Как узнать, чем сотрудники занимаются на работе?
Базовый инструмент — это сбор и хранение всех действий сотрудников посредством регулярных или триггерных (по условиям) снимков экранов.
Необходимы решения для мониторинга факта активности (работа с мышью и клавиатурой), запущенных программ, посещенных сайтов и поисковых запросов. Эти инструменты дают первичную объективную картину занятости специалиста в течение дня.
Также критически важны функции табельного учёта с фиксацией опозданий и прогулов, контроля вовлечённости сотрудников и прогнозирования возможных увольнений.
Как работают DLP-системы и чем они полезны для руководителей отделов ИБ?
DLP-системы (Data Leak Prevention) — это решения, созданные для предотвращения утечки конфиденциальной информации.
Технически такие системы анализируют контент, который создаётся, используется или передаётся сотрудниками, и в соответствии с заданными политиками безопасности контролируют эти действия: просто фиксируют или ограничивают действия сотрудников с документами, программами, сайтами.
В решении «Стахановец» реализована полноценная DLP-система, осуществляющая:
• перехват и анализ данных, передаваемых через различные каналы коммуникации;
• контроль печати и использования оборудования;
• поиск по файлам и ограничение доступа к данным;
• цифровую маркировку документов, скриншотов, создаваемых сотрудниками;
• блокировку попыток фотосъёмки экрана и другие функции.
Для руководителей отделов ИБ ценность DLP-систем неоспорима: они не только предотвращают утечки, но и обеспечивают сбор доказательной базы в случае инцидентов. DLP-функционал активно используется для выявления рисков, а все собранные данные формируются в отчёты, по которым выявляют отклонения от нормальной работы.
Оправдана ли экономически установка DLP-системы?
Внедрение DLP-системы — это инвестиция, которая многократно окупается. Стоимость утечки данных для компании может составлять миллионы рублей, включая прямые финансовые потери, репутационный ущерб и штрафы регуляторов. При этом внедрение качественной системы требует значительно меньших затрат. Её преимущества:
• повышение производительности труда за счёт снижения нецелевого использования рабочего времени;
• оптимизация бизнес-процессов на основе данных об активности сотрудников;
• сокращение затрат на расследование инцидентов;
• сокращение издержек в случаях, когда депремированный или уволенный сотрудник подает на работодателя в суд.
Должны ли сами сотрудники знать, что их контролируют?
Сотрудники обязательно должны знать о системах мониторинга. Это требование не только этического, но и юридического характера. Работодатель обязан ознакомить персонал с внутренними нормативными актами, в которых говорится о возможности наблюдения работодателем за работой сотрудников в целях охраны коммерческой тайны и/или контроля эффективности работы.
Прозрачность в этом вопросе имеет ряд преимуществ:
• соблюдение законодательства;
• профилактический эффект — знание о наличии контроля предотвращает многие нарушения;
• формирование здоровой корпоративной культуры;
• защита юридических интересов компании.
Рекомендуется включать информацию о системах мониторинга в трудовые договоры, должностные инструкции и политики информационной безопасности. Важно объяснить сотрудникам, что цель системы — не тотальная слежка, а защита информации и обеспечение эффективности бизнес-процессов.
Как вы оцениваете эффективность работы сотрудников без постоянного контроля?
Оценка эффективности без объективных данных мониторинга всегда будет неполной и субъективной. Традиционные методы, основанные только на субъективной оценке и KPI, не дают полной картины.
Сотрудник может формально выполнять минимальные требования, но использовать ресурсы компании нецелевым образом. Человеческий фактор может повлиять на решение оценивающего руководителя, и тогда более высокую оценку получит не самый производительный сотрудник, а самый лояльный или харизматичный.
В современных условиях, особенно при удалённой работе, объективная оценка эффективности без специальных инструментов практически невозможна.
Руководитель не видит, сколько времени сотрудник действительно посвящает задачам, с какими трудностями сталкивается, какие ресурсы использует. В нашей практике был случай, когда сотрудник государственной организации на высокой должности в рабочее время занимался разработкой веб-сайта, что никак не связано с его должностными обязанностями.
Система мониторинга предоставляет объективные метрики для оценки эффективности. Например, руководитель может получить точные данные о времени начала и окончания работ, что позволяет объективно оценить эффективность каждого специалиста.
Какие признаки могут указывать на то, что сотрудник не выполняет свои обязанности?
Система мониторинга позволяет выявить признаки того, что сотрудник не выполняет свои обязанности по следующим индикаторам:
1. Низкая активность в профильных рабочих приложениях при высокой активности в нерабочих программах.
