Как обеспечить информационную безопасность при переводе сотрудников на удаленную работу

Перевод сотрудников на удаленную работу в условиях карантина по COVID-19 — это серьезный вызов для службы безопасности компании. Вся политика защиты организации требует серьезной трансформации, нацеленной на изменение технических средств и методологий контроля и защиты удаленных рабочих мест сотрудников. Важной составляющей является работа с клиентами и партнерами в целях сохранения уровня их доверия к компании.

 

Предупредить риски

""

Работая удаленно, сотрудники имеют возможность по неосторожности предоставить доступ к ценной информации компании.

В целях предупреждения данных рисков:

  1. Формируется рабочая группа специалистов по безопасности для обеспечения проверки технических заданий на содержание конфиденциальной информации с полномочиями осуществлять необходимую коррекцию прежде, чем руководитель подразделения получит их для распределения между сотрудниками своего подразделения.
  2. Заключаются дополнения к контрактам либо отдельные договора о неразглашении конфиденциальной информации (NDA), где четко прописываются все риски и взыскания с сотрудников, применимые в случае нарушения договора.
  3. Используются специальные технические средства для мониторинга за рабочим оборудованием в целях отслеживания действий сотрудников (копирование информации на внешние носители, передача информации заинтересованным лицам, несоблюдение правил безопасности и другие случаи). Здесь также могут быть полезны программы по «фотографии» рабочего дня.
  4. В домашней обстановке сотрудники нередко проявляют беспечность и становятся источником утечки информации. Поэтому важно их проинструктировать по соблюдению безопасности при удаленной работе. По завершению инструктажа сотрудник должен подписать документ о том, что прошел инструктаж. Необходимо информировать персонал о нарушениях инструкций, которые выявлены в процессе мониторинга рабочего места, и принимать меры к нарушителям.

 

Оформить законодательно

""

Одним из важных вопросов при переводе сотрудников на удаленную работу является юридическое оформление ответственности персонала.

К сожалению, стандартный трудовой договор составлен из весьма обобщенных формулировок (касательно неразглашения конфиденциальной информации) и не годится для ситуаций массового перевода сотрудников на удаленную работу. Поэтому необходимо заключить отдельный NDA с персоналом.

Перед тем, как заключать NDA, следует провести информационную разъяснительную работу на предмет обеспечения безопасности при удаленной работе и роли в этом NDA. При составлении договора прописываются все риски, с которыми может столкнуться компания при разглашении конфиденциальной информации сотрудником. Также описываются меры взыскания при невыполнении условий договора. Последствия за несоблюдение условий должны быть четко прописаны в договоре. 

 

Использование VPN-сетей

""

Если организация не использует корпоративную VPN-сеть, то при переводе сотрудников на удаленную работу данная мера совершенно необходима, поскольку она сразу разграничивает ответственность и распределяет риски. Используя VPN, компания может выбирать ресурсы, к которым имеет доступ сотрудник, и может постоянно отслеживать активность персонала.

 

Сохранить доверие клиентов 

Не менее важно донести информацию до клиентов, что отправляя сотрудников на удаленную работу, вы в состоянии обеспечить конфиденциальность информации, которой они делятся с организацией. Благодаря внедрению таких мер:

  • информирование сотрудников о правилах безопасности;
  • оформление NDA;
  • фильтрация заданий через специальную группу службы безопасности;
  • работа в VPN;
  • мониторинг через программы для отслеживания удаленных рабочих мест (чекины в Slack о приходе и уходе с работы и другие меры).

Стоит отметить, что клиенты в большинстве случаев имеют свою службу безопасности, и те задания, которые вы получаете в работу, проходят через их систему контроля за информацией. Поэтому вопрос, как найти баланс между адекватностью и безопасностью в условиях перевода сотрудников на удаленную работу, вполне решаем между компаниями.

Даже если вы столкнулись с претензией, что ваша компания ответственна за утечку информации клиента, не нужно паниковать. Проведите внутреннее расследование, соберите нужную документацию. Такие дела в судах тянутся не один год. В 90% случаев судятся не юридические лица, а компания и сотрудник. 

 

Выбрать меры

""

Существует реальная возможность предупредить риски, связанные с утечкой или разглашением конфиденциальной информации при переводе сотрудников на удаленную работу. Здесь важно понимать, что в данной ситуации пересмотр политики безопасности в сторону ужесточения — это не крайняя, а необходимая мера.

При этом следует найти баланс между интересами сотрудников, компании и клиентов, чтобы сохранить производительность и востребованность продукта на должном уровне.

Вы можете:

  1. изучить возможности перевода сотрудников на удаленную работу;
  2. выбрать из вышеперечисленных методов те, которые подходят для вашего бизнеса;
  3. протестировать их в течение определенного времени на небольшой группе персонала;
  4. проанализировать результат;
  5. внедрить в свой бизнес.

Как вам новость?