В предыдущей статье мы писали об умышленном вреде со стороны сотрудников компании. Теперь поговорим о неумышленном вреде, что в него входит и как это происходит в компаниях.
Неумышленный вред и человеческий фактор
Рассмотрим несколько примеров неумышленного вреда.
- Вред по неаккуратности. Когда сотрудник, не желая этого, по невнимательности вредит собственной компании. Сотрудница бухгалтерии получила электронное письмо с прикрепленным файлом счёта, оно ей показалось правдоподобным. Письмо было получено от неизвестного адресата и она знала, что по всем правилам его открывать нельзя. Но что-то сбило её с толку в тот момент и она решила его открыть. В результате была запущена программа, которая заблокировала работу компьютера и парализовала её работу на несколько дней.
- Сотрудники могут стать невольным инструментом конкурентной борьбы. Используются разные пути, чтобы получить внутреннюю информацию компании. Пообщаться с сотрудником неформально на разные темы не относящиеся к работе в неформальной обстановке.Для этого наиболее подходят слабые звенья компании – сотрудники, обладающих человеческими слабостями: халатностью, невнимательностью, небрежностью, которые не прочь выпить спиртного, потусить в компании. Отыскав подход к такому сотруднику и разговорив его, узнаётся внутренняя корпоративная информация. Язык невольно расскажет все тайны, как неудержимое зло.
Опасности нечаянных ошибок персонала
Часто сотрудники используют внутреннюю документацию без должной ответственности: выносят, копируют, теряют и распространяют. Если злоумышленники начеку – они следят и пользуются случаем получить секреты. Рассмотрим частые огрехи в работе персонала.
Получение доступа к информации
- передача по почте;
Сотрудник отсылает письмо другу, где отговаривает пользоваться продукцией компании, т.к. она хранилась в ненадлежащих условиях и, скорее всего, испорчена. Письмо перехватывают конкуренты и рассылают всем покупателям. Продажи компании падают. - размещение на облачных серверах и файлообменниках, делают информацию доступной из интернета;
Сотрудник дает доступ в интернет технологической сети. Хакеры меняют настройки, производство останавливается, фирма несет убытки. - копирование на USB-носители, диски, бумажные копии;
Сотрудник известной компании скопировал на флешку финансовый отчет, чтобы поработать с ним дома. К его домашнему компьютеру конкуренты имели удаленный доступ. Они скопировали отчет и разместили в интернете. Проблемы компании стали известны общественности, ее акции упали в цене. - запись на смартфон;
Сотрудник хранил на телефоне фотографии и описания недоработок и недостатков элитной новостройки. Они были украдены и размещены в интернете конкурентами. Была запущена кампания по дискредитации. Фирма была вынуждена снизить цены.
Модификация корпоративной информации
- утеря информации;
Информация теряется, попадает в руки посторонних или конкурентов. Они могут воспользоваться ею: выложить в открытый доступ, передать заинтересованным лицам.
Сотрудник забыл в поезде секретный прототип устройства. В результате информация стала доступной. Компания вынуждена была менять свою рекламную компанию, основанную на новизне продукта. - утечка информации;
Сотрудник объяснил в кругу друзей новую технологию. Цепочкой сплетен она стала известна конкурентам, которые запатентовали и воплотили её в жизнь. Компания лишилась своего ноу-хау, над которым долго работала. - изменение информации;
Администратор проговорился, как зайти в интранет компании. Конкуренты воспользовались информацией и подменили данные, нанесли вред. В результате произошли простои в работе компании, неработоспособность сети. - удаление информации;
Сотрудник вставил на работе в компьютер свой диск с вирусом. Вирус удалил важную информацию из системы предприятия. Фирма долгое время восстанавливала её.
Как снизить угрозы и процент неумышленных ошибок
Станет ли сотрудник нечаянным вредителем, зависит от политики безопасности вашей компании и дисциплинированности сотрудников. Конечно, чтобы получить результаты, компании нужна дисциплина.
Улучшаем безопасность и говорим сотрудникам о ней
- Обратите внимание на подбор сотрудников;
Следует обращать внимание на характеристики кандидатов, отзывы предыдущих работодателей, причины увольнения, чтоб не взять потенциально опасного сотрудника: рассеянного, болтливого, водящего дружбу с фирмой-конкурентом. - Проводите обучение сотрудников методам безопасности;
Объясните все: какие документы открывать, какие нет, как удалять, какие обновления запускать, как выбирать пароль и запоминать его. Объяснить, какая информация конфиденциальная, для кого, почему, когда перестает быть таковой, что нельзя хранить на телефоне, рассказывать дома и коллегам. Подписать договор о неразглашении информации, объяснить, что следует за его нарушением. - Разрабатывайте внутренние инструкции безопасности;
Проводите инструктаж под роспись сотрудника. При несоответствии — проведите обучение еще раз, протестируйте. При регулярных ошибках подумайте, нужно ли тянуть такого сотрудника.
Используем технические средства и ограничиваем доступ
- Ограничение доступа к информации;
Предоставлять доступ к информации, данным, программам, проектам по необходимости. Не всем сотрудникам, а лишь тем, кому он нужен для работы. После окончания работы доступ закрывать. - Использование системы контроля работы сотрудников;
Проверять, что делают сотрудники и сравнивать с тем, что входит в их обязанности, на какие сайты заходят, какие программы используют, как используют открытые доступы; - Контроль входящего и исходящего трафика: на содержание вирусов, спам сообщений, размер прикрепленных файлов и, если требуется, контроль содержание писем. Если у вас растёт количество персонала, задумайтесь над собственной службой безопасности.
- Введите запрет на запуск и установку программ с «Рабочего стола» и папки «Загрузки», это поможет сохранить компьютер от заражения вирусами;
- Ограничьте аккаунты Windows-пользователей в правах администратора;
- Введите запрет на использование личных устройств: ноутбуков, USB-накопителей, дисков, если выдаете доступ к конфиденциальным данным, то ведите его учёт.
Кажется, что неумышленный вред безобиден, но как видно из предложенных примерах это не так. Если вы руководитель, попробуйте вспомнить, чтобы к вам приходил сотрудник и сообщал, что он отправил по ошибке финансовый отчет клиенту или кому то из партнёров, а не вам. Или может сказал, что он случайно удалил важные документы, или заразил вирусом компьютер, или может забыл закрыть доступы уволившемуся сотруднику, или выложил важные документы в открытый доступ без пароля.
Статьи по теме:
