Сегодня все больше организаций принимают решение о том, что необходимо тщательно контролировать своих сотрудников, которые работают за офисными компьютерами, при помощи специально предназначенного для этого ПО. Но иногда причины этого контроля выходят за рамки рационального видения ситуации. Об этом мы сейчас и поговорим.
Для начала, нужно помнить, что сотрудники с начальством связываются «с помощью» экономических отношений. Работодатель платит деньги, приобретая за них навыки и время наемного работника, последний же за это выполняет поручения начальника. И здесь мы можем наблюдать конфликт интересов, ведь работодатель стремится поручить сотруднику как можно большее количество работы, заплатив при этом те же самые деньги. Что до работника, то он, само собой, напротив пытается делать меньше работы, или требует увеличить оплату своего труда пропорционально увеличению нагрузки. Если работодатель проявляет излишнее рвение, то сотрудник может найти для себя другую работу; а вот излишняя лень работника как раз и должна быть «побеждена» с помощью систем контроля и учета времени работы.
Нужно также отметить, что сегодня работодатели полагают довольно важным контролировать эффективность и рациональность использования работниками того времени, за которое им платит их работодатель. Также сегодня довольно актуальной проблемой можно назвать и утечки закрытых корпоративных данных, таких как финансовые отчеты, бизнес-планы и закрытая персональная информация клиентов компании. В наше время примерно половина российских компаний как минимум один раз уже пострадали от утечек данных. И в ближайшее время эти показатели вырастут еще больше.
Но это все можно понять. Очень часто же аргументы руководства не выдерживают никакого простейшего теста на банальную логику. Начинаться они могут с желания руководителей компании контролировать все действия их подчиненных (как говорится «на всякий случай»), а заканчиваться какой-то параноидальной боязнью не заметить зреющий в компании «заговор сотрудников», которые непременно хотят навредить начальству.
А вы сталкивались с иррациональными мотивами сверхконтроля персонала?
Взгляд на информационную безопасность компании «СёрчИнформ» и сторонних экспертов.
27 февраля 2015
Причины появления «ненадежных сотрудников» в организации
Причин, почему благонадежный с
виду работник внезапно начинает «сливать» служебную информацию всего две:
1. получение персональной выгоды;
2. месть руководителям организации.
Если другие причины и
встречаются, то, как правило, исчезающе редко. Поэтому чаще всего для того,
чтобы обнаружить инсайдера нужно найти человека, у которого есть повод обижаться
на руководство. Например, не состоялось продвижение по служебной лестнице,
когда сотрудник этого очень ждал, или получил служебное взыскание и т.д.
Поэтому следует сразу отсеивать
кандидатов, которые пришли из других компаний после служебных взысканий. У вас
они могут повести себя точно так же, навредив компании после своего ухода.
Также часто инсайдерами
оказываются те, кто пользуется расположением, как лидеров организации, так и
прочих работников. Такое доверительное отношение легко можно использовать в
своих целях и узнать то, чего этот сотрудник не узнал бы в обычных условиях,
например, информацию открытую только руководству компании.
Бывает и так, что работники
«сливают» информацию и без злого умысла, а от незнания некоторых норм
информационной безопасности. Сотрудники могут «брать работу на дом» и нести
домой документы. Также службы безопасности повсеместно фиксируют пересылку
конфиденциальных данных по электронной почте, попытки выложить файлы на сервисы
обмена и просто записывать на цифровые носители. Все это квалифицируется как
попытка распространить служебную информацию. Такие сотрудники часто увольняются
руководителями «по статье», но, наученные горьким опытом, для нового
работодателя опасности не представляют.
26 февраля 2015
Контроль офисных сотрудников: взгляд с обратной стороны баррикад
Отметим что далеко не любой из сотрудников может спокойно относиться к контролю со стороны начальства. Бывает, что даже в давно сработавшихся, надежных и спаянных крепко коллективах при внедрении средств контроля некоторые сотрудники сразу заявляют о решении уйти из компании туда, где руководство «уважает права и свободы работников», то есть, где такие средства отсутствуют. Можно понять, что сотрудник не очень рад принимать даже сам факт того, что его действия будут кем-то отслеживаться. С другой стороны, на самом деле мало кто понимает, что желание руководства добиваться хорошей эффективности труда сотрудников и защищать компанию от утечек данных и является признаком хорошо развивающейся компании. А вот отсутствие контроля и вседозволенность, которые так ценят некоторые сотрудники, напротив, должны настораживать тех, кто устраивается на работу в такую компанию. Если руководство не следит, чем заняты подчиненные, ему нет дела до информации, которая может передаваться за стены компании – значит, ему может не быть дела и до выплаты зарплаты вовремя.
