Мотивация для установления контроля

Контроль всегда должен преследовать определенную цель. Чаще всего основной мотивацией для установления контроля над действиями сотрудников является предотвращение финансовых потерь. Работодатель всегда хочет иметь уверенность в том, что он не платит сотрудникам сверх меры, не несет дополнительных накладных расходов (например, из-за воровства или простоя ресурсов) и прямых убытков.

Итак, мы определили основную цель контроля: предотвращение финансовых потерь. Далее нам необходимо проанализировать работу компании и определить «дыры», то есть слабые места, где при допущении сотрудником ошибки или в результате его злонамеренных действий теоретически можно понести несравнимо большие убытки.

Перечень таких слабых мест может быть следующим:

• воровство материальных и интеллектуальных ценностей;
• нецелесообразное использование ресурсов (например, рабочего времени);
• вандализм в отношении производственных процессов;
• непреднамеренные ошибки (в том числе утечки данных, компрометация защищаемой информации и т.п.).

Итак, мы разобрались с мотивацией и основной направленностью слежки. А теперь задумаемся, как же отнесутся сотрудники компании к тому, что их действия контролируют?

Взгляд с обратной стороны

Очевидно, что самой распространенной реакцией на контроль будет резкое непринятие, негатив (не всегда, о чем мы поговорим ниже), ведь мы не любим, когда нам очерчивают рамки и следят за каждым шагом. Поэтому после установления контроля, как правило, встречаем противодействие, и включаемся в «гонку вооружений» с собственными сотрудниками.

Поэтому одним из ключевых моментов при организации контроля, позволяющим избежать негативной реакции на слежку, является донесение мысли о необходимости этого контроля до самих сотрудников. Возникает вопрос: как это сделать? Вариантов множество. Например, можно объяснить сотрудникам, что контроль над выносом материальных ценностей поможет выполнить производственный план, а следовательно, получить премиальные.

Чуть сложнее донести мысль о необходимости слежки до сотрудников, работающих в информационной сфере. Информацию необязательно выносить в кармане через проходную, а ущерб от некоторых утечек может перекрыть на годы вперед таковой от воровства материальных ресурсов. Для человека, как правило, недосягаема мысль о неправильности поступка при краже или утере информации, поскольку информация нематериальна. А раз нематериальна – значит ничего не украл и не потерял.

Где же найти решение проблемы?

Для каждой компании оно свое. Но, как правило, сотрудники положительно или по крайней мере равнодушно реагируют на контроль в тех компаниях, в которых их устраивают график работы, уровень заработной платы, способ поощрений и т.д. Итак, можно сделать следующий вывод: довольный сотрудник согласен с установлением контроля над его действиями. Однако работодателю необходимо четко соблюдать границы дозволенного контроля, уважать своих подчиненных, иначе даже довольный работой сотрудник может стать нарушителем.

Сообщать о слежке или нет?

Итак, контроль над действиями сотрудников установлен. Возникает вопрос: сообщать ли сотрудникам о слежке или нет?

Ответ один: сообщать. При выборе второго варианта мы рискуем узнать подробности ст. 137 Уголовного кодекса РФ «Нарушение неприкосновенности частной жизни» и 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений». Данные статьи – это дамоклов меч любого безопасника, практика их применения большая, и всегда не в пользу работодателя.

Таким образом, нам так или иначе приходится информировать сотрудников о контроле. Это не так сложно – внесите упоминание об этом в трудовой договор или приложение к нему. Вам помогут:

• Ст. 21 Трудового кодекса, которая обязывает сотрудника качественно выполнять работу: «Работник обязан: добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором; соблюдать правила внутреннего трудового распорядка…»
• Ст. 22 ТК РФ дает (работодателю) право контролировать работу.
• Ст. 189 ТК РФ определяет правила внутреннего трудового распорядка.

Закон не разделяет отношения работник-работодатель на отношения с использованием компьютерной техники либо без нее. Правоотношения, их субъекты, суть и результат не меняются с модификацией орудий производства. Какие бы программы ни использовались, мы имеем дело все с теми же трудовыми отношениями, в которых сотрудник обязан выполнить работу в рабочее время, а работодатель – ее оплатить.

Существует внутренний трудовой распорядок, сотрудник с ним ознакомлен. А значит, не нарушаются конституционные права работника (ст. 23, 24 Конституции РФ). Отсутствие умысла работодателя выбивает почву из-под ног и у сторонников привлечения шефа к ответственности по ст. 137 и 138 УК РФ.

Но вернемся к самой слежке за действиями сотрудников в среде, наиболее нас интересующей, – информационной.

Что использовать?

Решая вопрос о достижении наших целей (контроль утечек и укрепление дисциплины), нам не обойтись без технических средств. Разумеется, прежде чем выбирать меры слежения, нам необходимо составить модель нарушителя и определить каналы утечки информации (в случае с укреплением дисциплины – способы реализации). Меры могут быть организационные (например, отключить доступ к Интернету) и программно-аппаратные.

Кратко рассмотрим основные программно-аппаратные меры, которые помогут, в порядке необходимости:

• подсистема идентификации и аутентификации пользователей. Это основа основ. Если мы не можем однозначно идентифицировать пользователя, то мы не сможем его контролировать. И разумеется, никаких локальных администраторов на рабочих машинах;
• подсистема доступа в Интернет (proxy). Proxy выступает первым эшелоном контроля, ограничивая каналы утечки через Интернет;
• подсистема контроля приложений (программной среды). Мы контролируем установку приложений на рабочих компьютерах, а следовательно, уменьшаем возможность принести «сюрприз из дома»;
• подсистема контроля подключаемых устройств. Логическое продолжение предыдущего пункта: если мы не можем подключить флешку, то сюрпризов у нас будет гораздо меньше. Также мы ограничим утечки класса «поработаю дома»;
• подсистема контроля утечек конфиденциальной информации (DLP-системы). Если мы все же разрешаем использовать Интернет и подключать флешки, нам необходимо знать, что именно передается;
• подсистема IRM (Information Rights Management). Это уже глобальный уровень отслеживания перемещения документов и действий сотрудников с ними в рамках всей организации и за ее пределами.

Данные средства позволят контролировать все основные каналы утечки и дисциплину сотрудников. Однако всегда найдутся каналы и способы, которые трудно отследить (к примеру, фотографирование). В этом случае для эффективного контроля должен использоваться комплекс мер (в приведенном примере с фотографированием необходимы средства поведенческого анализа и организационные методы).

Измеряем эффективность

Как работодателю оценить, эффективен ли его контроль над действиями сотрудников? Измерение эффективности слежения прямо связано с поставленными целями. Если наша цель в уменьшении непродуктивно используемого времени, проведенного в Интернете, то мерой эффективности слежения будет уменьшение случаев непродуктивного использования (с учетом вышеназванных ограничений). Чем меньше инцидентов, тем лучше.

Какой бы ни была цель контроля, стоимость его организации не должна превышать совокупной суммы ущерба. Для всестороннего расчета суммы ущерба необходимо использовать специальные методы, описание которых займет не одну статью. Эмпирически можно вывести правило, что чем ближе контролируемая цель к производственному процессу, тем эффективней должен быть контроль над действиями пользователей.

Следить за действиями сотрудников необходимо. Главное – соблюсти баланс интересов бизнеса и сотрудников.

Дудко Дмитрий
Опубликовано: Журнал «Information Security/ Информационная безопасность» #6, 2013