30 дек. 2007 г.

Берегись коллеги своего!

В Омске появился новый вид услуг — бизнес-разведка. Предоставляет её только одно частное агентство, работники которого заверяют, что за умеренную плату смогут узнать всё не только о ваших конкурентах, но и о подчиненных.

«По конкретному работнику мы можем предоставить заказчику практически любую информацию, — рассказала Юлия Васильевна, директор развед-агентства. Фамилию Юлия назвать отказалась, ссылаясь на необходимую в ее деле конфиденциальность.


Тотальная слежка?

Итак, чем же занимается шпионское агентство? Бизнес-разведчики, по их словам, могут отследить деятельность любого работника предприятия (при условии, что его рабочее место технически оборудовано).

— Существуют программы, которые устанавливаются на компьютер, — рассказала Юлия Васильевна. — Работодатель, имея доступ в Интернет, несколько раз в день получает отчет о том, чем занимался его сотрудник. В документе могут содержаться сведения о переписке сотрудника — на какие адреса и что он отправлял, с кем и о чем общался по ICQ, подключал ли к компьютеру какие-нибудь устройства и сколько сидел на рабочем месте.

— Скажите, а все это этично и законно? — поинтересовался я.

— А вам не кажется неэтичным, когда коммерческая тайна уплывает через сотрудников к конкурентам или когда сотрудник в Интернете болтает? — возмутилась в свою очередь Юлия. — Я не могу сказать, какими методами мы пользуемся, поскольку это наша коммерческая тайна, но заверяю, что ничем незаконным мы не занимаемся.

По мнению главы омского шпионского ведомства, иным сотрудникам даже полезно знать, что за ними наблюдают. Дескать, у человека отбивается охота заниматься не своими делами. И курить, к примеру, он будет реже.

— Кого-то это, конечно, может мотивировать. Но, на мой взгляд, только в одном случае из трех. Вероятность того, что люди будут переживать стресс, все-таки больше. Подобные действия однозначно негативно влияют на характер работы сотрудника, — прокомментировал вопрос о «рабочей» слежке Николай Чередов, психотерапевт высшей категории. — Вообще, насколько я знаю, это нарушение всяких конституционных прав. Действия по отслеживанию контактов человека в нашей стране допустимы только с санкции прокурора. Разве не так?

Круговая разведка

Но деятельность агентства только слежкой за работниками не ограничивается.

— Перечень услуг у нас очень большой, — рассказала Юлия. — Это и конкурентная разведка, и выявление каналов утечки информации на предприятии, и имиджевая безопасность компании, и проверка благонадежности партнера.

Примечательно, но деловые разведчики ни в грош не ставят собственные службы безопасности различных предприятий. Юлия уверяла меня, что эти службы не способствуют сохранению секретных сведений и работают не очень-то инициативно. Несложно догадаться, что у омских бизнесменов другой взгляд.

«Получение информации о потенциальных работниках, по-моему, вполне оправданно, — пояснил Сергей Муратов, директор филиала одного из крупнейших омских сотовых операторов. — Поскольку, принимая сотрудника, логично было бы поинтересоваться, насколько то, что он рассказывает о себе, совпадает с тем, что он представляет на самом деле. Но с этой задачей обычно без труда справляется собственная служба безопасности, которая есть в большинстве крупных компаний.

Что же касается отслеживания того, чем занимаются сотрудники в рабочее время, то здесь нужно смотреть глубже. Если у работника есть время, чтобы «зависать» на развлекательных сайтах и болтать по ICQ — значит, в компании неправильно выстроены бизнес-процессы. И никакие программы-шпионы тут уже не помогут».

Бизнес-разведчики соглашаются далеко не на каждый заказ, и, перед тем как согласиться, они проверяют и того, кого заказывают, и того, кто… заказывает. Так что стоит хорошенько подумать, перед тем как начинать вызнавать, что творится у конкурентов.


http://omsk.aif.ru/issues/403/10_01


А, например, про то как ICQ становится предателем лучше почитать у Ющука Евгения Леонидовича.

За дверью — служба внутренней безопасности

Андрей Грузинский, РосЕвроБанк


Есть элемент банковской безопасности, который виден сразу, с порога. Запрограммированный пропуск посетителей центрального офиса, двери на электронных замках, девушка, прикладывающая свою магнитную карту к считывателю, даже если вы открыли дверь своей карточкой и пропускаете её вперед. Но есть и другая, скрытая от постороннего взгляда сторона работы «безопасников». О ней мы расспросили сотрудников РосЕвроБанка — директора департамента безопасности Андрея Грузинского и начальника управления информационной безопасности Юрия Лысенко.

Управление информационной безопасности РосЕвроБанка организационно подчинено департаменту безопасности, и за любой инцидент в данной сфере отвечать перед руководством всего банка в первую очередь будет директор департамента безопасности Андрей Грузинский. Это типичная схема работы подразделений информационной безопасности в российских компаниях.

«Молодость нашей банковской системы напрямую влияет на службу безопасности банка, — говорит Андрей Грузинский. — По разумной причине: вложения в подобные мероприятия в сегодняшних российских условиях не оправдываются выгодами от успешной их реализации. На растущем рынке, которым сегодня несомненно является банковский сектор, вложения в дорогостоящие разведывательные мероприятия с применением сложных технических средств попросту не окупаются. Зародившийся в России около пятнадцати лет назад рынок коммерческих банков еще долго будет ненасыщенным и растущим, места на нем точно хватит как минимум на десятилетие. При этом сейчас нельзя даже сказать, что сегменты клиентов разных банков так уж сильно пересекаются.

