию может только человек)

Эти проблемы в совокупности практически диктуют специалисту службы безопасности очевидный и неправильный вывод: применять полученные результаты только в исключительных случаях. Другими словами, данные, полученные при помощи DLP, применяются только в очень тяжелых ситуациях

Естественно, служба безопасности не пройдет мимо похищения имущества компании, откатов и инсайдерства. Мошенников, уличенных при помощи DLP-систем, иногда увольняют, а чаще всего просят самих написать заявление «по собственному желанию». Служба безопасности компании при этом демонстрирует экстрасенсорные способности, замалчивая упорно источник получения данных. Но лучше так, чем никак

А в менее серьезных случаях полученная информация просто игнорируется, или складывается до лучших времен. Типичным случаем является то, что из поля зрения службы безопасности уходят:

— некомпетентные работники (в сообщениях по переписке задают «детские» вопросы, допускают нелепые ошибки, не могут разобраться в стандартной ситуации);

— конфликтные работники (скандалы и интриги в служебной переписке, участие в аморальных действиях, распространение сплетен);

— корпоративные бездельники (в рабочие часы просматривают развлекательные ресурсы или общаются с братьями по разуму);

— теневые (неформальные) лидеры, которые пытаются управлять коллективом вместо руководителя

Сотрудники службы безопасности, если указать им на этих достойных персонажей, всегда держат наготове оправдание: мы здесь не причем, это входит в компетенции менеджера по персоналу. Специалисты в некоторой степени правы. На самом деле, поддержание здорового психологического климата в коллективе является обязанностью менеджера по персоналу. Но HR крайне стеснен в средствах, и здесь ему вполне могло бы помочь использование DLP-системы

Чем еще полезна DLP-система

Для менеджера по персоналу важно знать, что происходит в коллективе. Но нужно признать, что многие HR не в состоянии получить адекватную и полную картину неформальных взаимоотношений между сотрудниками. Как и в остальных подразделениях, в отделе кадров не достаточно людей, на них висит много разных задач (страховки, мотивация, обучение). В итоге немногие дотягиваются до задачи анализа политик, проводимых ими же, а делают это эффективно единицы

Никакие анкеты никогда не смогут заменить живого общения. А у HR на это не достаточно ни времени, ни умения. У HR нет навыков оперативно-розыскной деятельности, за редкими исключениями, поэтому они буквально обречены на применение малоэффективных средств оценки психологического состояния коллектива. К таким сомнительным приемам по степени пользы в разных компаниях могут относиться:

— интервью с сотрудниками. Неудобство состоит в том, что сами «серые кардиналы» не собираются каяться перед HR и раскрывать свою неблаговидную роль в коллективе. Большинство работников просто не видят закулисной деятельности неформальных лидеров и не могут проконсультировать HR. Вдобавок, как правило, коллектив воспринимает HR в качестве представителя администрации. В этом случае информационный ручеек сразу же пересыхает – никто не хочет стать «стукачом»;

— анонимное анкетирование. Оно дает относительно полное представление о ситуации в организации. Но иногда бывает так, что сотрудники склонны к фантазированию. Проблема – значительные затраты времени и сил на обработку данных анкет;

— интервью с увольняющимися работниками. Достаточно эффективный способ. Большая часть работников в последний день работы перед увольнением согласна рассказать правду, невзирая на лица. Правда, в этом случае работники не всегда догадываются о настоящей причине своих проблем и могут дать HR ложный след;

— форум для сотрудников на внутрикорпоративном портале. При изрядных усилиях HR и грамотном подходе в этом случае можно почерпнуть много полезной информации. Ведь форум ошибок не прощает – только модератор немного замешкался, и дискуссионная площадка становится рассадником сплетен и конфликтов

В условиях дефицита информационных данных менеджеру по персоналу могла бы помочь служба безопасности. Речь идет об использовании материалов, полученных благодаря DLP-системе. Терминалы, которые не применяются службой безопасности, могли бы стать кладезем полезной информации для HR

Конечно, мы ни в коем случае не предлагаем возложить анализ «сырых» данных на HR – это была, есть и будет обязанностью службы безопасности. Велика вероятность того, что HR не удастся скрыть от коллег неуместную осведомленность об их личных делах, а отсюда легко рассекречивается сам факт существования DLP-системы. Сотрудникам службы безопасности предстоит передать HR информацию, прошедшую обработку, которая не содержит колоритных цитат

Возможна подготовка ежемесячных обзоров аналитических справок о настроениях в коллективе для HR. Анализ общения работников по электронной почте и посредством интернет-мессенджеров дает возможность легко определить и корпоративный балласт – склочников, бездельников, любителей развлечься в рабочее время, и неформальных лидеров

В отдельных случаях служба безопасности может уведомлять оперативно HR о негативных явлениях в коллективе сотрудников компании:

-о вызывающем, оскорбительном поведении некоторых работников, попытках создать конфликтную ситуацию;

-о нарушениях корпоративной политики применения информационных ресурсов, например, отправлении писем на внешние адреса электронной почты, загрузке файлов недопустимого размера и т. д.;

-о нелояльном поведении сотрудников – назначении встреч с другими работодателями, рассылке резюме, незаконной передаче сведений ограниченного доступа за пределы компаний;

-о «моббинге» работников

Во всех документах службы безопасности при этом не будет никаких упоминаний о DLP-системах, а также цитат, которые позволят работнику понять, откуда получена информация. Получив сведения своевременно, HR может принять соответствующие меры. К таким мерам могут относиться изоляция, перетягивание на свою сторону или увольнение неформальных лидеров, изменение трудовых функций, системы мотивации бездельников или увольнение нелояльных работников и т.д

Специалисты отдела безопасности и HR могут обосновывать свои действия ссылкой на «сведения, полученные из конфиденциальных источников», либо на «письмо самокритичного и лояльного работника». Даже единственная подобная ссылка довольно серьезно бьет по неформальным группировкам

И наконец. Чтобы введение DLP-системы не происходил по схеме «гладко было на бумаге, да забыли про овраги…», не желательно постигать систему методом проб и ошибок в своей же компании, надежнее сначала обучить ответственных специалистов службы безопасности в компании-производители или учебном центре.


 

Отличный магазин распродаж — дискаунтер Magazin-rasprodag.