2. Значительная доля нецелевого использования рабочего времени (социальные сети, развлекательные сайты, просмотр фильмов).
3. Нарушения режима работы — систематические опоздания, ранние уходы, длительные перерывы.
4. Аномальное поведение в системе — например, массовое копирование или удаление данных, чаще всего фиксируется в последние недели перед увольнением.
5. Снижение интенсивности деловых коммуникаций.
6. Отклонение от установленных рабочих процессов.
7. Отсутствие прогресса в выполнении поставленных задач.
Как выявить сотрудников из «группы риска»?
Выявление сотрудников с проблемами зависимостей или вовлечённых в деструктивные сообщества — сложная задача, требующая деликатного подхода. Современные системы мониторинга могут зафиксировать определённые признаки, указывающие на потенциальные проблемы:
1. Для выявления зависимостей — игровых, алкогольных, наркотических.
А) Регулярное посещение специфических сайтов соответствующей тематики.
Б) Подозрительные поисковые запросы.
В) Нерегулярный график работы, частые отсутствия после выходных.
Г) Резкие перепады в продуктивности.
Отклонения в клавиатурном почерке сотрудника, которые также фиксируется системой в целях выявления случаев употребления алкоголя.
2. Для выявления вовлечённости в деструктивные сообщества:
А) Посещение сайтов определённой тематики, участие в закрытых группах.
Б) Использование анонимных браузеров (Tor и другие браузеры с технологией луковой маршрутизации).
4. Резкое изменение лексики, интересов.
5. Попытки вовлечения коллег.
DLP-система использует технологии контентного анализа и профилирования поведения для выявления подобных паттернов. Настройки словарей, профилей и паттернов также корректируются администратором системы.
Важно подчеркнуть, что такие данные должны рассматриваться только как сигналы для внимания HR-специалистов или руководителей, а не как окончательный вердикт. Расскажите о юридической стороне системы контроля сотрудников.
Насколько легитимна установка подобных программ и как она соотносится с нормами белорусского законодательства?
Установка систем контроля сотрудников полностью легитимна при соблюдении определённых условий. В соответствии с белорусским законодательством (Трудовой кодекс, Закон «Об информации, информатизации и защите информации»), работодатель имеет право контролировать использование своего имущества, включая компьютерную технику.
Для соблюдения законодательства необходимо:
1. Уведомить сотрудников о введении системы контроля.
2. Разработать и утвердить соответствующие внутренние документы.
3. Ознакомить сотрудников с этими документами под роспись.
4. Внести соответствующие пункты в трудовые договоры.
5. Использовать полученные данные только для законных целей — обеспечения безопасности и эффективности бизнес-процессов. Шаблоны документов могут быть предоставлены производителем системы по запросу.
6. Соблюдать требования законодательства о персональных данных.
Само программное обеспечение должно иметь Сертификат Оперативно-аналитического центра (ОАЦ) при Президенте Республики Беларусь.
Руководителям отделов ИБ следует придерживаться следующих принципов:
1. Применяйте комплексный подход к безопасности. Внутренние угрозы не менее опасны, чем внешние. DLP-система должна быть частью общей стратегии ИБ.
2. Автоматизируйте обнаружение инцидентов. Используйте системы, автоматически выявляющие подозрительную активность и оповещающие о ней, как это реализовано в «Стахановце». Это могут быть либо встроенные аналитические отчеты DLP-системы, либо интеграция с SIEM-системой.
3. Вовлекайте высшее руководство компании в вопросы информационной безопасности, объясняя бизнес-ценность защиты информации понятным языком.
4. Проводите регулярные аудиты и тестирования защитных систем, оперативно устраняя выявленные уязвимости.
5. Работайте с человеческим фактором через обучение сотрудников основам информационной безопасности.
6. Используйте аналитические возможности современных систем для выявления потенциальных рисков до возникновения инцидентов.
7. Соблюдайте баланс между безопасностью и удобством пользователей, избегая излишне жёстких ограничений. Помните, что безопасность работает на бизнес, а не наоборот.
8. Создавайте многоуровневую защиту, комбинируя различные средства и создавая эшелонированную оборону.
9. Сотрудничайте с профессиональным сообществом для обмена опытом и информацией об актуальных угрозах.
Применение сертифицированных средств предотвращения инцидентов позволяет эффективно проводить политику корпоративной безопасности в компаниях, с учетом необходимости своевременного и объективного контроля.