Спасибо Андрею Миронову за статью «Как сохранить служебную информацию при увольнении сотрудников» (Директор информационной службы», 2003, № 11).
Главный вопрос, который приходится решать, изучая возможность привлечения (бывшего) сотрудника к ответственности за несоблюдение режима охраны служебной информации, — как УСТАНОВИТЬ и ЗАФИКСИРОВАТЬ факт разглашения так, чтобы можно было использовать доказательства при защите своих прав. В рабочее время связь сотрудника с внешним миром осуществляется в основном посредством телефона. Будем исходить из того, что служебные переговоры ведутся работником в допустимых границах. А вот личные разговоры (в течение обеденного перерыва или вне рабочего времени) могут затрагивать различные темы, в том числе содержащие небезынтересные для конкурентов новости.
Можно организовать запись всех телефонных переговоров, но тогда встает вопрос о защите конституционных прав гражданина (тайна переписки, личная тайна и т. п.). Теоретически трудовой договор может содержать требование к работнику заранее предупреждать всех собеседников, что телефонные переговоры на его рабочем месте МОГУТ записываться (даже не обязательно указывать, что они «записываются»), и что сам факт разговора с ним по служебному номеру будет означать согласие обоих собеседников с данным условием.
Более того, само использование (равно как и изготовление для собственных нужд) соответствующих технических средств допускается при соблюдении определенных правил (лицензирование и т. п.). В противном случае любые доказательства будут оценены как недопустимые. Нелишне добавить, что есть определенные требования и к статусу лиц, имеющих право предпринимать действия розыскного характера.
В настоящее время подход многих предприятий к решению вопроса обеспечения информационной безопасности зачастую довольно однобок. Внедрение технических средств контроля и фиксации, составление пакетов документов с ограничительными условиями и санкциями за их нарушения — вот, пожалуй, все, что обычно приходит на ум. Необходимость использования целого комплекса мер, средств и возможностей разной направленности и характера пока не столь очевидна и часто воспринимается как создание ненужных трудностей.
В основе изменения подхода собственников к решению этой проблемы лежит следующий принцип: не ждать, пока будут подсчитаны причиненные убытки, а подумать над созданием СИСТЕМЫ защиты.
Галина Евгенова, руководитель юридического отдела московского филиала компании Rapp Collins Ltd., G.Yevgenova@rcddb.ru
Прочитал статью «Кому нужны call-центры?» Михаила Зырянова (Директор информационной службы, 2004, № 1). Абсолютно верное мнение относительно полезности call-центров для средних и малых организаций. Во многих компаниях думают, что, купив call-центр на пять операторов, они получат колоссальную автоматизацию и прибыль. Ничего подобного. Конечно же, большой проблемой остается непонимание того факта, что это не просто средство автоматизации бизнес-процессов, а мощный инструмент для зарабатывания денег.
Очень часто в компании не представляют, что такое call-центр. Для многих большим открытием является то, что какое-то оборудование вместе с программным обеспечением может не только автоматизировать работу, но еще и приносить прибыль, вытворяя при этом такие «чудеса», о которых в компании вообще никогда не слышали. Но прибыль обычно всегда понимается как некая денежная сумма, которая «упадет» на счет компании. Часто приходится разъяснять, что на первоначальном этапе прибыль будет заключаться только в снижении издержек на обслуживание клиентов и работу собственного персонала.
Проще, когда в компании уже есть собственный call-центр, но его возможности не устраивают. В таком случае можно говорить о путях и методах зарабатывания денег, потому что клиент уже знает свои потребности. Необходимо только подсказать, как правильно выбрать call-центр и сколько денег потратить на его развертывание.
Михаил Николаевич Ласкин, консультант отдела CRM и CallCenter компании RealSoft (Алма-Ата, Казахстан), Mikhail.Laskin@realsoft.kz
Эмоционально воспринимая статью Матиаса Турмана «Политики безопасности? Какие политики безопасности?» (Директор информационной службы, 2004, № 1), я был поражен, насколько одинаково мы живем, в Америке ли, на Украине или в России. На предприятии фактически отсутствует или не поддерживается набор правил, регулирующих безопасность в информационных технологиях (статья описывает только эту сторону безопасности на предприятии). Такое отсутствие правил называется «бардаком» (даже не анархией), в экономике же это малый бизнес.
Я (системный администратор в компании, которая продает и обслуживает оргтехнику и офисное оборудование) уже давно понял, что с помощью одних только приложений (пусть даже самых лучших) положение не исправить. Потому как все корни лежат в сути отечественного малого бизнеса (относительно универсальности этого вывода не берусь утверждать, поскольку в США малый бизнес — это не 100 сотрудников, а в 100 раз больше, возможно, поэтому и корни проблем у них другие).
Малое предприятие — это команда единомышленников? Увы, нет, если коллектив состоит более чем из трех человек. Этой командой уже нужно управлять. А между тем технологии взаимодействия нередко остаются прежними (их попросту нет, команда построена не на взаимодействии, а на взаимопонимании). Директор управляет сотней человек напрямую. Отдел кадров, как правило, отсутствует, отдел ИТ — тоже, хотя руководители этих направлений обязательно имеются. Кроме того, директор предполагает, что все сотрудники знают все его замыслы и план текущих мероприятий. Ему хочется, чтобы была команда.
Ответственность директора за свою собственность в условиях нашей динамичной и непредсказуемой экономики усиливает его уверенность в необходимости укрепления централизации власти. В итоге — никаких дополнительных полномочий руководителям среднего звена.
Внешняя нестабильность порождает внутреннюю. О строгих производственных взаимоотношениях речь уже не идет, сотрудники выполняют только свои прямые обязанности и указания директора, как правило устные (приказы и правила не успевают написать). О каких горизонтальных связях в этих условиях можно говорить? Что вы, все через генерального директора.
Предположим, что директор прекрасно понимает, что такое ИТ и их роль в жизни предприятия. Но сегодня он продвинутый, а завтра у него проблема с товарами, послезавтра — кризис с поставками материалов. А нужных полномочий начальнику отдела ИТ он не дал, руководителей остальных звеньев он не предупредил (скорее всего, забыл в суете или посчитал, что им достаточно услышать мнение директора из чужих уст, на кухне или в курилке).
Допустим, начальник отдела ИТ тоже продвинутый, но он занят клиентами (поскольку совмещает обязанности продавца), ему некогда. Есть исполнители на местах, например системный администратор. Но кто его слушает? Да и зачем, ведь директор сегодня не давал такого указания и никого еще не лишил за это премии. Вот и борется «временный поверенный за ИТ» в одиночку. Вы думаете, ему нужны приложения для отслеживания посетителей его сайта? Отнюдь! Он пытается защитить информацию и компьютеры, ему необходимо «защитное» (в частности, антивирусное) программное обеспечение, а не «следилки», которые помогают понять, что читают сотрудники.
Кто же прежде всего нарушает безопасность ИТ? Представьте себе, ждет наш сотрудник письмо от кого-то из своих контрагентов. Чем важнее сотрудник, тем важнее письмо. Обычный сотрудник не нервничает, а ответственный за закупки напрягается и в ожидании уже готов открывать любые вложения в письма, которые к нему приходят, не отслеживая имен и расширений вложенных файлов. Чем могу подтвердить? Последняя вирусная эпидемия (Novarg, Mydoom) затронула у нас немного ПК, но это были ПК не рядовых пользователей, а весьма продвинутых: так уж получилось, что эти вирусы у рядовых сотрудников остались в личном профиле и потом под влиянием соответствующих настроек самоликвидировались, а у продвинутых сразу же внедрились в систему.
Кому много дано, с того и спрос? К сожалению, нет. По иерархии менеджеры гораздо ближе к директору, нежели системный администратор, поэтому чувствуют даже не пренебрежение к последнему, а первоочередность своих задач — они должны решаться любой ценой. А отвечать? «Есть у нас системный администратор, он зарплату получает, пусть исправляет», — говорят менеджеры. И если антивирусная программа удалила «вредное» письмо (бывает, что с ним и папку), кто виноват? Догадайтесь!
Нужны ли мне приложения на основе Web-технологий, позволяющие следить за тем, чтобы сотрудники ознакомились с политиками безопасности? Нет, мне это совсем не нужно (хотя есть у меня такой сайт, и на нем опубликованы политики безопасности). Мне нужны программы, помогающие в работе мне, а не «счетоводу». Еще нужно немножко больше уважения со стороны директора, тогда отдел кадров и сайт просмотрит, и пришлет нового сотрудника ко мне на собеседование.
Не верю я в программное обеспечение как в панацею, но уповаю лишь на него, не вижу уважения к себе, но надеюсь, что оно появится.
Читатель, пожелавший не называть своего имени