Кому кроме бизнесов с секретами и почему нужен контроль вне офиса (КВО) за сотрудниками?
Бизнеса без секретов не бывает, другое дело – какого рода эти секреты. Если это государственная тайна – правила игры одни, если коммерческая тайна – другие. А сведениями, которые можно отнести к коммерческой тайне, обладает даже самая скромная палатка, торгующая цветами. Прайсы, размеры скидок, перечни клиентов и партнеров, планы продаж или стратегия продвижения на рынке – все это коммерчески значимая информация, потеря которой может сказаться на доходах фирмы, а в ряде случаев грозить ее существованию.
Поэтому важно контролировать сохранность этих сведений, особенно в том, как с ними обращаются сотрудники. Тем более, когда они работают вне офиса и у работодателя нет возможности отслеживать работу обычными методами. Работодатель должен контролировать исполнение сотрудниками должностных обязанностей, в том числе – как они выполняют обязательство сохранять коммерческую тайну. Об этом прямо говорится в ТК.
Если у вас нет своей СБ, то кто и как это может делать?
― Конечная ответственность за безопасность бизнеса лежит на директоре или владельце. Конкуренты и мошенники не будут интересоваться, есть у вас служба безопасности или нет – просто попытаются похитить ваши секреты. Так что их придется защищать в любом случае, а кто конкретно будет этим заниматься – зависит от вас.
Выделенная служба безопасности нужна не всем. Это определенная фаза в развитии бизнеса, до которой еще нужно дорасти. Сначала руководитель в силах справиться сам и с подбором, и с контролем сотрудников. Потом управленческие вопросы начинают перевешивать, на остальное не остается времени – появляются специалисты по персоналу. А когда штат достаточно вырос, становится видно, как из-за сотрудников бизнес несет убытки: оттого, что кто-то смухлевал, украл, слил секреты конкурентам. Тогда дело за СБ.
При этом есть опыт передачи функций СБ IT-отделам (особенно в вопросах защиты информации) или службам персонала. Как правило это логично, учитывая, что эти специалисты работают с людьми – самым уязвимым элементом системы безопасности. Но нужно понимать, что задачи обеспечения безопасности будут для них дополнительными, поэтому и решаться будут по остаточному принципу. Например, контроль персонала с точки зрения HR будет направлен на оценку продуктивности, а не рисков.
Целесообразно использовать специальные системы контроля – например, DLP-системы, которые защищают от утечек информации и внутреннего мошенничества. Они устанавливаются на корпоративные компьютеры (ноутбуки, планшеты и т.д.). Нет разницы, стоят они в офисе или сотрудники используют их на удаленных рабочих местах, берут с собой на выезды к клиентам или в командировки. DLP собирают всю информацию о действиях сотрудников за этими ПК: какие программы и сайты открывают, что и куда отправляют, с кем и о чем переписываются по корпоративной почте или созваниваются в Skype. Это позволяет держать под контролем рабочие процессы вне офиса, не влезая при этом в частную жизнь сотрудников.
Но и автоматизированные системы будут бесполезны без грамотного управления. Если возможности нанять специалистов нет, выручает аутсорсинг. Эксперты вне штата берут на себя работу с системами безопасности (DLP-системы, мониторинг баз данных, файловые аудиторы и пр.), которые контролируют персонал, а заказчику предоставляют полный отчет о выявленных угрозах и потенциальных рисках.
Что делать с полученной информацией?
― Мало собрать «фактуру», полученные данные нужно тщательно анализировать. Отчасти можно положиться на автоматику: системы контроля сами рассортируют информацию об активности пользователя, если в ней есть признаки нарушения – оповестят СБ. В настройках DLP-систем можно разметить некоторые действия пользователей как подозрительные: например, когда страховой агент запускает PhotoShop – не для того ли, чтобы подделать фото с места ДТП? Но даже если система зафиксирует такое действие, она неспособна однозначно определить, что сотрудник – мошенник. Собранную системой информацию нужно обработать, чтобы однозначно понять, кто виновник нарушения.
Если анализ подтвердил подозрения в отношении конкретного инцидента, нужно провести официальное служебное расследование. Процедура описана в ТК, подробный порядок действий можно найти в сети. И если в ходе расследования вы получите доказательства, что нарушение действительно произошло, сотрудника можно наказать. Это может быть выговор или штраф, кто-то даже идет в суд. Но самая популярная мера – увольнение. По нашему исследованию (https:// searchinform.ru/research-2018/), с нарушителями так поступают 34% российских работодателей.
