Обеспечение информационной безопасности — важнейшая задача любого бизнеса. Почему сегодня эта проблема выходит на передний план? Где искать безопасных сотрудников и что такое диагностика лжи? Чем грозят бизнесу социальные сети и как их использовать в своих целях? Об УП поговорил с генеральным директором компании Cognitive Technologies Андреем Черногоровым.
Какие отрасли бизнеса просто обязаны всегда помнить об информационной безопасности, набирая новых сотрудников?
Сегодня проблема обеспечения информационной безопасности для нашей страны — одна из ключевых. Поэтому профиль набираемых сотрудников не должен никак влиять на информационную безопасность компании — он всегда должен поддерживаться на стабильном уровне. Это сейчас получается не у всех и не всегда. Все отрасли в равной мере должны помнить об основных принципах информационной безопасности и неукоснительно им следовать. Сейчас зависимость предприятий от ИТ максимальная — ни один бизнес-процесс не проходит без вовлечения ИТ-системы. Кроме того, на многих предприятиях уже отказались от «бумаги», то есть резервного контура документов уже не осталось. И в период международной политической и экономической напряженности мы увидели, что ИТ-системы могут вполне себе быть инструментом борьбы и информационного противоборства. А наши госпредприятия до последнего времени полным ходом использовали западные системы (прежде всего — крупнейших вендоров SAP, Oracle, IBM и Microsoft), и ни о каких угрозах не думали. С глобальной компьютеризацией документооборота возросла ответственность на кадровый состав ИТ-отделов, ведь эти люди сейчас получили еще больше полномочий.
Какие профессии и должности приоритетны в этом щекотливом вопросе?
Основной акцент в сфере информационной безопасности ложится на все менеджерское звено, которое обеспечивает поддержку информационной инфраструктуры компании. Многие компании для дополнительного усиления нанимают профессиональных профайлеров — экспертов по диагностике лжи, но мы не увлекаемся такими экспериментами. Как правило, всю ключевую для нас информацию о человеке можно найти из открытых источников с применением различных роботизированных алгоритмов BI, которые мы с равным успехом применяем как для работы над клиентскими проектами, так и для собственных нужд.
Открытые вакансии и поиск Executive Search (ES). Они не гарантируют фирме безопасность, хотя сильно отличаются друг от друга. Расскажите о рисках использования этих способов набора персонала.
Лучших специалистов надо заинтересовать именно своим брендом и своими проектами и планами — здесь при первых контактах с перспективными кандидатами приходится раскрываться и более детально рассказывать о том, из чего состоит система ценностей компании и на каких показателях и проектах она базируется. В некоторых случаях, конечно, допустимо в целях безопасности действовать от лица другой, например, партнерской или агентской компании, которая до поры до времени и будет ассоциироваться у нового, еще не проверенного кандидата с работодателем.
Какие «фильтры» желательно включать уже на этапе подготовки и создания вакансии?
Важно регулярно мониторить публичное сетевое пространство наших сотрудников, как действующих, так и будущих, то есть ту информацию, которые они добровольно размещают для общего пользования. Важно, чтобы не только негласная система ценностей человека, но и его реально поведение за пределами офиса соответствовало представлению компании о культуре, корпоративной и общечеловеческой этике. Например, одним из факторов при выборе нового сотрудника может быть отсутствие у него в профилях социальных сетей экстремистского контента, призывов к насилию, специфического «взрослого» контента.
Через аккаунты уже работающих сотрудников не должно происходить утечек внутренней информации о компании. Причем речь не идет только о финансовых показателях или анонсах предстоящего слияния. Важно фильтровать любую с виду «бытовую» информацию, даже относительно внутрикорпоративных спорных ситуаций, ежедневной мелкой рутины. Сегодня сотрудница изливает в соцсети душу по поводу незаслуженно отобранного у нее клиента другому менеджеру, не забывая при этом ввернуть в сердцах пару едких эпитетов касательно самого заказчика. А назавтра представитель этого клиента, у которого в «друзьях» или в «друзьях друзей» (с каждым днем горизонтальные связи в соцсетях становятся все более открытыми для третьих лиц) оказывается эта дама, дает санкцию на прекращение любого сотрудничества с этой компанией.
Как лучше делить зоны ответственности в компании в целях безопасности?
