Ничего личного: зачем HR-специалистам разбираться в информационной безопасности

Что нужно знать HR-специалистам об информационной безопасности, чтобы не подвергать сотрудников риску, а компанию — финансовым потерям?

За информационную безопасность компании отвечают не только структуры по информационной безопасности, ИТ и юридические службы, но и HR-подразделения. Именно работники HR оперируют личными данными сотрудников и соискателей, и эти данные важно беречь.

Узнать все об информационной безопасности в HR можно на митапе , который организует команда Talantix — системы управления персоналом, которая соблюдает требования законодательства. У митапа будет онлайн-трансляция, присоединяйтесь!

За ИБ — информационную безопасность — отвечают и сами сотрудники. От стратегии управления персоналом во многом зависит, будут ли они соблюдать необходимые меры для пресечения нарушений.

Нарушители

По данным исследования уровня информационной безопасности в российских компаниях от «СёрчИнформ», лишь 28% организаций сумели пресечь нарушения, а 38% компаний из всех опрошенных пострадали от утечки конфиденциальных данных! 31% не сталкивался с подобными ситуациями, а 3% и вовсе не владеют этой информацией.

В большинстве случаев утекали данные о клиентах и сделках (21%), техническая информация (20%), коммерческая тайна (17%). Кроме того, нарушителям нужны были информация о партнерах (11%), персональные данные сотрудников (9%), а также внутренняя бухгалтерия (7%).

И если при слове «нарушитель» рисуется картинка хакера с маской на голове, то смеем вас уверить: его портрет гораздо более невинный, а лицо хорошо вам знакомо. Почти в половине случаев в краже данных виноваты рядовые сотрудники компании (46%), и только 6% нарушителей — злоумышленники за пределами офисных стен. В группе риска также подрядчики и бывшие сотрудники компаний, которые с помощью украденной информации хотят отомстить компании или же произвести впечатление на нового работодателя.

Большинство компаний признали, что вопрос защиты данных внутри компании стоит остро: свыше 34% респондентов оценили актуальность темы в 10 баллов по 10-балльной шкале.

Чем страшен черт

«К сожалению, во многом проблема утечки данных недооценена. Утечка, преданная огласке, — это серьезный удар по престижу компании в глазах клиентов и соискателей, — говорит специалист по информационной безопасности Дмитрий Шулинин. — Кроме того, есть серьезные риски финансовых потерь в случае похищения и тиражирования (или копирования) и продажи интеллектуальной собственности».

Борьба за данные происходит на конкурентном поле, и далеко не все ведут эту борьбу честно, похищая информацию и нарушая рабочие процессы конкурентов. От ошибки может пошатнуться и бренд работодателя. Конфиденциальная информация вашей компании интересна злоумышленникам или хакерам: продать так называемые чувствительные данные можно на черном рынке — пароли, данные кредитных карт и прочее. Но и это еще не все последствия.

Если не предпринимать мер по защите персональных данных, то компании и сотрудникам может грозить дисциплинарная, административная, гражданско-правовая и даже уголовная ответственность со штрафами до 300 тысяч рублей. Именно поэтому компании нанимают целые отделы специалистов по информационной безопасности и выстраивают многоуровневые системы защиты.

Как строится система ИБ

Согласно закону «О персональных данных», вам необходимо не только правильно собирать данные и хранить их на территории Российской Федерации, но и разработать политику обработки и защиты информации внутри компании, и включить ее в систему информационной безопасности.

Информационная безопасность в компании должна начинаться с оценки активов — осознания, какая информация представляет важность для бизнеса. В HR-департаментах такими активами являются данные о сотрудниках и соискателях, авторские технологии и программное обеспечение в сфере подбора и управления персоналом.

После проводят анализ рисков, разрабатывают модели угроз и нарушителей, а также готовят документы по информационной безопасности. И разрабатывают частные политики информационной безопасности, в которых описывают требования к различным процессам и направлениям: политика межсетевого взаимодействия, политика удаленного доступа, политика использования средств информационной инфраструктуры компании и другие.

Выполняете ли вы требования закона по работе с персональными данными? Проверит Роскомнадзор, основной контролирующий орган по части персональных данных. Можно свериться с графиком проверок и подготовиться, но проверки могут быть и вне очереди, если вас заподозрят в нарушениях при работе с персональными данными.

