Всё течёт, всё меняется. К чему только не применяли фразу основателя диалектики Гераклита Эфесского, и везде она была к месту. Что ж, настал и наш черёд. К ротации кадров, на мой взгляд, это высказывание подходит как нельзя лучше. Ведь недаром даже сам процесс «смены поколений» сотрудников в народе именуется «текучка». Если обратиться к наблюдениям различных психологов и рекрутинговых агентств, окажется, что «в среднем» человек меняет работу раз в 2-3 года. И хоть особого доверия ко всяким «средним температурам по больнице» я не испытываю, здравое зерно в этих цифрах есть. Часто меняет работу тот человек, который не определился, чем же он хочет заниматься в дальнейшем. Как правило, к такому типу работников относятся студенты и молодёжь лет до 30. Сначала ищут там, где хлебно, и только со временем приоритеты смещаются в сторону стабильности и комфортных условий труда.

Причин ухода сотрудников не так много. Кто-то вырос в профессиональном плане и не видит перспектив на нынешнем месте, кто-то понял, что занимается не тем, чем хочет, а кто-то стал тягостен самой компании и вскоре будет уволен. Но к сожалению, каким бы путём ни происходила ротация кадров, её всегда сопровождает ряд проблем, которые необходимо решать. Об одной из них, проблеме утечки информации, мы и поговорим ниже.

До

Но прежде, чем начинать предпринимать какие-либо действия, нужно чётко представлять, какие последствия могут ожидать компанию при уходе сотрудника. «Минимальный набор» набор состоит из четырёх пунктов:

• Запуск административной машины. Для правильного увольнения необходимо выполнить ряд формальностей и процедур, которые прописаны в трудовом законодательстве. А это как минимум временнЫе затраты на «бумажки».
• Нераспределённая работа. После ухода человека всегда остаётся определённый объём работы, которую он выполнял. В итоге, увольнение приводит к росту загруженности коллектива, что ведёт к снижению эффективности их работы.
• Поиск замены увольняющемуся. Особенно если уход неожиданный. Да, предупреждать за две недели (месяц, год) сотрудники должны, но ситуация сильно от этого не меняется. Кроме того, равноценную замену подобрать вряд ли получится. К тому же часто из-за срочности берут кого-то «по блату», а это, как известно, не лучшее решение. Но только на этом трудности не заканчиваются. Новичку понадобится время на «акклиматизацию». В этот период он особенно уязвим для чужого влияния, так как не знает ни корпоративной иерархии, ни особенностей работы.
• Риск утечки информации. Здесь всё зависит от того, кто именно покидает коллектив. Очевидно, топ-менеджмент знает куда больше, чем рядовой сотрудник. Поэтому и риск, и меры для снижения этого риска варьируются в зависимости от ситуации.

Последний пункт рассмотрим подробнее.

Уход «топа»

Как уже было сказано выше, чем выше должность у человека, тем больше риск утечки информации, который может последовать после его увольнения. Именно поэтому «топов» увольняют не просто, а «с почестями». Самый простой подход называется «золотой парашют» и его суть заключается в «покупке» молчания за реальные деньги. В качестве «благодарности» за молчание топ-менеджеру может отходить даже имущество, выданное в служебное пользование (автомобиль, квартира и т.п.). Однако гарантировать результат этот подход вряд ли может.

Поэтому он эволюционировал в более интеллектуальную услугу, получившую название аутплейсмент (от англ. «outplacement» - трудоустройство уволенных). Её смысл заключается в ряде мер, направленных на снижение негативных последствий для сотрудника, связанных с потерей работы. При этом различают два вида «заказного» увольнения: массовый и индивидуальный. Первый используется, когда необходимо сразу уволить большое количество человек (15 и больше). В этом случае организуются групповые психологические тренинги, людей учат правильно составлять резюме и уверенно чувствовать себя на собеседовании. Второй же больше нацелен на топ-менеджмент и ценных специалистов. При индивидуальном подходе редко можно встретить типовые сценарии и стоимости, так как речь идёт не просто о последующем сохранении лояльности к компании. Тем не менее, можно выделить один алгоритм, который применяется довольно часто. Его суть заключается в том, чтобы «заказанный топ» сам принял решение об увольнении. Для этого агентство, занимающееся процедурой, исследует рынок в поисках предложений, на которые может согласиться «жертва», организовывает ей звонок и сообщает, что существует несколько интересных вакансий, на которые она может претендовать. После этого список будущих возможных мест согласовывается с «заказчиком», так как важно, чтобы топ-менеджер не попал к конкурентам. Наконец, организовываются собеседования с заинтересованными в новом сотруднике компаниями.