Всегда следует четко разделять личное и корпоративное пространство. Я часто повторяю, что информационная безопасность предприятия начинается с безопасности в пределах рабочего стола каждого сотрудника. Поработайте с настройками приватности профайла, если ваш аккаунт заведен давно и вы не уверены, что в нем никогда не было контента, способного нанести вред компании. Если важно синхронизировать личный аккаунт с корпоративным, удалите лишние фотографии и файлы. Многие компании серьезно поплатились за то, что их сотрудники, загружая через личные профайлы различные корпоративные файлы (часто конфиденциальные), забывали или даже не знали о том, что эти файлы сохраняются на сервере и доступны всем желающим по прямому поисковому запросу. Так, в социальной сети Vk.com до сих пор существует поиск по документам. Введите в строке поиска слово «паспорт» или «договор» — и вы поймете, что режим конфиденциальности файлов — не пустой звук. В этой социальной сети в открытом доступе до сих пор лежат десятки тысяч отсканированных изображений паспортов, платежных документов, договоров и других данных, которые представляют большую ценность для их авторов, но которые по недосмотру оказались выставленными на всеобщее обозрение.
Аутсорсинг — здесь мы имеем дело с чужими компаниями. Проследить, кого они нанимают, чтобы делать ваш продукт, сложнее. И надо ли это?
ИТ-компании, которая дорожит качеством своих продуктов, имеет налаженные процессы промышленной разработки ПО, не занимается быстрыми поделками «на коленке», возможно, лучше не использовать аутсорсинг. Именно внутренняя разработка, по моему стойкому убеждению, позволяет любой компании концентрировать компетенции и развивать свои лучшие практики. Некоторые проекты (например, госзаказы с различными режимами доступа к секретным данным) требуют определенных уровней по безопасности, поэтому они изначально не могут быть отданы на внешнее исполнение. Кроме того, считаю, что аутсорсинг серьезно ограничивает инновационную работу компаний, поэтому все научно-исследовательские и инновационные проекты должны реализовываться специалистами в шаговой доступности.
Аутстаффинг — помощник в секретности или наоборот?
Отдавать на аутстаффинг целесообразно разовые работы уровня «черный ящик» с понятными входными и выходными условиями. Все остальное так или иначе влечет за собой создание уязвимости в периметре безопасности компании.
Итак, где брать безопасных сотрудников? Откуда могут появиться в вашей фирме шпионы?
Очень важная работа с социальными сетями для решения бизнес-задач. В эти задачи входит кадровый аудит сотрудников (мониторинг их активности), поиск и безопасный для компании найм новых сотрудников; привлечение клиентов и партнеров; анализ текущей бизнес-среды. Как бы то ни было, социальные сети серьезно облегчают работу по обеспечению безопасности при найме сотрудников. С помощью LinkedIn наша компания привлекла на работу двух ключевых управленцев: руководителя департамента аналитики и на такую же позицию высококлассного специалиста в проектный офис. Мы и раньше пользовались социальными сетями для нетворкинга, найма и поиска клиентов. Но в последнее время выбор инструментов резко сократился: яндексовский «Мой круг» в первичном виде перестал существовать и вместе с тем утратил функции, которые мы считали важными и полезными. Также своих ожиданий не оправдал нетворкинг-потенциал сообщества «Хабрахабр». Остался только LinkedIn. В традиционных инструментах найма мы разочаровались. Стало понятно, что наступает эра новых коммуникаций, в которых социальные сети будут забирать на себя все больше деловой активности. Мы убеждены, что социальные сети могут помочь современному предпринимателю, прежде всего, правильно организовать нетворкинг с тем, чтобы эффективно — и самое главное безопасно — конвертировать его в деньги: контракты, партнеров, новых сотрудников. Традиционные инструменты коммуникации здесь малоэффективны. LinkedIn своими базовыми средствами дает нашим рекрутерам возможность оперативно и очень достоверно оценить человека, основываясь на предоставленном в сети круге общения. Эта же социальная сеть подсказывает, через каких людей можно проверить кандидата.
Андрей Черногоров, Cognitive Technologies
Справка о компании:
Компания Cognitive Technologies — российский разработчик роботизированных систем, ПО для машинного зрения и управления предприятиями (сайт www.cognitive.ru). Сегодня в Cognitive Technologies работает 850 человек, продукты компании используют 580 тыс. потребителей. Годовой оборот: 17,1 млрд рублей (в 2014 году). Генеральный директор — Андрей Черногоров.
Беседовала Арина Буковская