Информационная безопасность предприятия

Что такое конфиденциальная информация компании?
Всем известно, что основным элементом рыночного развития бизнеса является информация, которую во имя получения прибыли нужно любой ценой сохранить.
Коммерческая тайна предприятия — это сведения (научно-технические, производственные, финансово-экономические), которые имеют коммерческую ценность, позволяющую ее обладателю увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке или получить другую коммерческую выгоду.
А кто является основным «хранителем» информации в компании? Правильно — персонал. И одной из функций HR-отдела является разработка мер, способствующих предотвращению ее утечки.

Что может сделать HR для защиты коммерческой тайны компании?
Если начинать с самого начала, то первое — это формирование у топ-менеджмента организации понимания того, какая информация, именно в вашей компании, является ключевой. Например, для ИТ-компаний — это, во-первых, собственные разработки, которые имеют основную коммерческую ценность. Разглашение информации о методах и средствах разработки программного обеспечения, может привести к потере прибыли. Во-вторых, это перечень клиентов, а также, в случае, когда сотрудник компании имеет доступ к конфиденциальной информации клиентов (например, при разработке автоматизированных систем управления предприятием), вся информация о клиенте. В – третьих, любые финансово-экономические сведения — состояние дел, размеры зарплат, и т.п. Для каждой компании этот список может быть своим. Итак, функцией HR-а на этом этапе может быть сбор ключевой информации и постепенное формирование у топов понимания важности внедрения в компании механизмов ее защиты.
Окончательное решение о том, что же мы считаем коммерческой тайной, принимает руководитель компании. Далее, согласно части 2 ст. 30 Закона Украины «О предприятиях в Украине», издается Приказ «О коммерческой тайне», определяющий перечень сведений, являющихся коммерческой тайной.
После формирования перечня сведений, целесообразно определить лиц, имеющих к этой информации доступ.
А дальше начинается основная работа HR-а.
Для начала мы разрабатываем Положение о коммерческой тайне, в которое включаем перечень сведений, список ответственных за хранение информации должностей, информацию об ограничении доступа, ответственность за разглашение коммерческой тайны. Конечно, лучше, если после разработки подобного Положения, юридическую грамотность его составления проконтролируют ваши юристы.
Приложением к Положению служит Обязательство о неразглашении коммерческой тайны, подписать которое должны все сотрудники компании после ознакомления с Положением. Особенное внимание стоит уделить лицам, ответственным за хранение информации. Необходимо провести с ними персональные беседы с разъяснением их ответственности за утечку информации.
Теперь, при разработке различных внутрикорпоративных регламентирующих документов (Положений, инструкций, правил) HR-у необходимо учитывать требования по сохранению информации, добавляя в документы статью «Правила хранения и доступа», в которой четко регламентировать правила работы с документом. Например, ввести запрет на копирование или вынос документа за территорию компании, определить, где хранится этот документ и т. д.
Порядок обмена конфиденциальной информацией регламентируют, также, должностные инструкции, в которых необходимо описать схемы взаимодействия, права доступа и ответственность сотрудника.
Далее — внутренние правила работы. Наверняка в вашей компании есть корпоративный справочник с описанным кодексом поведения и стандартами работы. Отдельным пунктом в таком справочнике (или подобном ему ресурсе) необходимо выделить правила безопасности и конфиденциальности.
Если в вашей компании существует система адаптации новых сотрудников, то одними из первых сведений, которые эти сотрудники получат, приступая к работе, должны быть правила внутренней безопасности. Так как часто, уже в первые дни работы, специалист получает доступ к рабочим документам или начинает создавать свои, для него очень важно знать, что, например, документы, на которых стоят подпись и печать, нужно уничтожать только в шредере и нельзя использовать как черновики. Поэтому, сразу, после приема на работу, сотрудник должен ознакомиться с Положением о коммерческой тайне и подписать обязательство о ее неразглашении. А кроме того, можно разработать свод корпоративных правил, в котором простым человеческим языком описать что можно делать, а чего нельзя (включая правила работы с конфиденциальной информацией). Такой свод правил пригодится вам не только в области безопасности, но и в других сферах работы с персоналом.
Вам может показаться излишней подобная строгость в отношении сохранения информации, но, поверьте, это не так.