Хорошо, когда аутплейсмент проводится и для рядовых сотрудников. Тем не менее, как гласит народная мудрость, доверяй, но проверяй. Поэтому при расставании с кадрами не стоит забывать о следующих действиях:

• Выяснить причины, побудившие сотрудника к уходу.
• По возможности, выяснить будущее место работы. Очевидно, что если работник собирается перейти к конкурентам, с ним необходимо ещё раз отдельно обсудить соглашение о неразглашении.
• Установить степень лояльности к компании. Помните, обиженный сотрудник – опасный сотрудник.
• Установить объём известной ему информации, и в первую очередь конфиденциальной.
• На основании полученных данных определить возможные риски, связанные с разглашением информации и минимизировать их.

Антракт

На этом предлагаю завершить первую часть. Во второй части будет рассмотрена ситуация с увольнением сотрудника по инициативе компании, действия в этой ситуации, а также практическая реализация алгоритма действий на примере DLP­-системы. Также отдельное внимание будет уделено ряду действий post-периода (отслеживание появления в сети порочащей информации о компании, общение уволенного сотрудника с бывшими коллегами и т.д.).

В первой части нами были рассмотрены ситуации «полюбовного» расставания сотрудников со своей рабочей Alma Mater. Однако картина мира была бы не полной, если бы не был рассмотрен более распространённый сценарий: увольнение сотрудника по инициативе компании. Этим и займёмся.

Обратимся к исследованию, проведённому Ponemon Institute в 2009 году. Согласно результатам опроса почти 60% сокращенных или уволившихся в 2008 году в США работников заявили, что перед своим уходом воровали конфиденциальную информацию. Примечательно, что 61% признавшихся (то бишь, 36% от общего количества) в качестве основного мотива назвали чувство неприязни по отношению к бывшему работодателю.

Конечно, формировать чувство лояльности у коллектива – задача HR-службы (в крайнем случае, PR-службы), но никак не безопасника. Тем не менее, вне зависимости от качества их работы, увольняемый должен быть в зоне особого контроля службы безопасности. Нетрудно догадаться, что увольнение сотрудника по инициативе компании изначально предполагает конфликт, а говорить о дальнейшей лояльности человека к организации и вовсе неуместно. Кроме того, даже плохого работника не так просто уволить. Перечень оснований чётко прописан в соответствующих статьях законодательства, но всё равно любую причину ещё необходимо доказать и обосновать. Но допустим, что все юридические формальности удалось соблюсти, а значит, самое время задуматься о безопасности. Порядок действий, в принципе, схож со случаем «полюбовного расставания», хоть и немного расширен. Итак, увольняя сотрудника необходимо:

• Определить известный работнику объём информации, и в первую очередь конфиденциальной, к которой он имел доступ. Отдельно следует проверить не была ли она испорчена\уничтожена сотрудником в качестве «дембельского аккорда».
• На основании полученных данных провести ревизию носителей информации и оборудования, к которому работник имел доступ, а также провести беседу на предмет соглашения о неразглашении.
• Определить возможные риски, связанные с разглашением информации и минимизировать их.
• Определить круг коллег, с которыми увольняемый водил дружеские отношения.
• Провести профилактическую беседу с персоналом о недопустимости обсуждения рабочих вопросов с бывшими коллегами.
• Поставить в известность всех сотрудников компании, а также клиентов, с которыми работал увольняемый, о том, что он больше не является представителем фирмы.
• После увольнения организовать мониторинг Сети на предмет появления порочащих отзывов о компании и конфиденциальной информации.

Вот так выглядит теория. И хоть практического смысла в ней больше, чем в обычных «советах», ещё со времён преподавания физики я усвоил, что всегда лучше приводить практические примеры. А вот и они.

Практический подход

Начнём по порядку. Определить известный работнику объём информации явно и точно мы не сможем никогда, так как полная достоверность была бы возможно, если бы мы поставили за спиной сотрудника «специально обученного человека», который бы следил за всеми его действиями. Пример, конечно, утрирован, но суть отражает. Косвенно же выяснить, к чему имел доступ работник, можно различными путями. Во-первых, можно спросить у него самого. Во-вторых, аналогичный вопрос задать друзьям-коллегам. В-третьих, если сотрудник работал в CRM, полезно поднять те карточки, к которым он имел доступ и просмотреть историю общения с клиентами (при условии, что он добросовестно относился к своим обязанностям и вовремя эти карточки заполнял). В-четвёртых, выявить список документов, с которыми велась работа, помогут логи (опять-таки, если они велись). Наконец, в-пятых, можно воспользоваться специализированными средствами. В качестве примера возьмём FileSniffer (программный продукт, входящий в состав «Контура информационной безопасности SearchInform»). Принцип действия прост: фиксируются все действия (создание, удаление, копирование, переименование и т.д.), которые производились с файлами.

Однако, первичная выдача, отображённая на рисунке выше, вызывает больше вопросов, чем ответов. И главный вопрос: «как с этим работать?». Представить информацию в удобоваримом виде призван интеллектуальный блок фильтрации, позволяющий перегруппировывать информацию с использованием условий и подусловий. Ниже приведён пример перегруппировки: информация отсортирована сперва по учётным записям пользователей в AD, а затем по действию с файлом (удаление).

