Дейнтрі Даффі CSO, # 02/2003

Незнання того, яким чином ваші співробітники використовують ресурси компанії, може стати серйозним приводом для неспокою. Але пам'ятайте: існують допустимі - а також не цілком припустимі - способи контролю за діями співробітників.
Кому хоч раз не доводилося помилятися при наборі URL або клацати мишею на безневинною на перший погляд посиланню, потрапляючи в непристойну порнографічну пастку? Банери подібних ресурсів часто таяться на задвірках багатьох популярних сайтів Мережі. Якщо адреса Whitehouse.gov вказує на бездоганний в моральному відношенні офіційний сайт президента США, на якому можна знайти інформацію про підготовку законопроектів та докладніше дізнатися про війну з тероризмом, то посилання Whitehouse.com приведе вас на вульгарний сайт, де за знаменитим фасадом ховається "полуничка ".
Всякий раз, потрапляючи випадково на один з таких сайтів - і рефлекторно стискаючись, перед тим як клацнути на кнопці закриття вікна, - я думаю, чи варто згадувати про це при підготовці чергового звіту про продуктивності своєї праці.

Коли директор з безпеки приступає до впровадження в організації політики моніторингу працівників (найчастіше вона фігурує під більш доброзичливим назвою "політики прийнятного використання"), співробітники завжди побоюються жорстких санкцій з його боку. Вони бояться, що їх особисті контакти стануть доступні будь-якому мережному адміністратору, а недотримання встановленої політики - навіть ненавмисне - потягне за собою дисциплінарну відповідальність. При цьому корпоративна культура повільно, але вірно починає зміщуватися у бік Орвелівське стандартів.

Що стосується системи спостереження, то багато керівників служб безпеки воліють доручити стеження за характером застосування працівниками електронної пошти та засобів доступу до Internet їх безпосереднім начальникам. Однак питання про те, чи варто встановлювати контроль за використанням службовцями корпоративних ресурсів в робочий час, фактично вже вирішене завдяки створеним прецедентів, відповідно до яких підприємство несе фінансову відповідальність за дії своїх співробітників. Таким чином, свобода вибору при організації контролю за працівниками все частіше перетворюється в насущну потребу, обумовлену необхідністю управління ризиками.

Огляд стану моніторингу робочих місць і систем спостереження за співробітниками, підготовлений фахівцями American Management Association і The ePolicy Institute, дозволив нам отримати уявлення про темпи впровадження організаціями політики моніторингу. З 1627 опитаних керівників 82% визнали, що вже використовують ті чи інші форми електронного моніторингу або фізичної спостереження. З них у 63% компаній відстежуються звернення до Internet-ресурсів, а приблизно в 47% - зберігаються і проглядаються повідомлення електронної пошти. Ще одне питання огляду стосувався логічного обгрунтування необхідності моніторингу представниками організацій. Найбільше голосів було віддано за узаконену відповідальність (68%), слідом за нею назвали критерій загальної безпеки (60%). Вимірювання продуктивності праці співробітників і отримання загальної оцінки ефективності - тобто цілі, які переслідує організація тотального корпоративного контролю з точки зору самих співробітників, - розмістилися в цьому рейтингу значно нижче.

Основною причиною розбіжностей між мотивами встановлення моніторингу з позицій керівництва підприємства і інтерпретацією їхніх співробітниками полягає в тому, що в багатьох компаніях тільки почали задумуватися про вирішенні даного питання.

Відкрите обговорення - ось ключ до визначення правильної політики та практичному втіленню її в життя. Директор з безпеки, який ясно і чітко формулює причини, що змушують проводити моніторинг, і способи його здійснення, і не шкодує часу на те, щоб пояснити співробітникам, яка поведінка вважається неприйнятним, в кінцевому підсумку виявить, що співробітники не тільки швидко адаптуються до вимог політики , але і помітно полегшують йому життя, починаючи самостійно контролювати свої дії.

