Вы здесь

Инсайдерские угрозы: как защитить свою компанию

Как обезопасить компаний от инсайдерской угрозы

Каждый думает, что плохое может произойти с кем угодно, но только не с ним. Однако никто не застрахован от жулика-сотрудника, негативных отзывов о компании в сети, слива информации конкурентам или от недобросовестных поставщиков. Правильный подход к защите компании от внутренней угрозы может свести риски к минимуму.

Политика безопасности и разработка протоколов

Итак, вы владелец компании или начальник службы безопасности. Первое, что нужно сделать, — это, конечно же, внимательнее относиться к нанимаемому персоналу. Если же штат уже укомплектован, нужно посвятить время и составить свод правил, призванных защитить вашу компанию от нежелательных действий со стороны персонала. Позже — донести до каждого из сотрудников эти правила и подписать соответствующее соглашение. Нечего нельзя пускать на самотёк, ничего не должно быть «по умолчанию». Каждое действие, которое вы считаете угрозой изнутри компании, должно быть озвучено и доведено до сведения персонала.

Помимо правил, нужно расписать и систему наказаний — от дисциплинарного взыскания до принудительного увольнения. Система штрафов тоже должна быть максимально четко сформулирована и понятна. И еще. Раз уж составляете свод правил и наказаний, позаботьтесь о том, чтобы самому следовать им и выносить взыскания без применения двойных стандартов. Ведущий менеджер ничем не лучше грузчика со склада.

Представьте себе аэропорт. Сколько там этапов по обеспечению безопасности предусмотрено, и каждый из этих этапов прозрачен, озвучен сотрудниками аэропорта. И обязателен к исполнению всеми без исключения. Точно так же должны действовать и вы — максимальная информированность повысит степень самоконтроля со стороны персонала и поможет избежать недопонимания и увольнений.

Многоступенчатая система безопасности

Самый удачных способ защитить свою компанию от нежелательных действий сотрудников — продумать многоступенчатую систему обороны. Должен быть протокол, в котором бы прописывалась система действий службы безопасности, если один из предыдущих уровней был нарушен.

Большинство ваших сотрудников — это честные и трудолюбивые люди, но среди них могут оказаться такие, которые захотят намеренно навредить вашему бизнесу или сделать что-то противозаконное (с точки зрения вашей компании) из самых лучших побуждений или из личных представлений о справедливости. Нужно свести возможный урон к минимуму. Прорвавшись на одном этапе, вредитель должен застрять на втором, в этом случае урон будет минимальным.

Ограниченный доступ к серверам

Еще один способ защитить предприятие от инсайдерской угрозы — ограничить доступ к серверам компании. Для защиты можно использовать как обычные дверные замки, так и новейшие технологии, которые помогут усложнить доступ к вашим данным и сетевым ресурсам. Контроль доступа к сети поможет составить четкое представление, кто и для чего пользуется сетью и совпадают ли действия сотрудников с их непосредственными функциональными обязанностями.

Внутренняя проверка

Прежде чем дать тому или иному сотруднику доступ к данным компании, уделите ему несколько больше времени, нежели просто знакомство с резюме. Как минимум, затребуйте справку об отсутствии судимости. Второй шаг — личная беседа с будущим работником. В процессе разговора вы поймете, что сам сотрудник считает важным, о чем говорит охотно, а о чем предпочитает умолчать, и сможете составить психологический портрет кандидата на должность.

Вопросы, которые помогут многое узнать о кандидате:

  • Почему вас уволили с предыдущего места работы? (вероятно, это было решение самого кандидата, но если его «попросили» уйти, он может об этом проговориться).
  • Что интересного может рассказать о вас предыдущий работодатель?
  • Что вас не устраивало на предыдущей должности и почему вы думаете, что у нас будет иначе?

Мониторинг сетевой активности

Мониторинг сетевой активности очень важен, так как он говорит о привычках и поведении сотрудников. Если вы обращаете внимание, что работник работает с данными в несвойственное для него время работы, то стоит присмотреться к нему повнимательнее.

Систематические тренинги и проверки знаний правил безопасности

Сотрудники должны осознавать, что для вашей компании безопасность — не пустой звук. А для этого нужно постоянно им напоминать разработанные вами правила, проводить планерки, тренинги и тестирования. Компания должна поощрять изучение правил поведения в офисе и использования данных. Регулярные занятия и семинары, в которых прорабатываются модели поведения при тех или иных угрозах, позволят недобросовестным сотрудникам понять, что руководство серьезно относится к внутренней безопасности, имеет представление о возможных угрозах и готово жестко бороться с нарушителями.

Похожие статьи