Угрозы поджидают бизнес со всех сторон. И чем больше компании погружаются в «цифру», тем больше возможностей нарушить безопасность компании. Если раньше боролись чаще с хакерскими атаками, то теперь на первый план выходит сопротивление утечкам данных, спровоцированных изнутри. Например, в 2020 году только 21% утечек был спровоцирован внешними нарушителями, остальные 79% произошли по вине персонала. Нужно ли акцентировать внимание на использовании специализированных DLP-решений или функционала систем учета рабочего времени будет достаточно, чтобы возвести щит информационной безопасности – разберемся в этой статье.
Для чего нужно DLP-решение?
DLP – это сокращение от английского Data Loss Prevention или Data Leakage Prevention, что переводится как предотвращение потери/утечки данных. Исчерпывающее определение основного назначения систем такого класса.
Даже небольшие компании задумываются о сохранении своей информации, крупные игроки различных сегментов рынка готовы тратить немалые ресурсы, чтобы держать данные за семью печатями. Это неудивительно, ведь не только слив клиентской базы грозит масштабными убытками. Сегодня компании дорожат собственными разработками, причем это касается не только коммерческих продуктов, но и внутренних приемов организации бизнес-процессов, планами развития и даже добрым именем. Репутационные потери в современном мире могут нанести даже больший вред бизнесу, нежели банальная кража клиентской базы. Кроме того, последствия сливов, если информация касалась третьих лиц, могут грозить и немалыми штрафными санкциями.
Стоит только вспомнить самый громкий инцидент последнего времени, когда данные клиентов сервиса по доставке еды попали в открытый доступ, а предприимчивые хакеры сумели создать на их основе виртуальную карту с весьма личной информацией о людях.
«В результате недобросовестных действий одного из сотрудников в интернете были опубликованы телефоны клиентов и информация об их заказах: состав, время доставки и так далее. Утечка не коснулась банковских, платёжных и регистрационных данных пользователей, то есть логинов и паролей,» – написала служба информационной безопасности крупной российской технологической компании. Что еще раз доказывает: человеческий фактор представляет наибольшую угрозу информационной безопасности.
Недостатки DLP-решения
Твердо решившись наверняка защитить конфиденциальные корпоративные данные, руководители логично обращают внимание на DLP-решения, ведь они созданы непосредственно для этих целей. Однако при глубоком анализе возможностей и необходимых ресурсов обнаруживается, что:
- DLP-системы с активным контролем поглощают массу вычислительных ресурсов. Компании требуются массивные сервера, чтобы «информационный щит» работал на должном уровне;
- при активном контроле реакция системы на угрозу – блокировка. Система не берет во внимание, какие бизнес-процессы исполнялись в момент возникновения угрозы, и прерывает их несмотря ни на что. А нарушение критически важного процесса может грозить компании полной парализацией работы;
- пассивные DLP-решения работают тихо и незаметно – собирают данные из всех источников трафика. Сюда входят и личные сообщения, и приватные документы, которые могут прийти сотруднику в рабочее время. А вторжение в частную жизнь и нарушение требований к обработке персональной информации грозит уже судебным разбирательством.
Со стороны внедрения и эксплуатации DLP руководство компании тоже ожидают «сюрпризы»:
- процесс развертывания системы занимает достаточно много времени в силу обязательного соблюдения требований законодательства в сфере информационной безопасности;
- для полноценного функционирования необходимо провести массу тонких настроек, которые под силу выполнить только опытному специалисту в области DLP;
- мониторинг работы решения требует дополнительного персонала, и чем больше сотрудников в компании, тем больше должен быть штат службы безопасности.
Финансовая сторона вопроса сводится не только к дополнительным тратам на создание отдела безопасности и покупку дальнейшую поддержку самого IT-решения. Соотношение функциональности и цены зачастую не радует руководителей. Системы DLP, как правило, монолитны – за весь встроенный функционал придется заплатить, но не факт, что им будут пользоваться.
Для каких компаний не нужно внедрение DLP?
Сохранение корпоративной информации и коммерческой тайны нужно компаниям любого формата и масштаба. Небольшие компании часто разрабатывают принципиально новые продукты, выдают блестящие идеи, потерять которые – значит потерять весь бизнес. Однако нужно четко представлять, что именно, от кого и от чего нужно защитить, и только на этой основе выбирать методы и инструменты поддержания информационной безопасности.
Крупные игроки бизнеса – большие предприятия, холдинги, группы компаний – готовы вкладываться в формирование службы безопасности и приобретение дорогостоящего софта и имеют для этого все возможности. Небольшие организации и стартапы чаще не готовы потратить крупные денежные суммы на покупку материальной базы для DLP. В таком случае лучше обратиться к более приемлемым инструментам, которые могут вовсе не требовать материальных вложений. Начать можно с создания регламентов информационной безопасности, инструкций по применению корпоративной информации, использования различных методов шифрования и лояльного мониторинга работы персонала за ПК.
Зачем нужна система учета рабочего времени?