ЩО контролювати: чи можна спостерігати за проходом співробітників через вестибюль?

У різних галузях до контролю і зберіганню повідомлень електронної пошти пред'являються різні вимоги. Так, Комісія з цінних паперів і бірж США доручає перегляд всієї вхідної та вихідної кореспонденції (включаючи електронну пошту) брокерських контор спеціальним уповноваженим особам. Повідомлення електронної пошти повинні записуватися на носій, який не допускає їх видалення або перезапису. Зберігання цих повідомлень здійснюється протягом принаймні трьох років. У деяких галузях встановлені обмеження на порядок контролю. Захист права на таємницю приватного життя, прописана у федеральному законі про звітність і безпеки медичного страхування США (Health Insurance Portability and Accountability Act, HIPAA), який був прийнятий в 1996 році, встановлює відповідальність медичних закладів за безпеку зберігання і передачі інформації, що стосується стану здоров'я пацієнтів. Угоди з профспілками регламентують порядок нагляду за їх членами, а четверта поправка до Конституції США обмежує контроль за держслужбовцями. Крім того, регулюються види та способи фізичного моніторингу на робочих місцях. Приміром, обмежується моніторинг там, де працівники користуються законними (чи виправданими з точки зору конкретних обставин) правами на захист таємниці приватного життя - наприклад, не допускається розміщення прихованих камер у ванних кімнатах або проникнення за допомогою спеціальних засобів у приміщення, закриті на замок. Існують обмеження і на запис звуку - заборонено записувати його за допомогою фізичних систем спостереження, а телефонні розмови не можуть записуватися без згоди самого працівника. Скажімо, у багатьох штатах США для прослуховування телефонної розмови потрібна згода всіх зацікавлених сторін.

Спеціаліст по трудовому законодавству та найму працівників з компанії Eckert, Seamans, Cherin & Mellott Дебора Вайнштейн застерігає від вчинення цілого ряду дій. Так, не слід контролювати або перехоплювати електронного листа, поки воно знаходиться "в дорозі"; його можна переглядати, після того як воно записане. Дуже важливо також, щоб будь сканування або процедури контролю в рівній мірі застосовувалися до всіх службовцям. Організації, що здійснюють моніторинг, можуть відчувати тут серйозні труднощі. Приміром, компанія може проводити політику, яка допускає тотальне сканування листів і пошук в них назв продуктів, щоб запобігти крадіжці інтелектуальної власності. Якщо факт розкрадання зареєстрований, дуже важливо, щоб докази, представлені компанією, вкладалися в рамки легітимних процедур перегляду електронної пошти. В іншому випадку співробітник може заявити, що перевірка його комунікацій проводилася з порушеннями існуючих норм.

Старший віце-президент компанії First Data (батьківської по відношенню до Western Union) Боб Деген застосовує політику моніторингу і блокування доступу до ресурсів Web до всіх абсолютно однаково - незалежно від статі, віку, національної приналежності та положення в компанії: "За минулі два роки заходи дисциплінарного впливу вже застосовувалися до двох старших менеджерів".

Компанія проводить політику "дворазового впливу". Якщо працівник систематично намагається зайти на заборонені сайти, його викликають у відділ кадрів і вручають офіційне письмове попередження.

"Це перше і останнє попередження, - уточнив Деген. - Другий подібний випадок обертається звільненням".

Щоб уникнути звинувачень в дискримінації і зберегти докази, розумно доручити виконання подібних завдань лише декільком спеціально навченим і дуже делікатним співробітникам, які будуть займатися читанням підозрілої електронної пошти. Хоча відповідають за моніторинг співробітників і не звинувачують персонально у скоєнні тих дій, які входять в коло їх обов'язків, директору з безпеки слід знати, що найчастіше працівники інформаційної служби при здійсненні контролю за підозрюваними відчувають себе дуже незатишно, побоюючись того, що їхні імена будуть замазані у випадку судового процесу.