Рассмотрим пример: вы принимаете на работу нового программиста. Так как на отборочных собеседованиях этот сотрудник выразил абсолютную лояльность к компании и огромную заинтересованность в долговременном сотрудничестве то, оформив его на работу, вы думаете: «Ну, этот точно будет у нас работать долго, ведь он 2 года мечтал к нам устроиться». И… Правильно: переносите подписание обязательства о неразглашении коммерческой тайны на «потом».
А через неделю ваш «лояльный» новичок, получив максимум информации (например, о новом программном продукте, разрабатываемом вашей компанией), увольняется и «сливает» всю вашу коммерческую тайну конкурентам, за деньги, разумеется. И все. Ваша компания терпит убытки, а сделать ничего нельзя, так как предатель ничего не подписывал.
Кроме документального оформления конфиденциальной информации, существуют и другие способы обеспечения сохранности коммерческой тайны. И функцию службы персонала в этом процессе сложно переоценить.
В первую очередь, это мониторинг каналов неофициальной информации, иными словами — контроль слухов.
Отслеживание неформальных информационных потоков осуществляется различными способами, начиная с организации доверительных бесед с рядовыми сотрудниками с целью выявления уровня удовлетворенности условиями труда или существующей системой мотивации, и заканчивая отслеживанием общения ваших сотрудников на различных профессиональных (или просто интересующих) форумах в Интернете.
Неудовлетворенный чем-либо сотрудник компании становится отличной мишенью для ваших конкурентов, которые могут воспользоваться возможностью выведать у такого «обиженного» все интересующие их подробности внутренней жизни вашей организации. Потенциально «опасного» сотрудника можно найти в сетях профессиональных контактов, на специализированных форумах и сайтах, где он может высказывать свое недовольство какими-то аспектами работы в вашей компании. А войти в контакт с недовольным человеком, которому хочется излить душу и пожаловаться на нелегкую судьбу кому-то, кто готов его выслушать, легче простого. Поэтому задачей службы персонала, в этом случае, является выявление таких сотрудников раньше, чем это сделают ваши «враги».
Слухи, сплетни, которые ходят внутри организации, также могут являться отличным каналом информации для HR-а. Таким способом мы можем отследить признаки падения авторитета руководства, выявить неформальных лидеров, и вовремя принять меры, направленные на коррекцию ситуации.
Лояльность сотрудников к компании тоже является одним из аспектов работы с персоналом, направленным на обеспечение сохранности информации.
Мониторинг уровня лояльности, а также разработка мероприятий, способствующих ее увеличению — прямая функция службы персонала.
Лояльный к компании сотрудник всегда трижды подумает, прежде чем сболтнет кому-то лишнее.
Огромное значение имеет моральный климат в организации. Важно, когда в коллективе царит взаимное доверие и уважение, а если руководство не считает своих работников «людьми», то о лояльности можно забыть.
Но нельзя забывать и о том, что проблемы могут создавать не сотрудники, а обстоятельства их жизни. Болезни близких людей, внезапные долги, служебные обиды — вот те «катализаторы», которые способны из чеснейшего законопослушного человека сделать бомбу замедленного действия и стать причиной изменения его морально-нравственной позиции по отношению к компании-работодателю. Поэтому важно ненавязчиво контролировать обстоятельства жизни сотрудников и создавать атмосферу, способствующую открытому разрешению всех конфликтов, чтобы своевременно помочь людям решить возникшие проблемы и обеспечить преданность компании.
Кроме того, необходимо обратить внимание на ценности и принципы, культивируемые в организации. Человеческий фактор часто рассматривается в разрезе межличностных отношений, то есть установления норм и правил поведения в обществе. НR в этом случае выступает в роли «проводника» ценностей руководства в коллектив. И если такие ценности как честность, открытость, взаимовыручка и позитивность мышления руководства компании действительно видны рядовому персоналу, если эти ценности руководства становятся ценностями сотрудников, то можно смело говорить о том, что организация стала командой единомышленников, в которой нет места подлости и обману. А сотрудники, которые ценят сложившиеся отношения, вряд ли будут представлять из себя угрозу информационной безопасности компании. Задачами службы персонала тут выступают организация воспитательной работы в коллективе, наставничество, внутренний пиар, пропаганда корпоративности (то есть знание истории создания и развития компании, сравнение с конкурентами, установление нормальных межличностных отношений), прозрачная информационная политика и обеспечение удовлетворения потребностей каждого в уважении и самовыражении.