В конечном итоге основой абсолютно любого контроля является знаменитый человеческий фактор. И если в организации имеется система для автоматизированного контроля, то все равно имеются также различные операторы и администраторы, которые могут теоретически задействовать такую систему в собственных интересах. Так что нередкими будут ситуации, когда серьезные полномочия, позволяющие осуществлять контроль над другими сотрудниками, используются контролером для сведения личных счетов. Это очень важная проблема, ведь при слишком больших полномочиях сотрудников, отвечающих за контроль работников, довольно серьезно страдает корпоративный дух, тогда как в некоторых отдельных случаях поведение контролеров может даже привести к уходу из компании ценных специалистов, позволивших себе «не так посмотреть» на контролирующего сотрудника.
C точки же зрения руководителей компании контроль за сотрудниками можно назвать довольно серьезной статьей расходов, при этом дополнительной прибыли такой контроль не приносит. Потому во многих организациях бюджет на контроль сотрудника выделяется неохотно, в отличие от расходов на обучение работников.Но инвестиции в контроль за сотрудниками следует расценивать как вложения в будущее компании.
Так что соблюдение баланса в вопросах контроля - это даже в чем-то искусство для управленцев. И научиться этому, не набив собственных шишек, практически невозможно.
В конечном итоге основой абсолютно любого контроля является знаменитый человеческий фактор. И если в организации имеется система для автоматизированного контроля, то все равно имеются также различные операторы и администраторы, которые могут теоретически задействовать такую систему в собственных интересах. Так что нередкими будут ситуации, когда серьезные полномочия, позволяющие осуществлять контроль над другими сотрудниками, используются контролером для сведения личных счетов. Это очень важная проблема, ведь при слишком больших полномочиях сотрудников, отвечающих за контроль работников, довольно серьезно страдает корпоративный дух, тогда как в некоторых отдельных случаях поведение контролеров может даже привести к уходу из компании ценных специалистов, позволивших себе «не так посмотреть» на контролирующего сотрудника.
C точки же зрения руководителей компании контроль за сотрудниками можно назвать довольно серьезной статьей расходов, при этом дополнительной прибыли такой контроль не приносит. Потому во многих организациях бюджет на контроль сотрудника выделяется неохотно, в отличие от расходов на обучение работников.Но инвестиции в контроль за сотрудниками следует расценивать как вложения в будущее компании.
Так что соблюдение баланса в вопросах контроля - это даже в чем-то искусство для управленцев. И научиться этому, не набив собственных шишек, практически невозможно.
24 февраля 2015
Рыбка, выколи мне глаз или Синдром Infowatch на сене
Слово предоставляется коммерческому директору SearchInform
Пару недель назад один из клиентов в Казахстане прислал
интересный документ, подготовленный одним из сотрудников компании Infowatch. Клиент хорошо и
давно знает нашу компанию, поэтому написанное в бумаге его, мягко говоря,
удивило. Чего греха таить, прочитав содержимое я и сам был обескуражен
откровенной ложью и клеветой, написанную сотрудником Infowatch по фамилии Симонов. Кстати, он
не совсем рядовой. Руководитель направления по развитию бизнеса в Центральной
Азии, как-никак.
Я не люблю выносить «сор из избы», да и принципы честной
конкуренции мне не чужды, поэтому принял решение набрать Евгения Симонова по
телефону, так как лично с ним знаком, чтобы попросить его впредь озвучивать
только проверенные факты о нашей компании. Разговор у нас получился короткий и
не конструктивный: на второй минуте разговора Евгений просто бросил трубку, со
словами «…буду делать что хочу…».
Собственно, раз полюбовно договориться не получилось,
выкладываю на ваш суд сам документ с моими комментариями ниже по тексту.