Обучить персонал

Политику информационной безопасности важно не только соблюдать внутри HR-службы, но и донести до всех сотрудников компании.

«Инструктаж нужно разрабатывать как можно более краткий. Особенно для тех, кто входит в менеджмент высшего звена. У них нет времени слушать часовые брифинги, — дает рекомендации Дмитрий Шулинин. — В идеале политика информационной безопасности для сотрудников должна быть написана понятным простому человеку языком (без специфических терминов) на нескольких страничках. Даже лучше, если это будет краткая выжимка главных принципов: что делать можно, а что нет, чтобы человек мог быстро все прочитать и усвоить, а при необходимости обратиться к ИБ-специалистам за разъяснениями».

Так как информационная безопасность — это процесс, то и инструктаж сотрудников, по мнению Дмитрия, тоже желательно проводить с определенной периодичностью. Не обязательно для этого собирать всех в конференц-зале — это может быть краткий информационный бюллетень раз в несколько месяцев с информацией о новых угрозах или мерах защиты, внедренных в компании, о которых сотрудникам нужно знать. На корпоративном портале можно создать специальные короткие тренинги, которые нужно прослушать и ответить на несколько вопросов после.

Принять меры

Как стимулировать сотрудников заботиться об информационной безопасности — открытый вопрос. «Некоторые компании проводят «шуточные» тренинги, — говорит Дмитрий Шулинин. — Раскидывают по зданию, где находится офис, специальные флешки, и если кто-то воткнул такую в рабочий компьютер, то ответственному лицу приходит уведомление, а нерадивому сотруднику — строгое предупреждение: как вы могли открыть флешку, найденную непонятно где, в свою рабочую машину?»

Существуют также специальные сервисы, которые прикидываются фишинговыми и рассылают «вредоносные» письма. Сотруднику компании приходит по почте ссылка, и если он на нее вдруг нажимает, то ответственное лицо получает уведомление о том, каких сотрудников удалось скомпрометировать.

Важно продумать подобные тесты на понимание информационной безопасности. Ведь вне контекста тестовых ситуаций «невинная» присвоенная флешка может содержать вирус или программу злоумышленников, а ссылка в письме окажется действительно фишинговой — и кое-какие персональные данные попадут в плохие руки.

«Интересно, что многие маленькие организации считают, будто им не стоит волноваться на счет информационной безопасности, — рассказывает Дмитрий Шулинин. — Допустим, какая-нибудь микрокомпания по доставке воды с двумя компьютерами и почтой на популярном ресурсе. На самом деле ничего подобного: ведь эта компания ведет общение со своими клиентами и партнерами, и если она не заботится о защите данных, то ставит под угрозу безопасность тех, с кем работает».

Резюме

1. Грамотное хранение и защита данных компании — залог ее хорошей репутации на рынке, в том числе на рынке труда.

2. По статистике, в утечке ценных данных виноваты в основном сотрудники компании. Необходимо совместно с ИТ- и ИБ-отделами разрабатывать регламенты и обучение для того, чтобы информационная безопасность была частью корпоративной культуры.

3. Информационная безопасность — это процесс, а не выстроенная один раз система, так как уровни угрозы со временем меняются, а технологии не стоят на месте. Поэтому важно регулярно обновлять политику хранения и защиты данных и оповещать об этом сотрудников.

4. Большую угрозу для компании представляют увольняющиеся сотрудники, которые могут украсть информацию из мести.

5. Вопросы информационной безопасности важно решать даже очень маленьким компаниям.

Расширить компетенции

HR-подразделение — это огромное хранилище персональных данных всех сотрудников компании, а также кандидатов на вакантные должности. При этом потенциальные кандидаты являются для компании посторонними людьми, и если их данные пропадут, то уладить проблему будет трудно.

Узнайте о безопасности больше, чтобы не стать нарушителем!

На митапе от HeadHunter 18 мая вместе с опытными юристами и командой Talantix — сервиса по управлению персоналом, который соблюдает закон «О персональных данных», — мы разберем:

  • в чем суть закона;
  • какие требования к согласию на обработку персональных данных существуют;
  • какие требования предъявлять к облачным сервисам, а также хостингам и лицензиям;
  • особенности работы с персональными данными в иностранных компаниях;
  • и другие вопросы об информационной безопасности.

Будет онлайн-трансляция мероприятия.