четверг, 5 апреля 2012 г.

Стоит ли открывать письма сотрудников?


Очень хотелось отделаться глубокомысленным молчанием о выдающимся пресс-релизе компании SearchInform, но не дали…

Ну, для начала, то, что там описано, IMHO, незаконно. Обоснование здесь и здесь. Ну, нет такой бумаги отменяющей конституцию. Не получается в отдельно взятой организации ввести рабство…

Опустим юридическую сторону вопроса и попробуем рассмотреть, как все это влияет на безопасность компании в целом? Я, до разумных пределов, являюсь сторонником теории разбитых окон, да простят меня психологи.

И так предположим, в компании ООО «Х» DLP система ловит, одного из ведущих сотрудников на переговорах с прямым конкурентом о трудоустройстве. Сотрудника вызывают в СБ компании и, показательно или не очень, но «учат любить Родину». Так или иначе, инцидент становится известен в компании. Посмотрим на последствия.

Принципиально есть три сценария развития событий:
1. Сотрудник идет в прокуратуру, суд или в РКН.
2. Сотрудник все таки переходит к конкуренту, что называется явочным порядком.
3. Сотрудник остается в компании.

В первом случае мы имеем, как минимум разбирательство со стороны правоохранительных органов с непонятными перспективами. В лучшем, для компании, случае дело просто не открывается по причине непонятности предмета для следственного органа. В худшем случае имеем уголовное дело по ст. 138 УК. Где-то в середине маячит проверка РКН на предмет исполнения ЗОПД. Даже по легкому сценарию есть некоторое неудобство для компании… Я так подозреваю, что сотрудник в этом случае все равно не уживется в компании, т.к. находится в состоянии конфликта с СБ и руководством. Короче сотрудник, через определенное время увольняется. При этом надо понимать, что в то время, которое он работает, он имеет доступ к КТ компании и увольняется со свежим информационным срезом. Все это происходит с хорошим информационным выхлопом, который демонстрирует не в лучшем свете СБ с их политикой безопасности и режимом коммерческой тайны.

Во втором случае, сотрудник пишет заявление по собственном желанию и прощается с компанией в этот же день. Уходит так сказать оскорбленный и с гордо поднятой головой, опять таки со свежим информационным срезом. Пытаться заставить человека отработать в соответствии с ТК положенные две недели в этой ситуации явно не разумно… Беспомощность СБ и отсутствие стимулов соблюдать ПБ здесь очевидны всем, даже уборщицам.

При этом следует отметить, что в обоих случаях оскорбленный сотрудник будет считать, что у него есть моральное право использовать КТ фирмы.

В третьем случае, сотрудник остается работать в компании, но здесь возникает вопрос доверия к сотруднику со стороны компании, а так же эффективности данного сотрудника после инцидента. Ситуация становится интереснее, если в процессе принимает участие HR или по-русски отдел кадров, который пытается «застимулировать» сотрудника различного рода плюшками. Понятно, что инцидент не останется без обсуждения в курилках и при неформальном общении между сотрудниками компании. Не берусь предсказать какое отношение будет коллег к этому сотруднику, но вариант с негативным отношением исключить нельзя. Думаю, что в данном случае можно утверждать что весьма вероятно увольнение нашего  героя в течении года, опять таки со свежим информационным срезом…

Однако, более важными, для меня являются последствия инцидента для корпоративной безопасности. Мы все знаем, что для компании важно, что бы информационная безопасность стала частью корпоративной культуры (Уровни зрелости СОИБ организации). Практически во всех вариантах СБ демонстрирует отсутствие возможностей для сколь ни будь серьезного наказания «нарушителя». Проблемой в данном случае является то, что у сотрудника уже есть мнение, что он имеет «парашют» в виде предложения конкурента, плюс вся эта шумиха с СБ и кадрами во круг его скромной персоны добавляет не только нервозности и его негативного отношения к компании, но и укрепляет уверенность сотрудника, в том что он знает СЕКРЕТ, который можно продать. В таких условиях задача обеспечения обязательности соблюдения другими сотрудниками требований политики безопасности становится на порядок  сложнее.

Хочу напомнить, что практически любой современный стандарт предполагает работу с пользователями после инцидента направленную на поддержание безопасности в компании на уровне до инцидента. При инцидентах связанных с инсайдом довольно сложно отрабатывать этот раздел.


И это мы не рассмотрели риски компании связанные с перлюстрацией корреспонденции конкурента. ;)


Так стоит ли открывать этот ящик Пандоры это злосчастное письмо? Или разумнее сразу этот вопрос скинуть на HR выводя из зоны ответственности СБ? В конце-концов при введённом режиме КТ увольнение любого работника не должно быть инцидентом ИБ.

P.S. Да, я знаю, что корни вопроса в несовершенстве законодательства. Баланс прав организации-работника сильно завален в сторону работника. И у нас не все в порядке с интеллектуальной собственностью и защитой КТ. Но в текущем раскладе я бы очень аккуратно подходил к вопросу перлюстрации корреспонденции.

5 комментариев:

  1. 1. Личных почтовых ящиков на работе не должно быть в принципе, запрещено документально и, в идеале, технически , только служебные - законность перлюстрации соблюдена. Может конечно это сделано с целью контроля лояльности, тогда провокация. Блин, сейчас такие мобильные гаджеты, что непонятно зачем использовать свой ящик через почтовик фирмы.
    2. Два варианта: а) в случае запрета использования личной почты - наказать/уволить за нарушение именно этого запрета, а не за содержание переписки - типа что внутри мы не знаем и не смотрели, но сам факт - ай-я-яй. Уволить конечно чревато судом и восстановленим.
    б) не афишируя инцедент создать работнику "комфортные" условия для увольнения по собственному желанию.

    ОтветитьУдалить
    Ответы
    1. Поправьте если не прав, но, используя "информационные ресурсы компании в личных целях", я нарушаю внутренний документ и получаю за это дисциплинарное взыскание. А вот организация, намеренно просматривая мою личную корреспонденцию, нарушает все-таки конституционное право.

      Если я перехожу улицу на красный свет, значит ли это, что водитель не должен пытаться снизить скорость или как-то иначе избежать столкновения?

      Удалить
    2. В рассматриваемом примере, сотрудник уже что говориться не выходе - ведет переговоры с HR конкурента. ;)
      По поводу всего остального - смотрим Конституцию РФ:
      Ст. 23 ч. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

      Здесь нет понятия тайны личной переписки, как нет понятия корпоративной. Любая без исключения переписка охраняется законом. ;) Как-то так.

      Удалить
    3. У меня скорее вопрос, чем комментарий. Нельзя ли в компании ставить фильтры на корпоративные аккаунты сотрудника, то есть, все то, что не касается проектной работы(это относится скорее к рабочему персоналу, а не менеджерам) блокировать? А все то, что касается работы с клиентами(и мало ли кто может написать или позвонить), здесь без ограничений, но все же, на мой взгляд, просмотр переписки без разрешения - это нарушение прав человека, мне кажется, здесь компания, действительно, может огрести за такое нарушение, если возможность просмотра почты не прописана втрудовом договоре.

      Удалить
    4. 2 Евгений: Этим может заняться DLP. Просто в рассматриваемом примере применение не правильное.

      Удалить