У First Data співробітники інформаційної служби так неохоче видавали відповідні висновки, що Деген взяв ініціативу на себе.

"Звіти, що передаються службі безпеки та відділу кадрів, генеруються автоматично, після чого ми визначаємо, чи вимагає ситуація додаткового втручання" , - пояснив він.

Директору з безпеки має сенс звернутися за консультацією до відповідного фахівця - з тим, щоб визначити, чи можуть якісь закони вплинути на складений в компанії план моніторингу. Особливе значення це має для компаній, що ведуть бізнес в декількох країнах. Наприклад, в деяких країнах прийняті жорсткі закони проти спаму, і у компаній можливі серйозні неприємності, якщо їх співробітники розсилають спам через корпоративну мережу. Будь-яка організація, що має філії в декількох країнах, захоче отримати докладний аналіз законів про моніторинг для кожної з тих країн, в яких вона працює. В Європі право на таємницю приватного життя вважається однією з фундаментальних свобод людини, і електронний моніторинг законами Євросоюзу значною мірою обмежений. В результаті у транснаціональних корпорацій, що мають єдиний сервер електронної пошти, виникають певні труднощі. Щоб забезпечити дотримання європейських законів, такі компанії змушені шукати способи поділу європейської та американської електронної пошти.

КОГО контролювати: на мене дивляться?

Найшвидший спосіб подолати опір співробітників полягає в тому, щоб створити відчуття мотивованого збору інформації про можливі зловмисних діях. Перш за все директору з безпеки потрібно проаналізувати мотиви скоєння таких дій.

"У вас повинна бути цілком законна причина для контролю за співробітниками на робочому місці, - зазначила Вайнштейн. - А службовцям потрібно з розумінням ставитися до цих причин. Справа не в тому, що їм не довіряють. Можливо, керівництву хочеться захистити комерційні секрети, забезпечити підтримку системи безпеки або поліпшити показники персональної продуктивності ".

У компанії може бути прийнято рішення встановити контроль за тими співробітниками, які неправильно використовують електронну пошту або Internet, формуючи тим самим ворожий характер робочого середовища - а це загрожує дуже серйозними неприємностями. У 1995 році корпорації Chevron був пред'явлений позов у ??справі про сексуальне домагання, яке отримало дуже широкого розголосу. Четверо співробітниць звинуватили своїх колег у створенні нетерпимою робочої обстановки в результаті систематичної циркулярної розсилки електронної пошти та зображень, отриманих з Internet. Одним з пред'явлених доказів стало електронного листа, озаглавлене "25 причин стверджувати, що пиво краще жінок". Щоб залагодити справу, Chevron довелося виплатити 2,2 млн. дол

Кожен наполовину написаний документ, поспіхом складене повідомлення або вороже сприйняте електронного листа може перетворитися на пастку, яка потягне за собою повістку в суд. Згадаймо відоме падіння ціни акцій Merrill Lynch після того, як влада виявила електронні листи, які свідчать, що консультанти компанії, які видавали клієнтам рекомендації, були особисто зацікавлені у продажу акцій.

Відкрите визнання керівництвом факту моніторингу, підкріплене рішучими діями при виявленні порушень, змушує співробітників зробити висновок, що електронна пошта не є конфіденційною формою спілкування. Вони починають приводити свою електронну переписку в порядок.

Збиток, який службовці можуть завдати при використанні комп'ютерних систем, практично не обмежений. У той же час компанії, що проводять справедливу політику моніторингу і роз'яснюють своїм працівникам вимоги до них, займають абсолютно стійку з точки зору закону позицію.

"Суд цілком лояльно ставиться до роботодавців, які викладають свою політику в письмовому вигляді і проводять відповідне навчання співробітників, - зазначила Ненсі Флінн, виконавчий директор The ePolicy Institute і один з авторів книги E-Mail Rules: A Business Guide to Managing Policies, Security, and Legal Issues for E-Mail and Digital Communication ("Правила роботи з електронною поштою: бізнес-керівництво по формуванню політики та системи безпеки з дотриманням вимог законодавства до електронної пошти і цифрових засобів комунікації "). - Ці роботодавці, на думку оточуючих, роблять все можливе для підтримки стійкої, безпечної та відповідної вимогам закону робочого середовища".