Надеюсь, прочтя его те, кому Евгений и другие сотрудники Infowatch уже успели задурить голову,
посмотрят на ситуацию по-другому.
На мой взгляд, конкуренция это двигатель прогресса. Она
важна и полезна, но только не надо путать её с ложью и клеветой.
Документ
Готовы помочь в
проведении полноценного сравнения с продуктом SI,
мы с ними встречаемся иногда на рынке.
Когда начинаем
заказчикам показывать «особенности» этого продукта, все становится яснее.
Самое сильный их
недостаток это отсутствие поддержки вендора в Казахстане, несмотря на офис
Серчей в Алмате – там сидит 2 девушки J, вся техническая
поддержка сидит в Белоруссии, но самое интересное заключается в том, что
владельцы этой компании совсем не белорусы J а иностранный холдинг в Европе.
Это не соответствует действительности, в офисе есть как
специалисты по продажам, так и инженеры. Контакты всех офисов у нас указаны на
сайте. Но я не поленюсь продублировать: г. Алматы, ул. Ауэзова, 84, офис 202.
Заходите в гости.
Кстати, как офис Infowatch в Казахстане никак не значится на их сайте и найти его
не представляется возможным. Есть только информация, что иногда в Казахстан
прилетает региональный менеджер.
Что касается европейского холдинга – это полный бред. Наверное,
автор бумаги путает свои сны с реальностью.
Офис Серчинформа в
Москве это маленькая комната, с переадресацией на Белоруссию, инженеров в
Москве также как и в Казахстане – нет! Выводы сам делай J
Офис в Москве это четыре инженера и десять специалистов
по продажам. Находится на Арбате, Адрес есть на сайте компании.
Вот несколько фото офиса.
Конечно, можно кричать, что они постановочные, а можно
зайти и лично убедиться.
Мне кажется, имеет место употребление автором письма психотропных
или галлюциногенных препаратов. Infowatch
стоит более внимательно подходить выбору сотрудников.
Как можно работать
с вендором, если он тупо приехать к тебе не может настроить, обучить и
сопровождать DLP – для нас этот нонсенс.
"Тупо" мы не ездим,
зато всегда ездим помочь клиенту.
Продажи Серчей по
РФ стремительно падают, они приезжают в Казахстан в тот момент когда заказчики
вносят корректировки бюджетов, также часто пытаются переубедить моих же
заказчиков с заложенным бюджетом на покупку DLP на ИнфоВотч, паразитируют, а работать
по честному не хотят.
Это мечты сотрудника, у которого в Казахстане, в
частности в «Казмунайгаз», клиент отменил конкурс на покупку Infowatch после проведения теста нашей
системы. На текущий момент КМГ счастлив, что изменил свое решение в выборе
DLP-системы.
Также есть информация от партнера, который проводил тест КИБ
SearchInform в КМГ:
когда отменили конкурсы Infowatch,
прилетела госпожа Касперская и упрашивала отказаться от партнерства с SearchInform в их пользу.
Партнер, которому дорога репутация на рынке, задал один простой вопрос: чем
технологически система Infowatch
лучше SearchInform, на
что получил ответ в стиле пространных аргументов (как в разбираемом письме), и
ни одного конкретного преимущества. После этого Наталья стала предлагать скидки
вплоть до 60%, однако желание сохранить репутацию оказалось для партнера дороже
денег.
Вложение сравнение
между IW и SI – это конечно общий документ, в
помощь, если нужно будет найти нужные формулировки – обращайся!.
Придумать «квазиважные» пункты, например, «распознавание
печатей» (которое делает ABBYY)
и по ним сравнивать, это, конечно,
хорошо, а вот ответить на прямой вопрос «чем вы лучше?» Infowatch не в состоянии. Зато в
состоянии разводить клевету и пудрить мозги клиентам. Явно стиль достойный
«лидера рынка» J
Из явных
ключевых преимуществ ИнфоВотч в Казахстане:
1. Открыт офис ИнфоВотч в РК, г. Астана с 2011
года.
Это явно какая-то
конспиративная квартира: ни адресов, ни стационарных телефонов этого офиса
найти не удалось, а мы ведь не откажемся заглянуть на чай с баранками.
