Клерк.Ру

ТОП-7 причин из-за которых организациям не удается сохранить свои секреты

173

Даже если на предприятии действует режим коммерческой тайны, это не защищает ее руководство от утечки конфиденциальных данных в угрожающих масштабах. Особенно вопрос защищенности бизнеса становится очень актуален в период удаленной работы.

Согласно опросам сервиса поиска работы HH.ru, половина сотрудников так или иначе при увольнении забирает с собой конфиденциальные данные. Из них, 37% сообщили, что обязательно забирают данные о собственных разработках, 19% «заимствуют» уникальные методики, созданные в компании, 11% прихватывают клиентские базы. 9% продают информацию конкурентам. При этом, подавляющее большинство (до 80%) надеются, что похищенная информация поможет им на новом рабочем месте.

Что чаще всего используют для выноса данных и кто это делает

Самый популярный носитель для выноса данных — электронный. Это всевозможные флешки, флеш-карты, внешние жесткие диски, или даже память смартфона или планшета. Бумажные носители используются гораздо реже. Также теряет популярность способ пересылки данных по электронной почте ввиду простоты отслеживания.

Как следует из того же опроса HH, только пятая часть компаний предпринимает меры по защите информации — запрещает использование своих носителей, отключает USB-порты, пользуется облачными решениями, отслеживает электронную почту.

Чаще всего информацию выносят управленцы и юристы, согласно тому же опросу. Работник, который при увольнении присвоил конфиденциальную информацию, надеется на материальную выгоду от ее применения в ближайшем будущем.

Какие доводы используют сотрудники в суде

Если работодатель уличил работника (в том числе бывшего) в похищении или раскрытии данных, он обращается в суд. Чтобы оправдаться, сотрудники приводят различные аргументы в свою защиту. Вот пять основных доводов, которые сотрудники используют в суде:

  • На документах и информации не был указан гриф «Конфиденциально» (ст.10, п.1, п.п. 5 ФЗ-98);
  • Работник не был под роспись ознакомлен с внутренними регламентами по конфиденциальности и информационной безопасности (ст. 11 п.1 п.п.2 ФЗ-98);
  • Работодателем не были созданы необходимые условия для соблюдения им установленного режима коммерческой тайны (ст.11 п.1 п.п.3 ФЗ-98);
  • Сотрудник вообще не знал, что информация имеет конфиденциальный характер, доступ получил случайно, в связи с чем не может быть привлечен к ответственности (ст.14 п.4 ФЗ-98);
  • Работник не был ознакомлен под роспись с актами комиссий и с него никто не запрашивал объяснений (нарушение установленных законом сроков расследования).

Важно: если работодатель подтвердит факт защиты конфиденциальной информации, все эти доводы суд отклоняет.

Почему происходит утечка? ТОП-7 причин

Утечка конфиденциальной информации происходит чаще всего по этим причинам:

  1. Использование внешних носителей для данных — USB-флешки, внешние HDD, SSD, другие носители (CD, DVD).
  2. Стремление к мобильности. Ноутбуки, планшеты, смартфоны теряются и похищаются в огромных количествах во всем мире.
  3. Пренебрежение внутренними регламентами по работе с информацией. Это работа со входящей корреспонденцией, порядок доступа к информации, порядок ее хранения и использования, порядок уничтожения. Например, документы содержащие подписи и печати, а также коммерческую тайну, не измельчают на шредере, а выбрасывают в мусорное ведро.
  4. Пренебрежение внутренними правилами информационной безопасности. К примеру, работник дает другому человеку доступ к своему компьютеру или аккаунту в системе, логин и пароль, чтобы найти и отправить файл, или оставляет всю информацию на мониторе, уходя на обед.
  5. Невнимательность. Самое частое — забыли документы в кафе, на рабочем месте другого сотрудника, такси, или просто в сканере / копире. Бывают ошибки в адресе электронной почты получателя.
  6. Передача офисных ПК или серверов сторонним службам в ремонт или на списание. Любопытный мастер или новый владелец старенького ноутбука может найти много интересного, даже при удалении информация не всегда исчезает полностью.
  7. Ошибки в правах доступа или избыточное раскрытие информации в официальных источниках. Такое случается даже с крупными базами. Админ случайно дает права доступа и обычные пользователи с удивлением узнают, что могут посмотреть удаленно папки какого-нибудь министерства. Обычно такие утечки быстро находят и перекрывают, но не всегда. Особенно, если они не столь очевидны. В публикацию на сайте или официальной странице в соцсети тоже могут попасть лишние сведения. К примеру, к публикации может быть прикреплен вместо одного документа другой, содержащий конфиденциальную информацию или персональные данные.

Что же делать?

Вот какие правила необходимо соблюдать, чтобы минимизировать риски утечки конфиденциальных данных и их попадания не в те руки:

  • Система информационной безопасности должна быть предупреждающей, т.е. работать не на устранение подобных неприятностей, а на их предотвращение;
  • Внедрить регламенты и положения по работе с документами и информацией на всем их жизненном пути и установить контроль за соблюдением регламентов;
  • Ознакомить работников с внутренними регламентами и наличием систем мониторинга под роспись;
  • Проводить инструктаж и аттестацию работников минимум раз в полгода, причем не формально, а реально;
  • Информировать сотрудников о том, какие меры по инфобезопасности предпринимаются и какие последствия для них могут быть (можно вручить сотрудникам памятки и листовки на эту тему);.
  • Установить персональную ответственность начальника каждого структурного подразделения за несоблюдение требований и правил по инфобезопасности;
  • Обеспечить в организации систему мониторинга за действиями работников;
  • Проводить плановый и внеплановый аудит соблюдения требований по конфиденциальности;
  • Внедрить системы учета мест хранения и использования документов и электронных носителей;

Информационная безопасность не должна находиться в ведении ИТ — службы!

По поводу последнего вспоминается бородатый анекдот, когда на взлом системы безопасности одного банка потратили пять минут. Из них четыре минуты — на привязывание к стулу системного администратора.

Кто поможет?

Компания Делис Архив оказывает полный спектр услуг по обеспечению защиты документов и конфиденциальной информации:

  • разрабатываем подходы и методики организации безопасной работы с документами индивидуально для каждого клиента;
  • поможем предотвратить доступ к бумажным документам извне;
  • конфиденциально уничтожаем все виды носителей данных;
  • сокращаем до 5 раз операционные затраты на всех этапах работы с документами;
  • проводим и организуем архивную обработку документов;
  • выявляем и устраняем проблемные места в документообороте (утрата документов, неэффективность, нестабильность, отсутствие преемственности);
  • проконсультируем и организуем работу по созданию корпоративных центров по сканированию и индексации документов;
  • разработаем необходимые положения, инструкции и регламенты.

 

Пост написан компанией
Это авторский материал. Мнение редакции «Клерка» может не совпадать с тем, что в нем написано.
Создайте свой блог, и аудитория «Клерка» о вас узнает
Создать блог