Как увольнять опасных сотрудников?
― В ТК есть строгие правила, когда и на каких основаниях можно уволить сотрудника. Но увольнение – крайняя мера. Учитывайте, что нарушение внутренних регламентов не всегда может служить поводом для такого жесткого шага.
Типичная ситуация: работодатель «поймал» сотрудника на отправке конфиденциальных документов на личную почту и увольняет за разглашение коммерческой тайны. Уволенный сотрудник обращается в суд, и закон становится на его сторону: выясняется, что в компании не был оформлен режим коммерческой тайны, сотрудник не уведомлялся под роспись о запрете отправлять внутренние документы за пределы компании, да и попытку разглашения информации не доказали. Приходится восстановить человека на работе, да еще и выплатить компенсацию.
Поэтому нужно заранее оговаривать в нормативных документах и договорах с сотрудниками все условия их пребывания на рабочем месте, права и обязанности, режим работы с материальными и информационными ресурсами предприятия. Эти документы должны отражать, какая ответственность для сотрудников наступает за те или иные проступки. Не стоит за все наказывать по максиму. В большинстве случаев достаточно «профилактической» беседы.
Когда невозможно договориться «по-хорошему», будьте готовы, что увольняемые могут попытаться отомстить. Как только приняли решение расстаться с сотрудником, на время двухнедельной отработки ограничьте права работы с документами и базами компании – например, оставьте только право на чтение, а не на редактуру файлов. Отключите увольняемым доступ к USB-портам и облачным хранилищам. Дополнительно контролируйте, что в этот период сотрудники отправляют на личные адреса. Часто люди считают, что если принимали участие в формировании клиентской базы, то вправе забрать свои «наработки» и использовать на новом месте. Объясните, что все, что они создали, работая у вас, по закону принадлежит компании. В день увольнения заблокируйте учетные записи сотрудника в рабочей почте, CRM, мессенджерах.
Оценка вовлеченности может быть альтернативой КВО?
― Вовлеченность – слишком неопределенное понятие, чтобы на его основе делать выводы о потенциальных рисках для компании. И даже об эффективности труда сотрудников. По некоторым исследованиям, до 90% людей ходят на нелюбимую работу. Получается, они не вовлечены в рабочий процесс. Неужели все они работают плохо или стараются навредить работодателю?
Конечно, меры по повышению вовлеченности приветствуются – мотивируйте персонал и у них будет меньше поводов пойти против компании. Но даже мотивированный и дисциплинированный сотрудник способен допустить нарушение – просто по ошибке, недосмотру или незнанию. Так что полноценного контроля это не заменит.
Оценка вовлеченности и контроль – разные инструменты. При этом оба содействуют решению одной задачи – повышению производительности предприятия и его коммерческому успеху.
Какую пользу в целом для бизнеса может дать КВО?
― Неважно, где контролировать – в офисе или вне его, без объективных данных о действиях сотрудников невозможно понять, работает ли бизнес. Поэтому в первую очередь контроль полезен работодателю.
Разного рода нарушения, которые можно обнаружить, чаще говорят не о том, что в команде сплошь саботажники, а о недочетах в бизнес-процессах и отсутствии адекватного надзора за ресурсами. Регулярный мониторинг дает представление об атмосфере в коллективе, позволяет нащупать точки напряженности, ошибки в управлении или коммуникациях. Важно сделать выводы, чтобы их исправить.
Для сотрудников тоже есть польза: все могут быть уверены, что их достижения не останутся незамеченными, а в случае спорных ситуаций (например, с линейным руководством или «проблемными» клиентами) им легче отстоять свою позицию. Кроме того, контроль банально дисциплинирует – если сотрудники о нем знают.
Весь вопрос в честности. У себя в компании еще на этапе собеседования мы предупреждаем, что используем свою DLP для контроля рабочей активности. Подписываем с каждым сотрудником информированное согласие о режиме конфиденциальности. При этом у нас около 20% сотрудников работают удаленно, остальные часто в разъездах с клиентами или в командировках. Но мы не делаем разницы – контролируем тех, кто вне офиса, как всех остальных. Полностью представляя, как все устроено, сотрудники более осознанно относятся к своим обязанностям.
*Георгий Минасян, директор по безопасности «СёрчИнформ»