2. Поддержка в г. Астана – выделенная линия
тех.поддержки «живым» сотрудником – выезды к заказчику по звонку телефона.
Выезды к заказчику сотрудником
Евгением, который оказывается «и швец, и жнец» – и продать может, и настроить,
и обучить. Однако, не так давно во время сравнительного теста в администрации
губернатора Санкт-Петербургской области, сотрудник Infowatch за 20 минут так и не смог
настроить поиск слова «зеленый» и всех его словоформ (морфологический поиск),
сославшись на то, что это работа лингвистов. Для сравнения, в КИБ SearchInform
для этого надо просто поставить «галочку» в соответствующем чекбоксе «искать
с морфологией» и все работает.
3. Обучение в г. Астана работе с DLP, с
выпуском сертификатов о прошедшем обучении
4. Поддержка национального Казахского языка
5. Широкий список уже имеющихся заказчиков у
ИВ, (чуть ниже представлен)
6. Сертификация в Казахстане, Сертификат
доверия ОУД 1
Тут комментировать нечего, будем надеяться, что хоть это
правда…
7. Государственная поддержка развития
софтверных решений в рамках единого таможенного пространства начиная с
01.01.2015 (добро от государства)
Ну что же, если без государственной поддержки никак, то,
конечно, стоит это указать…
В России решение
ИнфоВотч используют:
ОАО «Компания
«Сухой», ООО «Группа ГАЗ», Министерство финансов России, Министерство
экономического развития России, Федеральная таможенная служба России,
Федеральная налоговая служба России, Федеральная дорожная служба России,
Госзнак России, Сбербанк России, РЖД, Роснефть, Газпром, ЛУКОЙЛ,
Сургутнефтегаз, Татнефть, Транснефть, Мосэнерго, Мегафон, Вымпелком,
Связьинвест, ВТБ, Райффайзенбанк, Банк Москвы и другие. (более 200 проектов)
Любопытно, но некоторые из перечисленных Infowatch компаний
на самом деле клиенты SearchInform.Убедитесь
сами - http://searchinform.ru/company/clients.html
Наверное, когда-то давно они и покупали Infowatch, но такие компании как Сухой, Гознак уже несколько лет
довольны своим выбором в пользу SearchInform.
Достаточно посмотреть конкурсы Гознака, которые есть в открытом доступе.
К сожалению, многие наши клиенты не разрешают нам
называть их имена, так как продукт покупают для дела, а не для показухи. В
противном случае мы бы привели гораздо больше примеров.
Вот список
организаций которые уже приобрели и успешно используют InfoWatch Traffic
Monitor:
1.
Служба охраны Президента Республики Казахстан;
2.
Администрация Президента Республики Казахстан;
3.
Министерство Обороны Республики Казахстан;
4.
Министерство Внутренних Дел Республики Казахстан
5.
Канцелярия Премьер-Министра Республики Казахстан;
6.
Министерство здравоохранения Республики Казахстан
7.
Министерство Нефти и Газа Республики Казахстан;
8.
Национальная Библиотека Республики Казахстан;
9.
Национальный Банк Республики Казахстан;
10.
Генеральная Прокуратура Республики Казахстан;
11.
КазМунайГаз Онимдеры;
12.
Амангельды Газ
13.
Инженерно-Технический центр, АО
14.
Казконтент, АО
15.
Первое кредитное бюро, ТОО
16.
Удостоверяющий Центр КАЗАХСТАН, АО
17.
Magnum, (Кэш анд Керри)
18.
Нурбанк, АО
19.
Госэкспертиза
20.
BI Group и другие.
Без комментариев. Пусть ложь останется на совести автора.
Резюме. 99% из того что сказано сотрудником Infowatch не соответствует
действительности, а является легкопроверяемой ложью. Наверное, ложь и введение
клиентов в заблуждение это единственные действенные инструменты, с помощью
которых Infowatch
удается продавать свой продукт. Хочу посоветовать руководству Infowatch ответственнее
подходить к вопросу подбора персонала и, по возможности, набирать адекватных и
психически уравновешенных сотрудников. Ну а ложь и клевета – удел сирых и
убогих.