Главное преимущество систем учета рабочего времени состоит в непрерывности процесса мониторинга. Это позволяет видеть динамику изменений в компании, планировать перспективы и принимать верные управленческие решения. Системы учета рабочего времени помогают наладить трудовую дисциплину, выявить «узкие места» в бизнес-процессах, понять, чем занимается каждый сотрудник, начиная от линейного персонала, заканчивая топ-менеджерами, и насколько их действия влияют на развитие компании. Верные признаки, что организация нуждается в системе учета рабочего времени:
- выполнение задач и реализация проектов затягиваются;
- задачи стабильно делегируются специалистами друг другу, в итоге над решением не работает никто;
- профессиональные обязанности дублируются, а границы ответственности пространны;
- коммуникации между коллегами, отделами и подразделениями не отлажены;
- сотрудники занимаются личными делами на работе чаще, чем исполнением профессиональных обязанностей;
- начальник не реагирует на действия или бездействия подчиненных, или наметилась тенденция откровенного игнорирования требований руководства.
Внедрение системы учета рабочего времени помогает эффективно бороться с такими проблемами, понять, кто и чем занят и как обстоят дела в компании на самом деле, сформировать лояльную команду, которая разделяет ценности компании и относится к ее ресурсам, как к своим собственным, и информации в частности.
Принцип работы автоматических систем учета рабочего времени
Каждая минута на счету. Это выражение в бизнесе означает не только сверхзанятость, ведь действительно, на счету сотрудника ежемесячно появляется оплата за каждую минуту его рабочего времени. И справедливо, что работодатель хочет, чтобы рабочее время посвящали все-таки работе. Тем более, что сами специалисты отечественных компаний говорят, что в течение дня, когда, казалось бы, должны заниматься исключительно профессиональными делами, отвлечений столько, что на работу остается на четверть меньше времени, чем диктует ТК РФ.
Заметить, кто во сколько пришел, чем занимается на рабочем месте, просто, если команда состоит из десятка человек. В многочисленной по штату компании без инструментов автоматизации не обойтись.
Автоматические системы учета рабочего времени можно условно разделить на три вида:
- те, что контролируют трудовой распорядок. К ним относятся турникеты, биометрические пропускные системы, системы контроля и управления доступом. Главная функция всех этих инструментов – отметить, во сколько сотрудник пришел на работу и во сколько отправился домой. СКУД могут дополнительно фиксировать время входа в отдельные помещения внутри организации;
- те, что считают время, потраченное на задачи. Это различные тайм-трекеры, которые сотрудник обязан включать в начале работы и выключать по окончании;
- те, что объединяют функционал предыдущих двух видов инструментов. Это системы мониторинга и учета рабочего времени, которые «рисуют» полную и детальную картину дня каждого сотрудника – от того момента, как он появился на рабочем месте, и до момента уходя. При этом большой акцент в таких программах делается на содержательности рабочих часов.
Общий принцип работы автоматических систем – это сбор информации без участия человека и независимый подсчет рабочих часов с регулярным самостоятельным занесением в табели учета рабочего времени предприятия. По такому принципу строится работа отечественной системы мониторинга рабочего времени CrocoTime. Эта программа:
- начинает учет рабочего времени в первую минуту включения компьютера сотрудника, заканчивает, когда специалист отключает ПК. При этом нажать кнопку «Пуск» за коллегу – неэффективный способ выручить сослуживца. Система все равно зафиксирует простой, если не получит отклика от устройств ввода в течение 5 минут;
- фиксирует все ресурсы, которые посещает сотрудник в рабочее время, и приложения, которые использует, разделяя их на продуктивные и непродуктивные в зависимости от настроек, заданных в соответствии с должностными обязанностями;
- дает оценку успехам каждого отдельного специалиста и сравнивает их для коллег с одинаковыми должностями;
- показывает распределение нагрузки в коллективе, определяя тех, кто работает, не отвлекаясь, и тех, кто отдает предпочтение личным делам в ущерб рабочим;
- предоставляет сводную статистику руководителю по запросу или сигнализирует, если отклонения от регламентов становятся критичными.
Полная картина использования сотрудниками рабочего времени и ресурсов помогает повысить дисциплину, уровень ответственности за результат и предотвратить неправомерное распространение корпоративной информации.
Совместимость DLP и систем учета рабочего времени
Функционально DLP и автоматизированные системы учета рабочего времени схожи – оба решения мониторят потоки данных и по сути контролируют каждый шаг персонала в информационном поле компании.
Однако DLP не фокусируются на проблеме нецелевого использования рабочего времени, а системы учета рабочего времени, хоть и способны указать на пути утечки данных, блокировать противоправные действия не могут. Поэтому масса крупных компаний использует оба решения ради максимальной информационной безопасности.
Для небольшого бизнеса достаточными будут возможности автоматизированного учета, который точно не будет нарушать личных границ персонала. Например, программа CrocoTime, в отличии от многих зарубежных аналогов и DLP-решений, не делает скриншотов, записей экранов, не перехватывает сообщения в мессенджерах и письма на электронную почту, формируя лояльное отношение к корпоративным стандартам контроля. А лояльный сотрудник вряд ли задумается о том, что можно слить информацию на сторону, ведь компания – родная.