СТАТЬЯ28 февраля 2013
Бизнес-этика при использовании средств информационной безопасности
Говоря об этической стороне использования средств информационной безопасности, стоит помнить, о том, что этот вопрос касается как клиентов, так и сотрудников компании.
ИБ и клиенты
Нарушение политики информационной безопасности приводит к утечке информации. И чаще всего, подобные инциденты рано или поздно становятся достоянием общественности. И последствия не ограничиваются какой-то суммой штрафа, тут ведется речь об имидже компании. К примеру, если у потенциального клиента появится необходимость взять кредит, то при прочих равных очевидно, что его выбор не будет в пользу банка, в котором стало известно об утечке клиентской базы данных.
К сожалению, по последним исследованиям SearchInform, один из лидеров рынка средств информационной безопасности в России и Прибалтике, для многих компаний угрозы подобных утечек актуальны. Лишь около половины средних и крупных организаций используют DLP-системы для обеспечения защиты конфиденциальной информации. При этом, из этого числа компаний лишь чуть больше трети имеют возможность контролировать электронную почту, а остальные каналы передачи информации – и того меньше. Наиболее уязвим Skype – лишь в 10% случаев он под контролем службы безопасности.
При таком положении дел любая организация рано или поздно рискует столкнуться с утечкой данных. Конечно, можно сделать вид, что никакого инцидента не произошло. Но все тайное становится явным, и компании придется не только уплатить штраф, но и лишиться доверия клиентов, нарушив (пусть и невольно) корпоративную этику.
К счастью, возможно избежать таких неприятных последствий. Для этого достаточно всерьез отнестись к информационной безопасности, принять все необходимые меры для ее обеспечения и помнить, что защита собственной информации должна быть комплексной.
ИБ и персонал
Другая сторона информационной безопасности – отношение собственных сотрудников к существующей политике защиты данных. Не секрет, что использование DLP-систем и других программных средств контроля информации сродни использованию вирусного ПО (принцип действия одинаков), только цель разная. Именно поэтому применение таких программ также строго регламентировано законом.
Так, к примеру, использование агентов допустимо только на тех рабочих станциях, которые принадлежат непосредственно самой компании. Если сотрудник использует на рабочем месте свой собственный ноутбук или планшет, установка и применение любой части DLP-системы должна быть согласована с владельцем девайса, который имеет полное право сказать «нет».
Еще один вопрос этичного использования DLP-систем по отношению к своим сотрудникам – сообщать или не сообщать им о том, что все их действия на рабочем месте контролируются? Сегодня большое число компаний предпочитают скрывать факт наличия DLP в организации, собирая всю информацию в тайне от персонала.
Такой подход не только неэтичный, но и ошибочный. Постоянная негласная слежка создает у сотрудников неприятную атмосферу недоверия, которая полностью соответствует содержанию крылатой фразы «Big Brother watching you». Очевидно, что это не будет способствовать повышению продуктивности работы и лояльности персонала.
И наоборот, открыто и честно предупредив сотрудников о том, что в организации используются программные средства контроля, можно решить сразу несколько задач. Во-первых, предупредить возможное преступление, когда кто-то из работников случайно или целенаправленно захочет «слить» информацию. Во-вторых, рационализировать рабочее время персонала – никто не станет в рабочее время раскладывать «Косынку», зная, что его действия отслеживаются. И в-третьих, повысить лояльность сотрудников – они оценят вашу честность по отношению к ним.
Кроме того, используя DLP, неверно превращаться в тирана, наказывающего сотрудников за каждый шаг в сторону. Если программа фиксирует, что кто-то из работников нецелесообразно использует свое рабочее время, не стоит сразу же вызывать его «на ковер». Необходимо разобраться в ситуации – возможно, он всего 10-15 минут в день тратит на небольшой «релакс», после чего продолжает работать с полной отдачей. Но если сотрудник часами растрачивает время попусту, то к нему должны быть применены самые строгие санкции.
Этика использования средств информационной безопасности в бизнесе на самом деле мало чем отличается от любой другой этики – основав политику безопасности на справедливости, честности и законности, мы получим такую организацию бизнеса, которая будет исправно работать сама и не мешать другим выполнять их работу.
Александр Вашкевич
Компания SearchInform
