Как обеспечить информационную безопасность при переводе сотрудников на удаленную работу

Перевод сотрудников на удаленную работу в условиях карантина по COVID-19 — это серьезный вызов для службы безопасности компании. Вся политика защиты организации требует серьезной трансформации, нацеленной на изменение технических средств и методологий контроля и защиты удаленных рабочих мест сотрудников. Важной составляющей является работа с клиентами и партнерами в целях сохранения уровня их доверия к компании.

 

Предупредить риски

Работая удаленно, сотрудники имеют возможность по неосторожности предоставить доступ к ценной информации компании.

В целях предупреждения данных рисков:

  1. Формируется рабочая группа специалистов по безопасности для обеспечения проверки технических заданий на содержание конфиденциальной информации с полномочиями осуществлять необходимую коррекцию прежде, чем руководитель подразделения получит их для распределения между сотрудниками своего подразделения.
  2. Заключаются дополнения к контрактам либо отдельные договора о неразглашении конфиденциальной информации (NDA), где четко прописываются все риски и взыскания с сотрудников, применимые в случае нарушения договора.
  3. Используются специальные технические средства для мониторинга за рабочим оборудованием в целях отслеживания действий сотрудников (копирование информации на внешние носители, передача информации заинтересованным лицам, несоблюдение правил безопасности и другие случаи). Здесь также могут быть полезны программы по «фотографии» рабочего дня.
  4. В домашней обстановке сотрудники нередко проявляют беспечность и становятся источником утечки информации. Поэтому важно их проинструктировать по соблюдению безопасности при удаленной работе. По завершению инструктажа сотрудник должен подписать документ о том, что прошел инструктаж. Необходимо информировать персонал о нарушениях инструкций, которые выявлены в процессе мониторинга рабочего места, и принимать меры к нарушителям.

 

Оформить законодательно

Одним из важных вопросов при переводе сотрудников на удаленную работу является юридическое оформление ответственности персонала.

К сожалению, стандартный трудовой договор составлен из весьма обобщенных формулировок (касательно неразглашения конфиденциальной информации) и не годится для ситуаций массового перевода сотрудников на удаленную работу. Поэтому необходимо заключить отдельный NDA с персоналом.

Перед тем, как заключать NDA, следует провести информационную разъяснительную работу на предмет обеспечения безопасности при удаленной работе и роли в этом NDA. При составлении договора прописываются все риски, с которыми может столкнуться компания при разглашении конфиденциальной информации сотрудником. Также описываются меры взыскания при невыполнении условий договора. Последствия за несоблюдение условий должны быть четко прописаны в договоре. 

 

Использование VPN-сетей

Если организация не использует корпоративную VPN-сеть, то при переводе сотрудников на удаленную работу данная мера совершенно необходима, поскольку она сразу разграничивает ответственность и распределяет риски. Используя VPN, компания может выбирать ресурсы, к которым имеет доступ сотрудник, и может постоянно отслеживать активность персонала.

 

Сохранить доверие клиентов 

Не менее важно донести информацию до клиентов, что отправляя сотрудников на удаленную работу, вы в состоянии обеспечить конфиденциальность информации, которой они делятся с организацией. Благодаря внедрению таких мер:

  • информирование сотрудников о правилах безопасности;
  • оформление NDA;
  • фильтрация заданий через специальную группу службы безопасности;
  • работа в VPN;
  • мониторинг через программы для отслеживания удаленных рабочих мест (чекины в Slack о приходе и уходе с работы и другие меры).

Стоит отметить, что клиенты в большинстве случаев имеют свою службу безопасности, и те задания, которые вы получаете в работу, проходят через их систему контроля за информацией. Поэтому вопрос, как найти баланс между адекватностью и безопасностью в условиях перевода сотрудников на удаленную работу, вполне решаем между компаниями.

Даже если вы столкнулись с претензией, что ваша компания ответственна за утечку информации клиента, не нужно паниковать. Проведите внутреннее расследование, соберите нужную документацию. Такие дела в судах тянутся не один год. В 90% случаев судятся не юридические лица, а компания и сотрудник. 

 

Выбрать меры

Существует реальная возможность предупредить риски, связанные с утечкой или разглашением конфиденциальной информации при переводе сотрудников на удаленную работу. Здесь важно понимать, что в данной ситуации пересмотр политики безопасности в сторону ужесточения — это не крайняя, а необходимая мера.

При этом следует найти баланс между интересами сотрудников, компании и клиентов, чтобы сохранить производительность и востребованность продукта на должном уровне.

Вы можете:

  1. изучить возможности перевода сотрудников на удаленную работу;
  2. выбрать из вышеперечисленных методов те, которые подходят для вашего бизнеса;
  3. протестировать их в течение определенного времени на небольшой группе персонала;
  4. проанализировать результат;
  5. внедрить в свой бизнес.

 

Читайте новости первыми в нашем Telegram-канале!

Подписывайтесь на наш канал в Дзен!

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя savely

Ну, в плане общих рекомендаций для сферического коня компании в вакууме - все верно. ;)

Странно, SearhInform не находится по тексту. ;)

Аватар пользователя savely

Я бы вообще в этой связи рассмотрел BYOD vs CYOD vs COPE в плане ИБ на удаленке. 

Причем с дифференцированным подходом по сотрудникам. В том плане, что
- тот же BYOD надо заслужить; 
- значимости информации, которой владеет тот или иной удаленщик;
- значимости удаленщика для конторы;
- еще что-то... 

 

Аватар пользователя savely

При уже нормально настроенной безопаске по месту, варианты перевода на удаленку не сильно сложные.

- сотруднику в дом просто затаскивается его рабочий комп + VPN. С запретом юзать "для себя". Ну, там же все равно SearhInform DLP уже стоит. ;) Но возможны тормоза. 
- терминальный доступ с личного компа без проброса всякого типа USB. Терминальный сервер где-то да поднят... 
- еще что-то.  

 

Аватар пользователя savely

Кстати, а ведь уже куча рекламы типа "за день переведем Ваш бизнес на удаленку". На cnews том же, в спаме есть. Кто в курсе - что реально делают? 

У меня уже давно настроен VPN на циске.