Навигация: Вы находитесь здесь:Новости»Актуальные новости»КАК ОБЕЗОПАСИТЬ КОМПАНИЮ ОТ КРАЖИ ИНФОРМАЦИИ: ЧЕТЫРЕ ДОСТУПНЫХ СПОСОБА

КАК ОБЕЗОПАСИТЬ КОМПАНИЮ ОТ КРАЖИ ИНФОРМАЦИИ: ЧЕТЫРЕ ДОСТУПНЫХ СПОСОБА

Сергей Ожегов, Генеральный Директор компании «СерчИнформ», Москва

На какие вопросы Вы найдете ответы в этой статье 
Сколько компаний пострадало от мести уволенных сотрудников
Каковы самые доступные способы защиты конфиденциальных данных
Какие санкции Ваши коллеги применяют к попавшимся на воровстве подчиненным

 
 

Справка

Сергей Ожегов окончил механико-математический факультет БГУ. В компании, которой сейчас руководит, начал работать сразу после окончания вуза. Первая должность – менеджер по продажам, затем вырос до коммерческого директора. С 2015 года работает в нынешней должности. Постоянный спикер конференций в сфере информационной безопасности.

ООО «СерчИнформ»
Сфера деятельности:
 разработка средств информационной безопасности
Численность персонала: 250
Территория: головной офис – в Москве; дополнительные офисы – в Екатеринбурге, Казани, Новосибирске, Санкт-Петербурге, Хабаровске, Алма-Ате (Казахстан), Киеве (Украина), Минске (Белоруссия)
Общая выручка от продажи продуктов и услуг по направлению DLP: 856 млрд руб. (в 2015 году)

Более 60% российских компаний ловят увольняемых сотрудников на краже информации. Люди совершают такие преступления из-за обиды или чтобы получить преимущество в поиске работы у конкурентов.

Ситуация 1. Сотрудник удаляет ценные документы. Бухгалтера рекламного агентства попросили уволиться по собственному желанию. Предложение попрощаться было мирным, сотруднице дали время на поиск новой работы, но от ее мести компанию это не спасло. Перед увольнением бухгалтер удалила документы, на восстановление которых у фирмы ушло больше двух месяцев. Далее выяснилось, что новым работодателем обиженной стал крупный клиент агентства. Вскоре он отказался от услуг рекламодателя, наслушавшись фальшивой «подноготной» агентства от новой сотрудницы.

Ситуация 2. Сотрудник крадет данные для трудоустройства на новое место. Работницу автоцентра поймали на пересылке закрытых данных с корпоративной почты на личную. Среди прочего письмо содержало персональные данные коллег и клиентов. В объяснительной нарушительница указала, что информация нужна ей для написания диплома на тему «Влияние политики руководства компании на настроения в коллективе». А через пару дней служба безопасности перехватила письмо, из которого следовало, что сотрудница ведет переговоры о трудоустройстве на новое место – в страховую компанию. И база персональных данных – ее «пропуск» в эту фирму. Мошенницу уволили.

+

Ситуация 3. Сотрудник блокирует работу организации. Логистическая компания попрощалась с системным администратором: тот требовал увеличения зарплаты, хотя оснований для этого не было. Расставание прошло гладко, но вскоре система компании «легла». Уходя, «недооцененный» сотрудник загрузил в систему файл-бомбу – программу с отложенным запуском. Через две недели она активировалась и стерла конфигурации сетевого оборудования: сотрудники не могли получить почту, распечатать документы и выйти в интернет, а все звонки клиентов переадресовывались директору. На полноценное восстановление работы компании ушел месяц.

Как защитить данные: самые доступные способы

Я начинаю защиту информации еще на стадии подбора сотрудников.

+

Анализирую мотивы и опыт соискателя. Менеджер по продажам на собеседовании предлагает клиентскую базу с прошлой работы? Следующему работодателю он предложит моих клиентов. Специалист по закупкам нигде не задерживался больше года? Среди таких есть люди, которые увольняются, чтобы их не успели поймать на воровстве. Кандидатов, которые вызывают у меня подобные подозрения, на работу не беру.

Фиксирую в трудовом договоре согласие сотрудников нести ответственность за защиту конфиденциальной информации. По данным нашего исследования, так поступают в 86% компаний. Обязательства сотрудника выглядят так:

  • не разглашать сведения, составляющие коммерческую тайну, которые будут доверены или станут известны в ходе выполнения должностных обязанностей;
  • не передавать третьим лицам и не раскрывать публично сведения, составляющие коммерческую тайну, без согласия компании;
  • выполнять требования приказов, инструкций и положений по обеспечению сохранности коммерческой тайны;
  • в случае попытки посторонних лиц получить сведения о коммерческой тайне сообщить об этом руководству компании;
  • сохранять коммерческую тайну тех предприятий, с которыми организация имеет деловые отношения;
  • не использовать знание коммерческой тайны для занятий любой деятельностью, которая может нанести ущерб компании;
  • в случае увольнения передать руководству компании все носители коммерческой тайны;
  • немедленно сообщать руководству компании об утере носителей коммерческой тайны, удостоверений, пропусков, ключей от режимных помещений, хранилищ и т. д., которые могут привести к ее разглашению.

Распределяю сотрудников по группам риска. Есть люди, потенциально опасные для компании. Азартные игроки могут украсть, чтобы вложиться в игру, должники – чтобы отдать долг. «Пропуском» в группу риска становится дружба с экс-сотрудниками и конкурентами, негативное мнение о руководстве или недовольство зарплатой. Наша кадровая служба и служба безопасности анализируют страницы сотрудников в соцсетях, контролируют, на какие сайты заходят люди с рабочих компьютеров. Отслеживаем все действия сотрудников из групп риска с документами: что пересылают по почте, что распечатывают.

Разделяю права доступа. Человек, одержимый местью, предсказуем: он посягнет на самое ценное из того, к чему имеет доступ. Поэтому я разграничиваю права доступа. Управлять доступом к ресурсам можно стандартными средствами Microsoft, например Active Directory. С помощью настроек доступа к документам и папкам даю права чтения или редактирования только отдельным сотрудникам или отделам. Права пользователей также можно задавать для сетевых хранилищ, к примеру для FTP-сервера. Даже облачные сервисы позволяют разграничивать права пользователей. Вероятность утечки информации снижается, когда доступ к ней имеет ограниченный круг людей.

Перечисленные меры работают только в комплексе. Судите сами: режим коммерческой тайны не спасет, если обиженный линейный сотрудник будет иметь доступ к документам топ-менеджеров.

 

 Журнал "Генеральный директор", № 7 2017