Для нас это значит, что в документах, регламентирующих работу отдела информационной безопасности, коммерческую разведку можно ставить отнюдь не на первое место». Юрий Лысенко добавляет: «Чисто технические аспекты информационной безопасности, такие как вирусные атаки, бывшие основным фактором риска пять-семь лет назад, теперь также отошли на второй план, потому что окончательно стали рутинными, регламентированными и перешли в ведение управления информационных технологий».

Наши собеседники считают, что текущий, более цивилизованный, чем коммерческая разведка, вариант борьбы за конкурентные преимущества — это попытки «перекупить» управляющих верхнего звена. Правда, как показывает их опыт, люди такого ранга, если у них есть реальная возможность выбирать место работы, больше руководствуются уже не финансовой стороной дела, а атмосферой и традициями конкретной компании. «Разница в исторически сложившихся стилях работы и уникальности каждого банка. Если топ-менеджер после перехода в другую организацию и использует свой предыдущий опыт, то в основном это будут навыки менеджмента, а не передача коммерческих секретов конкурентам», — поясняет Андрей Грузинский.

Итак, технические системы защиты уже не находятся в центре внимания службы безопасности банка, далеко не на первом месте и такая политика, как коммерческая разведка или потенциальная перекупка управленцев верхнего уровня, которые меняют работу в среднем трижды за десятилетие… В таком случае где же сегодня фокус?

По словам Андрея Грузинского, в списке самых значительных для деловой репутации угроз в банковской сфере лидируют утечки конфиденциальной информации через руководителей среднего звена. «Если человек из управленческой верхушки банковской среды, где все друг друга хорошо знают, пожелает воспользоваться своей должностью, то в дальнейшем, даже оставшись чистым перед законом, он может просто попасть в профессиональную изоляцию», — замечает Андрей Грузинский. Амбициозным же сотрудникам на менее высоких должностях, поставившим перед собой цель сменить место работы с повышением, такой ход вполне может удаться. По оценке наших собеседников из РосЕвроБанка, чувствительная информация чаще уходит не через высшее руководство и близких к нему людей, которые для этого слишком дорожат своим реноме, и не через рядовых сотрудников, у которых при нормальной защите информационных систем просто нет этих данных, а через руководителей уровня среднего звена.

«В случае таких инцидентов риски для банка в основном репутационные, так как если оценить финансовую сторону потери, то уход, допустим, даже очень профессионального опытного клиентского менеджера может привести к потере клиентской базы на уровне 5%, не выше, — считает Андрей Грузинский. — Если с финансовой точки зрения подобную потерю банк легко может пережить, то для его репутации крайне важно, чтобы и коллеги, и клиенты были уверены в том, что информация о них не проникнет за пределы автоматизированной банковской системы и истории кредитных операций их банка».

Борьба с риском, выделенным РосЕвро­Банком в качестве основного, начинается уже на этапе приема новых сотрудников на работу. К собеседованию с ними после отдела кадров подключается департамент безопасности. Внимание уделяется самым разным факторам — это и трудовая книжка человека (как часто кандидат менял работу и по каким причинам), и отзывы с предыдущих мест. При этом речь идет обо всех потенциальных новых сотрудниках, в этом смысле банк не ограничивается управленцами среднего звена. Через проверку проходят все, но от должности, на которую претендует кандидат, зависит, кто из департамента безопасности будет заниматься его делом. С трудовой историей человека, желающего попасть на тот или иной пост в высшем руководстве банка, работает директор департамента безопасности.

Это не единственная точка соприкосновения «безопасников» с кадровой службой. «При приеме на работу сотрудники проходят обучение в онлайн-системе, проходят собеседование с сотрудниками управления информационной безопасности по вопросам защиты банковской коммерческой тайны и работе с персональными данными, сдают соответствующие экзамены, — рассказывает Юрий Лысенко. — Затем мы периодически проверяем, как соблюдаются требования информационной безопасности в центральном офисе и в отделениях».

Проект по улучшению информационной безопасности начался в банке почти два года назад. Год потребовался на то, чтобы все поняли необходимость формализованных правил информационной защиты. В планах стоит задача пройти сертификацию в Центральном Банке по стандарту СТО БР ИББС-1.0—2006.

Из нерегулярных способов контроля, по словам Юрия Лысенко, применяются такие, как неожиданный визит на рабочее место сотрудника в его отсутствие. Если такая проверка обнаружит незаблокированный компьютер, то самое «забавное», что может ждать его владельца, — это отправленная из его же почтового клиента жалоба непосредственному руководителю на забывчивого подчиненного. Во всех филиалах существуют собственные региональные службы безопасности, контролируемые центральным офисом, который организует внезапные проверки, командируя своих ревизоров в филиалы без предупреждения. Региональные кредитно-кассовые офисы работают в РосЕвроБанке по принципу тонких клиентов, пользуясь мощностями центрального офиса через VPN по общедоступной сети и не храня чувствительную информацию на собственных ресурсах.

Автор: Денис Легезо

http://www.iemag.ru/articles/detail.php?ID=6371