По оценкам специалистов по безопасности сохранность коммерческой тайны компании на 80% зависит от грамотного подбора и расстановки персонала.
Так как же оценить возможные риски для компании во время прохождения кандидатом собеседования?
Прием на работу — это первый (но не последний) раз, когда HR должен оценить личностные качества будущего сотрудника с позиции потенциальных рисков.
На собеседовании оценка кандидата должна проводиться как вербальными, так и невербальными методами. Напомню, что к вербальным методам мы относим беседу, а к невербальным — наблюдение за кандидатом.
В процессе беседы вам необходимо выяснить взгляды кандидата на жизнь, его жизненные цености и приоритеты. Постарайтесь проанализировать, какие проблемы для него наиболее актуальны, какие факторы имеют приоритетное значение. Таким образом, вы сможете определить истинные мотивы, побуждающие кандидата к активности и выявить возможные зоны риска для информационной безопасности компании.
Спросите у кандидата: «Что бы вы никогда не сделали ни при каких обстоятельствах?». Пусть он перечислит все неприемлемые для него вещи. При этом обращайте внимание на то, что он назовет первым, над чем задумается. Это поможет вам определить ценностные ориентиры кандидата.
Обратите внимание на то, как человек одет. Небрежность в одежде характеризуется недостаточной внимательностью, беспечностью, возможно даже безответственностью. Небрежность вырабатывается с годами, а благодаря сопутствующим ей личностным чертам, повышается риск возникновения неблагонадежной с точки зрения безопасности ситуации.
Проанализируйте особенности характера кандидата, получив данные, например, с помощью психологического тестирования. Обратите особое внимание на такие черты как:
 Эгоцентризм — такие люди считают себя безгрешными, у них нет привязанности ни к коллективу, ни к компании, они постоянно ощущают себя недооцененными.
 Конфликтность — такие люди с трудом преодолевают негативные переживания, обиды. Конфликты с другими сотрудниками могут перерастать в неприятие всей организации, что может повлечь за собой самые неприятные последствия.
 Болтливость. Обратите внимание на то, какое количество информации о предыдущем работодателе выдает вам кандидат. Если он рассказывает все: от количества детей у предыдущего начальника до суммы денег на банковском счете, будьте уверены — то же самое он будет рассказывать и о вас и вашей компании. Кроме того, у подобных людей часто развязывается язык в «неформальной обстановке», при вовлечении в спор, поэтому выведать у него интересующую информацию (которая в вашей компании может быть закрытой) для грамотного «шпиона» не составит никакого труда.
А вот полезными и практически 100%-но благонадежными кандидатами можно считать людей, в приоритете у которых желание сделать себе имя. Это амбициозные люди, которые во благо своей репутации не пойдут на должностное преступление и будут очень осторожны в работе с коммерческой тайной.
Люди, для которых на первом месте профессиональная самореализация — тоже наши кандидаты. Человек, для которого важен сам процесс работы, общение с людьми, принадлежность к организации всегда будет взвешивать каждое свое слово и за конфиденциальную информацию вы можете быть спокойны.
Не забывайте об истинных причинах того, зачем кандидат пришел к вам на собеседование. Одно дело, если он действительно в поиске работы, и совершенно другое, если его приход к вам — это происки конкурентов, желающих получить информацию, например, о структуре вашей компании или схеме взаимодействия подразделений. Для того, чтобы избежать вероятности выдачи такому «засланному казачку» лишней информации, с каждым кандидатом на свободную вакансию проговаривайте структуру собеседования в самом начале вашей встречи: сначала вы задаете свои вопросы, а в конце беседы — отвечаете на вопросы кандидата. Собеседование начните с изучения мотивов, движущих кандидатом и, если они покажутся вам сомнительными, мягко сверните беседу. При ответах на вопросы такого кандидата, будьте бдительными и не говорите ничего, что может быть интересно конкурентам.
Уделите мотивам перемены работы кандидата больше времени, чем это обычно делается. Разберите конкретные ситуации из его опыта, используйте проективные методики. Подход здесь простой — проверить прошлое человека и не брать на работу того, кто уже был замешан в нечестности. Сопоставить данные, полученные от кандидата, с реальными фактами можно с помощью проверки рекомендаций.
На проверке рекомендаций стоит остановиться отдельно. Рекомендатели, которых кандидаты указывают в резюме, часто оказываются их близкими знакомыми или друзьями, а полученные от таких людей сведения нельзя считать информативными. Лучше всего, при проверке рекомендаций или спорных, сомнительных фактов в резюме, обращаться к тем специалистам, которые ранее работали с вашим кандидатом в смежных отделах или сталкивались с ним по долгу службы. Именно такие рекомендатели дают наиболее достоверную информацию об интересующем вас специалисте, так как они не заинтересованы в искажении фактов.
Не стоит, также, доверять людям, которые звонят вам сами с предложением «рассказать все, что знаю» о каком-либо претенденте на должность.
В моей практике был случай, когда после звонка в компанию, где ранее работал кандидат, и общения с его бывшим коллегой, рекомендации от которого были весьма положительными, мне позвонил директор этой компании, которому о моей заинтересованности в его бывшем сотруднике сообщила секретарь. Директор «в цветах и красках» рассказал мне о том, что мой кандидат — отвратительная личность, принимать его на работу ни в коем случае нельзя. И если бы я не узнала заранее от самого кандидата и его рекомендателя о том, что отношения с директором компании не сложились по объективным причинам, я бы этой негативной информации поверила. И потеряла бы хорошего специалиста.
Обязательно наблюдайте на поведением кандидата. Идентифицировать ложь в общении вам помогут некоторые типичные признаки: переспрашивание вопроса, увиливание от прямого вопроса и чрезмерная детализация ответа, повтор вопроса вслух, чтобы подготовить лживый ответ, непоследовательность. Кроме того, лжеца могут выдать и различные идеомоторные признаки: дрожание пальцев, увеличение зрачка, повышенная частота моргания. Не будем забывать и о характерных жестах: почесывание носа, прикрывание рта рукой, потирание века и другие. Однако, следует заметить, что не всегда эти жесты могут свидетельствовать о том, что ваш собеседник врет (иногда у человека просто может зачесаться нос), поэтому нельзя судить о человеке только по одному невербальному признаку. Рассматривайте его в комплексе, анализируйте все особенности поведения и будьте внимательны.

