Бизнес-этика при использовании средств ИБ
Работников очень даже можно понять: кому же приятно, когда собственный начальник выражает недоверие, организуя «слежку» за собственными подчиненными посредством внедрения DLP-системы? Очевидно, что DLP может восприниматься именно как инструмент слежки, хотя на самом деле у неё совсем другие функции и задачи.
Поэтому многие компании предпочитают не афишировать деятельность, которую они ведут в рамках обеспечения собственной информационной безопасности. С одной стороны, это, конечно, снижает недовольство среди сотрудников, которые просто не в курсе того, что работодатель осуществляет мониторинг их деятельности. С другой — когда DLP-система находит кого-то из сотрудников, занимающегося инсайдерством, появляется очень много вопросов о том, как наказать такого сотрудника, сохраняя работу DLP-системы в тайне и далее.
Таким образом, в долгосрочной перспективе, возможно, более правильно всё-таки поставить в известность сотрудников о работе DLP-системы. Но сделать это нужно так, чтобы у персонала не возникло внутреннего отторжения. Добиться подобного результата можно, если объяснить всю важность обеспечения информационной безопасности для всей компании. Инсайдер является врагом для всего коллектива сотрудников, и именно это необходимо постараться донести до всех них. «Безопасность – залог общего успеха» — именно так можно выразить основную идею этической линии в общении с работниками.
Вообще, для хорошего «безопасника» большая часть сотрудников будет, как минимум, заподозрена в возможной деятельности, подрывающей информационную безопасность компании. Однако руководство компании такую подозрительность разделять не должно, потому что в противном случае вместо успешного бизнеса можно построить самую настоящую тюрьму.
Об уважении к партнерам
Впрочем, об этическом аспекте необходимо помнить не только в разрезе коммуникации компании с собственными сотрудниками. И клиенты, и партнеры – это также стороны, которых непосредственно касаются вопросы обеспечения информационной безопасности в компании. Один из основных принципов современной бизнес-этики – проявление компанией уважения ко всем, чьи интересы затрагивает её деятельность. Поскольку каждый бизнес сегодня имеет дело с большим количеством различных данных, то обеспечение безопасности этих данных – это не только законодательное требование, но и вопрос соблюдения бизнес-этики.
С этой точки зрения наличие в компании DLP-системы является необходимым условием построения этичного бизнеса. Ведь любую утечку своих данных клиенты и партнеры компании вполне справедливо расценят как наплевательское отношение к себе со стороны компании, допустившей такую утечку. Таким образом, репутация компании как надежного и этичного игрока рынка будет безнадежно испорчена.
Между прочим, то же самое, в определенной мере, справедливо и в отношении сотрудников: они тоже вряд ли обрадуются тому, что их данные утекают из компании куда-то на сторону. Поэтому внедрение DLP-системы является этичным по отношению к сотрудникам поступком, и это тоже обязательно должно фигурировать в разговорах руководства, связанных с обеспечением информационной безопасности компании.
О важности разъяснительной работы
Стоит также отметить, что среди работников необходимо провести разъяснительную работу, чтобы они не считали, будто контроль их рабочей деятельности нарушает конституционные права человека, в частности, право на личную переписку. Надо обозначить, что в рабочее (то есть, оплаченное работодателем время) сотрудник использует корпоративные ресурсы (технику, интернет и прочее) только для рабочих же задач. А использование всего этого для своих личных задач является правонарушением, и работодатель просто контролирует использование работником ресурсов работодателя. Поэтому если сотрудник не будет вести с рабочего места личную переписку, то и никакие его права никак не могут быть нарушены.
Таким образом, бизнес-этика при использовании средств информационной безопасности – это, прежде всего, забота о неразглашении данных как клиентов и партнеров, так и сотрудников компании, плюс ответственное использование имеющихся у компании средств обеспечения информационной безопасности. Понимание этого позволит вам выстроить систему безопасности в компании, не нарушая отношений с собственными сотрудниками.