За информационную безопасность компании отвечают не только структуры по информационной безопасности, ИТ и юридические службы, но и HR-подразделения. Именно работники HR оперируют личными данными сотрудников и соискателей, и эти данные важно беречь.
Узнать все об информационной безопасности в HR можно на
За ИБ — информационную безопасность — отвечают и сами сотрудники. От стратегии управления персоналом во многом зависит, будут ли они соблюдать необходимые меры для пресечения нарушений.
По данным
В большинстве случаев утекали данные о клиентах и сделках (21%), техническая информация (20%), коммерческая тайна (17%). Кроме того, нарушителям нужны были информация о партнерах (11%), персональные данные сотрудников (9%), а также внутренняя бухгалтерия (7%).
И если при слове «нарушитель» рисуется картинка хакера с маской на голове, то смеем вас уверить: его портрет гораздо более невинный, а лицо хорошо вам знакомо. Почти в половине случаев в краже данных виноваты рядовые сотрудники компании (46%), и только 6% нарушителей — злоумышленники за пределами офисных стен. В группе риска также подрядчики и бывшие сотрудники компаний, которые с помощью украденной информации хотят отомстить компании или же произвести впечатление на нового работодателя.
Большинство компаний признали, что вопрос защиты данных внутри компании стоит остро: свыше 34% респондентов оценили актуальность темы в 10 баллов по 10-балльной шкале.
«К сожалению, во многом проблема утечки данных недооценена. Утечка, преданная огласке, — это серьезный удар по престижу компании в глазах клиентов и соискателей, — говорит специалист по информационной безопасности Дмитрий Шулинин. — Кроме того, есть серьезные риски финансовых потерь в случае похищения и тиражирования (или копирования) и продажи интеллектуальной собственности».
Борьба за данные происходит на конкурентном поле, и далеко не все ведут эту борьбу честно, похищая информацию и нарушая рабочие процессы конкурентов. От ошибки может пошатнуться и бренд работодателя. Конфиденциальная информация вашей компании интересна злоумышленникам или хакерам: продать так называемые чувствительные данные можно на черном рынке — пароли, данные кредитных карт и прочее. Но и это еще не все последствия.
Если не предпринимать мер по защите персональных данных, то компании и сотрудникам может грозить дисциплинарная, административная, гражданско-правовая и даже уголовная ответственность со штрафами до 300 тысяч рублей. Именно поэтому компании нанимают целые отделы специалистов по информационной безопасности и выстраивают многоуровневые системы защиты.
Согласно закону «О персональных данных», вам необходимо не только правильно собирать данные и хранить их на территории Российской Федерации, но и разработать политику обработки и защиты информации внутри компании, и включить ее в систему информационной безопасности.
Информационная безопасность в компании должна начинаться с оценки активов — осознания, какая информация представляет важность для бизнеса. В HR-департаментах такими активами являются данные о сотрудниках и соискателях, авторские технологии и программное обеспечение в сфере подбора и управления персоналом.
После проводят анализ рисков, разрабатывают модели угроз и нарушителей, а также готовят документы по информационной безопасности. И разрабатывают частные политики информационной безопасности, в которых описывают требования к различным процессам и направлениям: политика межсетевого взаимодействия, политика удаленного доступа, политика использования средств информационной инфраструктуры компании и другие.
Выполняете ли вы требования закона по работе с персональными данными? Проверит Роскомнадзор, основной контролирующий орган по части персональных данных. Можно свериться с
Политику информационной безопасности важно не только соблюдать внутри HR-службы, но и донести до всех сотрудников компании.
«Инструктаж нужно разрабатывать как можно более краткий. Особенно для тех, кто входит в менеджмент высшего звена. У них нет времени слушать часовые брифинги, — дает рекомендации Дмитрий Шулинин. — В идеале политика информационной безопасности для сотрудников должна быть написана понятным простому человеку языком (без специфических терминов) на нескольких страничках. Даже лучше, если это будет краткая выжимка главных принципов: что делать можно, а что нет, чтобы человек мог быстро все прочитать и усвоить, а при необходимости обратиться к ИБ-специалистам за разъяснениями».
Так как информационная безопасность — это процесс, то и инструктаж сотрудников, по мнению Дмитрия, тоже желательно проводить с определенной периодичностью. Не обязательно для этого собирать всех в конференц-зале — это может быть краткий информационный бюллетень раз в несколько месяцев с информацией о новых угрозах или мерах защиты, внедренных в компании, о которых сотрудникам нужно знать. На корпоративном портале можно создать специальные короткие тренинги, которые нужно прослушать и ответить на несколько вопросов после.
Как стимулировать сотрудников заботиться об информационной безопасности — открытый вопрос. «Некоторые компании проводят «шуточные» тренинги, — говорит Дмитрий Шулинин. — Раскидывают по зданию, где находится офис, специальные флешки, и если кто-то воткнул такую в рабочий компьютер, то ответственному лицу приходит уведомление, а нерадивому сотруднику — строгое предупреждение: как вы могли открыть флешку, найденную непонятно где, в свою рабочую машину?»
Существуют также специальные сервисы, которые прикидываются фишинговыми и рассылают «вредоносные» письма. Сотруднику компании приходит по почте ссылка, и если он на нее вдруг нажимает, то ответственное лицо получает уведомление о том, каких сотрудников удалось скомпрометировать.
Важно продумать подобные тесты на понимание информационной безопасности. Ведь вне контекста тестовых ситуаций «невинная» присвоенная флешка может содержать вирус или программу злоумышленников, а ссылка в письме окажется действительно фишинговой — и кое-какие персональные данные попадут в плохие руки.
«Интересно, что многие маленькие организации считают, будто им не стоит волноваться на счет информационной безопасности, — рассказывает Дмитрий Шулинин. — Допустим, какая-нибудь микрокомпания по доставке воды с двумя компьютерами и почтой на популярном ресурсе. На самом деле ничего подобного: ведь эта компания ведет общение со своими клиентами и партнерами, и если она не заботится о защите данных, то ставит под угрозу безопасность тех, с кем работает».
1. Грамотное хранение и защита данных компании — залог ее хорошей репутации на рынке, в том числе на рынке труда.
2. По статистике, в утечке ценных данных виноваты в основном сотрудники компании. Необходимо совместно с ИТ- и ИБ-отделами разрабатывать регламенты и обучение для того, чтобы информационная безопасность была частью корпоративной культуры.
3. Информационная безопасность — это процесс, а не выстроенная один раз система, так как уровни угрозы со временем меняются, а технологии не стоят на месте. Поэтому важно регулярно обновлять политику хранения и защиты данных и оповещать об этом сотрудников.
4. Большую угрозу для компании представляют увольняющиеся сотрудники, которые могут украсть информацию из мести.
5. Вопросы информационной безопасности важно решать даже очень маленьким компаниям.
HR-подразделение — это огромное хранилище персональных данных всех сотрудников компании, а также кандидатов на вакантные должности. При этом потенциальные кандидаты являются для компании посторонними людьми, и если их данные пропадут, то уладить проблему будет трудно.
Узнайте о безопасности больше, чтобы не стать нарушителем!
На митапе от HeadHunter 18 мая вместе с опытными юристами и командой
Будет онлайн-трансляция мероприятия.