Евгений Симонов
Руководитель
направления по развитию бизнеса в Центральной Азии
Москва, 2-ая
Звенигородская ул., д. 13, стр. 41, этаж 8
Тел. +7 (495)
22 900 22, доб. 1155
Моб. +7 (926)
318 15 02
Моб. +7 (705)
552 55 03 - Казахстан
А вот и автор сказок. Кстати, почему в подписи адрес
офиса в Москве?
Чтобы раздобыть конфиденциальную информацию компании, надо просто пройтись по кабинетам
В 88% случаев для того, чтобы получить конфиденциальную информацию той или иной компании, достаточно просто туда зайти. Именно так говорят исследования Ponemone Institute, результатами которых я не могу не поделиться с ИБ-сообществом. Отдельные моменты выделены "болдом" - именно их я полагаю наиболее важным для безопасников.
Ponemon Institute, расположенный в Траверс Сити, США, отправил своих исследователей в 47 офисов 7-ми больших компаний, которые заранее дали добро на проведение опыта, который предложил университет. Сам опыт заключался в следующем. Исследователи играли роль обычных сотрудников компании. Руководство компаний было в курсе, где и когда этот эксперимент будет проводиться. Рядовые сотрудники компаний – нет.
Исследователи на протяжении двух часов просто гуляли по офису, фотографировали экраны компьютеров, документы с пометкой «секретно» забирали с собой. И все это происходило на глазах сотрудников компании. В большинстве случаев рядовые сотрудники не задавали никаких вопросов и не пытались противодействовать краже. Даже те ситуации, когда нарушитель открывал Excel таблицу на каком-либо компьютере и фотографировал ее, оставались без внимания.
«Мы ожидали, что кто-нибудь скажет что-то типа «Эй, вы что тут делаете?», - сказал Лари Понемон, основатель и глава института. Всего только в 7-и случаях сотрудник противостоял исследователю при попытке сфотографировать экран. В 4-х – при попытке кражи конфиденциальных документов. И только в 2-х случаях, когда исследователи свободно гуляли по офису, разглядывали вещи сотрудников, заглядывали в их мониторы, рассматривали принтеры и факсы. И только в одном случае о подозрительных действиях было сообщено руководству компании. Украденные документы содержали информацию о сотрудниках компании, о клиентах. Были там и финансовые документы, учетные данные и другая конфиденциальная информация.
Стоит отметить, что успешность исследования зависела от нескольких факторов. К примеру, от расположения офиса и от вида работы, выполняемой в том или ином отделе. Скажем, в помещениях со свободной планировкой (open-plan offices) исследователям было легче собрать информацию, чем по кабинетам.
В отделах обслуживания клиентов, сбыта товаров , то есть там, где есть поток незнакомых лиц, конфиденциальной информацией завладеть легче, чем, к примеру, в бухгалтерии. Справочные службы IT и отдел обработки данных располагаются примерно посередине. Только в пяти научно-исследовательских отделах исследователям не удалось завладеть какой-либо информацией.
Еще один момент, на который исследователи обращали внимание, заключался в эффективности "защитных экранов". Если говорить вкратце, то эффект от них незначительный. Также исследователи обращали внимание на эффективность политики "чистого рабочего стола" (корпоративная директива, которая определяет, в каком виде сотрудники должны оставлять свои рабочие места, когда они оставляют их без присмотра или покидают офис), уничтожения документов в машинах измельчения бумаги (шредерах), на практику уведомления служб безопасности о подозрительных действиях.
В то же время был отмечен тот факт, что у исследователей было намного больше времени, чем могло бы быть у настоящих злоумышленников. Однако, примерно в половине офисов первые конфиденциальные документы были найдены в течение 15-ти минут.
---
Какие из этого всего можно сделать выводы? Ну, во-первых, все-таки банальным проникновением в здание можно добиться куда большего, чем долгим и нудным изучением уязвимостей сайта компании. Хотя, конечно, если компания далеко, то это становится серьезным препятствием. Т.е. локальные конкуренты и злоумышленники опаснее.
Во-вторых, не стоит надеяться на лояльность работников компании. Как и на их сознательность - пока это не закреплено законодательно, никто и не пошевелится. Так что спасение утопающих - дело рук самих утопающих.