Как защитить служебную информацию при увольнении сотрудника?
О намерениях уволиться косвенно свидетельствуют некоторые действия сотрудника: посещение соответствующих сайтов в Интернете, рассылка резюме. Как только вы узнаете об этом, вся переписка с рабочего компьютера должна быть взята под контроль. Кроме того, целесообразно частично ограничить доступ сотрудника к общим информационным ресурсам (внутренним базам данных и базам данных клиентов) и прояснить вопрос его возможного увольнения.
Если работник объявил о своем увольнении, необходимо проинформировать всех сотрудников организации о предстоящем завершении трудовых отношений и запретить передавать ему информацию (любую или какую-то конкретную), имеющую отношение к коммерческой тайне;
Кроме того, рекомендую ввести в компании практику подписания Обходного листа. Увольняющиеся сотрудники обязаны подписывать Обходной лист у ответственных лиц в последний день своей работы в компании. Кроме стандартных записей о передаче дел и отсутствии финансовых задолженностей, необходимо включить в Обходной лист отметки о сдаче всех документов, других носителей информации, которые находились в работе у сотрудника. Отдельным пунктом выделяем отметку вашего ИТ-отдела, который в день увольнения сотрудника должен закрыть его почтовый эккаунт и сменить все пароли на компьютере и базах данных.
В любой ситуации необходимо отнестись к увольняющемуся сотруднику спокойно и доброжелательно. Не провоцируйте уходящего на совершение действий, способных навредить вашей компании в том числе в области информационной безопасности. Кроме технических мер защиты, проведите с увольняющимся беседу, целью которой должно стать сохранение хороших отношений с сотрудником. Напомните человеку о подписанном им обязательстве о неразглашении коммерческой тайны, сделайте акцент на том, что доверяете ему и надеетесь на порядочность.

Заключение:
Вообще, защита коммерческой тайны компании — это такой же внутренний проект, как и разработка, например, кадровой стратегии.
На всех стадиях информационного обмена ведущая роль принадлежит человеку. Поэтому постоянный мониторинг внутреннего климата, качественный подбор персонала, адекватная система мотивации и другие стандартные функции HR-службы в организации, выполняемые с учетом требований информационной безопасности, способны существенно снизить вероятность утечки конфиденциальных сведений и, тем самым, повысить стабильность бизнеса.

Кучма Юлия Александровна
ООО «Компента», директор по персоналу

Подготовлено для журнала «Кадровик Украины», использование статьи или её фрагментов – с разрешения редакции.