В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Контроль всегда должен преследовать определенную цель. Чаще всего основной мотивацией для установления контроля над действиями сотрудников является предотвращение финансовых потерь. Работодатель всегда хочет иметь уверенность в том, что он не платит сотрудникам сверх меры, не несет дополнительных накладных расходов (например, из-за воровства или простоя ресурсов) и прямых убытков.
Итак, мы определили основную цель контроля: предотвращение финансовых потерь. Далее нам необходимо проанализировать работу компании и определить "дыры", то есть слабые места, где при допущении сотрудником ошибки или в результате его злонамеренных действий теоретически можно понести несравнимо большие убытки.
Перечень таких слабых мест может быть следующим:
Итак, мы разобрались с мотивацией и основной направленностью слежки. А теперь задумаемся, как же отнесутся сотрудники компании к тому, что их действия контролируют?
Информировать сотрудников о контроле не так сложно – необходимо внести упоминание об этом в трудовой договор или приложение к нему. Вам помогут:
Очевидно, что самой распространенной реакцией на контроль будет резкое непринятие, негатив (не всегда, о чем мы поговорим ниже), ведь мы не любим, когда нам очерчивают рамки и следят за каждым шагом. Поэтому после установления контроля, как правило, встречаем противодействие, и включаемся в "гонку вооружений" с собственными сотрудниками.
Поэтому одним из ключевых моментов при организации контроля, позволяющим избежать негативной реакции на слежку, является донесение мысли о необходимости этого контроля до самих сотрудников. Возникает вопрос: как это сделать? Вариантов множество. Например, можно объяснить сотрудникам, что контроль над выносом материальных ценностей поможет выполнить производственный план, а следовательно, получить премиальные.
Чуть сложнее донести мысль о необходимости слежки до сотрудников, работающих в информационной сфере. Информацию необязательно выносить в кармане через проходную, а ущерб от некоторых утечек может перекрыть на годы вперед таковой от воровства материальных ресурсов. Для человека, как правило, недосягаема мысль о неправильности поступка при краже или утере информации, поскольку информация нематериальна. А раз нематериальна – значит ничего не украл и не потерял.
Для каждой компании оно свое. Но, как правило, сотрудники положительно или по крайней мере равнодушно реагируют на контроль в тех компаниях, в которых их устраивают график работы, уровень заработной платы, способ поощрений и т.д. Итак, можно сделать следующий вывод: довольный сотрудник согласен с установлением контроля над его действиями. Однако работодателю необходимо четко соблюдать границы дозволенного контроля, уважать своих подчиненных, иначе даже довольный работой сотрудник может стать нарушителем.
Итак, контроль над действиями сотрудников установлен. Возникает вопрос: сообщать ли сотрудникам о слежке или нет?
Ответ один: сообщать. При выборе второго варианта мы рискуем узнать подробности ст. 137 Уголовного кодекса РФ "Нарушение неприкосновенности частной жизни" и 138 УК РФ "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений". Данные статьи – это дамоклов меч любого безопасника, практика их применения большая, и всегда не в пользу работодателя.
Таким образом, нам так или иначе приходится информировать сотрудников о контроле. Это не так сложно – внесите упоминание об этом в трудовой договор или приложение к нему. Вам помогут:
Закон не разделяет отношения работник-работодатель на отношения с использованием компьютерной техники либо без нее. Правоотношения, их субъекты, суть и результат не меняются с модификацией орудий производства. Какие бы программы ни использовались, мы имеем дело все с теми же трудовыми отношениями, в которых сотрудник обязан выполнить работу в рабочее время, а работодатель – ее оплатить.
Существует внутренний трудовой распорядок, сотрудник с ним ознакомлен. А значит, не нарушаются конституционные права работника (ст. 23, 24 Конституции РФ). Отсутствие умысла работодателя выбивает почву из-под ног и у сторонников привлечения шефа к ответственности по ст. 137 и 138 УК РФ.
Но вернемся к самой слежке за действиями сотрудников в среде, наиболее нас интересующей, – информационной.
Решая вопрос о достижении наших целей (контроль утечек и укрепление дисциплины), нам не обойтись без технических средств. Разумеется, прежде чем выбирать меры слежения, нам необходимо составить модель нарушителя и определить каналы утечки информации (в случае с укреплением дисциплины – способы реализации). Меры могут быть организационные (например, отключить доступ к Интернету) и программно-аппаратные.
Кратко рассмотрим основные программно-аппаратные меры, которые помогут, в порядке необходимости:
Данные средства позволят контролировать все основные каналы утечки и дисциплину сотрудников. Однако всегда найдутся каналы и способы, которые трудно отследить (к примеру, фотографирование). В этом случае для эффективного контроля должен использоваться комплекс мер (в приведенном примере с фотографированием необходимы средства поведенческого анализа и организационные методы).
Как работодателю оценить, эффективен ли его контроль над действиями сотрудников? Измерение эффективности слежения прямо связано с поставленными целями. Если наша цель в уменьшении непродуктивно используемого времени, проведенного в Интернете, то мерой эффективности слежения будет уменьшение случаев непродуктивного использования (с учетом вышеназванных ограничений). Чем меньше инцидентов, тем лучше.
Какой бы ни была цель контроля, стоимость его организации не должна превышать совокупной суммы ущерба. Для всестороннего расчета суммы ущерба необходимо использовать специальные методы, описание которых займет не одну статью. Эмпирически можно вывести правило, что чем ближе контролируемая цель к производственному процессу, тем эффективней должен быть контроль над действиями пользователей.
Следить за действиями сотрудников необходимо. Главное – соблюсти баланс интересов бизнеса и сотрудников.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2013