Очевидно, что выбрав определённый период, можно узнать все файлы, к которым имел доступ пользователь и все действия, которые он с ними совершал.

Для контроля подключаемых внешних устройств предусмотрен отдельный продукт DeviceSniffer. В контексте нашей задачи по определению перечня доступной сотруднику информации, рассмотрим лишь одну из его функций: Журнал аудита и теневого копирования.

В нём фиксируется время подключения устройства, выполненные действия, учётная запись, имя компьютера, а также имя файла. В принципе, DeviceSniffer подходит и для установления перечня носителей информации и оборудования, которое использовал сотрудник.

Далее рассмотрим задачу по установлению круга общения увольняемого сотрудника. Принципиально разделение на клиентов и коллег. Общение с клиентами можно установить на основании всё той же активности в CRM, а также проанализировав корпоративный почтовый ящик сотрудника. Как-никак, общение с клиентами формализовано и легко выявляется. А вот с коллегами немного сложнее. Здесь мы снова упираемся в человеческий фактор. Круг товарищей можно определить, опросив начальника, рядом сидящих сотрудников и т.п. Тем не менее, не стоит забывать, что сегодня общение друзей всё чаще переносится в виртуальный мир: социальные сети, «аська», скайп и т.п. Этот факт играет на руку безопаснику, так как информацию, которая проходит по сети компании, можно контролировать.

Сразу хочу дать ответ на тему этичности подхода. Всё в рамках закона и этично, так как в данной ситуации мы не читаем ничьей переписки, а лишь устанавливаем факт таковой. Речь идёт об одном из отчётов, генерируемых в программном продукте ReportCenter (входит в состав «КИБ SearchInform). Отчёт по связям пользователей представляет собой обычное отображение статистики с помощью графа. Тем не менее, он может быть исключительно полезен, так как в голове, просто из анализа информации, построить картину связей  коллектива невозможно.

Фиолетовым подсвечиваются внешние контакты, зелёным – корпоративные. Цвет нитей связей зависит от количества сообщений и по достижении пороговых величин (100, 500, 1000, …, N сообщений) изменяется. Также на каждой нити в виде пиктограмм отображаются каналы связи, через которые происходило общение. При наведении курсора мыши появляется подсказка с точным количеством сообщений, переданных через этот канал.

В том случае, когда сотрудник уже уволен, с помощью «отчёта по связям пользователя» можно контролировать его общение с коллегами. Так как предварительно круг друзей уже был установлен, необходимо формировать отчёт только по их связям и искать общие внешние контакты. К примеру, на приведённом выше рисунке общий внешний контакт имеется у Поляка Фёдора и Мамаева Антона.

Наконец, как было анонсировано в первой части, рассмотрим стадию post-периода. После того, как сотрудника уволили, имеет смысл провести мониторинг Сети на предмет появления оскорбительных высказываний, порочащей компанию информации и т.п. Изначально эта задача больше для PR-службы и маркетологов, так как подразумевает отслеживание отзывов на бренд фирмы. Однако уволенный работник может не только поливать грязью бывшего работодателя, но и начать разглашать конфиденциальную информацию вопреки всем подписанным «бумажкам», просто из чувства мести (плюс ко всему, есть уверенность, что в интернете «все мы анонимы»).

Таким образом, организовать мониторинг Сети можно с помощью различных вспомогательных сервисов, коих на просторах оной сегодня достаточно. В зависимости от степени автоматизации варьируется, соответственно, и стоимость (IQBuzz, Babkee, YouScan и т.д.). Рассмотрим один из бесплатных полуавтоматизированных сервисов. В Google Alerts на автоматику ложится работа по сбору информации. Анализ же по-прежнему остаётся за человеком. Каждый запрос содержит поля индивидуальной настройки, цель которых – по возможности снизить количество ложных срабатываний. Доставка результатов возможна как на определённый ящик пользователя, так и в фид (к примеру, в Google Reader).

Плюсом системы является возможность предпросмотра результатов составленного запроса. Также допускается использование «языка запросов» для снижения ложных срабатываний. К примеру, если «в лоб» искать «слив информации», то в выдаче, особенно в летнюю пору года, будут попадаться предложения о продаже слив. Запрос «слив информации -купить» позволит избежать лишнего «мусора». Аналогично можно уточнять запросы конкретными доменными зонами или сайтами (companyname site:otzyvov.net).

Итого

Люди – это самый ценный ресурс компании. Поэтому увольнение сотрудника – всегда негативный процесс. Тем не менее, используя определённые способы, можно свести к минимуму последствия расставания. Выбор же способа напрямую зависит от ценности (или угрозы), которую может представлять работник.

Дрозд А.В.
SearchInform
Руководитель направления по работе с вузами
Источник: sec.ru