Ну, и в-третьих, лучшее средство от физического проникновения - физическая же безопасность.Т.е. банальные стены и двери кабинетов, которые желательно отпираются карт-ключами или чем-то подобным. Потому что все остальное слишком заставляет полагаться на сознательность сотрудника, а тут уж см. п. 2.
А вы что думаете по этому поводу?
Ponemon Institute, расположенный в Траверс Сити, США, отправил своих исследователей в 47 офисов 7-ми больших компаний, которые заранее дали добро на проведение опыта, который предложил университет. Сам опыт заключался в следующем. Исследователи играли роль обычных сотрудников компании. Руководство компаний было в курсе, где и когда этот эксперимент будет проводиться. Рядовые сотрудники компаний – нет.
Исследователи на протяжении двух часов просто гуляли по офису, фотографировали экраны компьютеров, документы с пометкой «секретно» забирали с собой. И все это происходило на глазах сотрудников компании. В большинстве случаев рядовые сотрудники не задавали никаких вопросов и не пытались противодействовать краже. Даже те ситуации, когда нарушитель открывал Excel таблицу на каком-либо компьютере и фотографировал ее, оставались без внимания.
«Мы ожидали, что кто-нибудь скажет что-то типа «Эй, вы что тут делаете?», - сказал Лари Понемон, основатель и глава института. Всего только в 7-и случаях сотрудник противостоял исследователю при попытке сфотографировать экран. В 4-х – при попытке кражи конфиденциальных документов. И только в 2-х случаях, когда исследователи свободно гуляли по офису, разглядывали вещи сотрудников, заглядывали в их мониторы, рассматривали принтеры и факсы. И только в одном случае о подозрительных действиях было сообщено руководству компании. Украденные документы содержали информацию о сотрудниках компании, о клиентах. Были там и финансовые документы, учетные данные и другая конфиденциальная информация.
Стоит отметить, что успешность исследования зависела от нескольких факторов. К примеру, от расположения офиса и от вида работы, выполняемой в том или ином отделе. Скажем, в помещениях со свободной планировкой (open-plan offices) исследователям было легче собрать информацию, чем по кабинетам.
В отделах обслуживания клиентов, сбыта товаров , то есть там, где есть поток незнакомых лиц, конфиденциальной информацией завладеть легче, чем, к примеру, в бухгалтерии. Справочные службы IT и отдел обработки данных располагаются примерно посередине. Только в пяти научно-исследовательских отделах исследователям не удалось завладеть какой-либо информацией.
Еще один момент, на который исследователи обращали внимание, заключался в эффективности "защитных экранов". Если говорить вкратце, то эффект от них незначительный. Также исследователи обращали внимание на эффективность политики "чистого рабочего стола" (корпоративная директива, которая определяет, в каком виде сотрудники должны оставлять свои рабочие места, когда они оставляют их без присмотра или покидают офис), уничтожения документов в машинах измельчения бумаги (шредерах), на практику уведомления служб безопасности о подозрительных действиях.
В то же время был отмечен тот факт, что у исследователей было намного больше времени, чем могло бы быть у настоящих злоумышленников. Однако, примерно в половине офисов первые конфиденциальные документы были найдены в течение 15-ти минут.
---
Какие из этого всего можно сделать выводы? Ну, во-первых, все-таки банальным проникновением в здание можно добиться куда большего, чем долгим и нудным изучением уязвимостей сайта компании. Хотя, конечно, если компания далеко, то это становится серьезным препятствием. Т.е. локальные конкуренты и злоумышленники опаснее.
Во-вторых, не стоит надеяться на лояльность работников компании. Как и на их сознательность - пока это не закреплено законодательно, никто и не пошевелится. Так что спасение утопающих - дело рук самих утопающих.
Ну, и в-третьих, лучшее средство от физического проникновения - физическая же безопасность.Т.е. банальные стены и двери кабинетов, которые желательно отпираются карт-ключами или чем-то подобным. Потому что все остальное слишком заставляет полагаться на сознательность сотрудника, а тут уж см. п. 2.
А вы что думаете по этому поводу?
Подписаться на:
Сообщения (Atom)