Якщо все ж відволіктися від похмурих перспектив опинитися в залі суду, можна навести для відділу кадрів декілька практичних аргументів на користь моніторингу. Зазвичай коштує співробітникам тільки почути, що електронна пошта та Internet знаходяться під контролем, як 90% питань, пов'язаних з діями працівників, починаючи від непристойних жартів і закінчуючи абсолютно непомірним зануренням в Internet, відпадають самі собою. Компанії, які не ведуть боротьбу зі шкідливими звичками своїх співробітників, ризикують помітно ускладнити свою роботу з кадрами. Коли з'ясувалося, що співробітники New York Times займаються розсиланням і отриманням брудних жартів і картинок, це закінчилося звільненням 10% персоналу.

Моніторинг викличе у співробітників набагато менш негативну реакцію, якщо вдасться пояснити їм, що ці заходи допомагають захистити їх від всіх перерахованих вище ускладнень. Девід Маклеод, директор з інформаційної безпеки компанії Regence Group в складі Blue Cross and Blue Shield, висунувши відповідні аргументи, зміг переконати своїх співробітників в необхідності проведення таких заходів.

"Ми вважаємо, що всі ці заходи є засобом їх власного захисту, - підкреслив він. - Якщо працівника звинувачують у нелегітимних діях, завжди можна впевнитися, чи було це насправді ".

ЯК здійснювати контроль: чи застосовувати заходи примусу?

чітке формулювання вимог і письмове повідомлення співробітників про те, як і коли буде здійснюватися моніторинг, мають дуже важливе значення, але ще важливіше послідовно проводити прийняту політику на практиці. Флінн рекомендує дотримуватися так званого "підходу трьох О": визначте свою політику, навчіть персонал, забезпечте послідовне виконання раніше сформульованої політики. Все це передбачає поєднання технології сканування комунікацій з письмовим викладенням політики та подальшим втіленням прийнятих положень у життя на основі чіткої програми навчання, покликаної закріпити викладені вимоги у свідомості співробітників.

У багатьох компаніях - навіть у тих, де політика розписана виключно детально, все ж не проводиться активне навчання співробітників того, що розуміється під допустимим поведінкою в повсякденному трудового життя. У Regence Group засоби наглядної агітації - плакати та бюлетені про прийнятій політиці моніторингу - служать постійним нагадуванням працівникам. Маклеод вимагає, щоб кожен працівник ознайомився з програмою вимог до безпеки, яка відокремлена від процедури його первинного введення в курс справи. Новий девіз - "Безпека - справа кожного" - відомий кожному співробітнику Regence. У компанії створено комітет з нагляду, складений з представників топ-менеджменту. При затвердженні нової ініціативи в області безпеки керівники відповідають за виконання прийнятих рішень в своїх підрозділах.

"В результаті, коли працівник приходить до свого начальника з скаргою на те, що політика безпеки вимагає від нього виконання тих чи інших дій , керівник готовий відповісти: «Так, я особисто брав участь у виробленні цього рішення, і от чому його потрібно виконувати ', - пояснив Маклеод. - Ми не повинні бути єдиними проповідниками вимог безпеки".

У якій- то ступеня процедура навчання гарантує розуміння співробітниками всіх згубних наслідків, до яких може привести невиконання положень політики, причому наслідки ці відображаються не тільки на них особисто. Розповіді про тих лихах, які були викликані недотриманням політики, є потужним пропагандистським зброєю в руках директора з безпеки. Велика частина співробітників служби безпеки, природно, негативно ставиться до ідеї насадження страху, але працівники повинні розуміти, що між їхніми вчинками та історіями, які потрапили в програми новин, існує самий безпосередній зв'язок.

Детальніше »