Анастасія Єфименко, COO PeopleForce


Чи дотримуються ваші співробітники правил кібергігієни? І чи зробили ви все можливе, щоб забезпечити їм та компанії високий рівень кіберзахисту? Ці два запитання має поставити собі не лише IT-департамент вашої команди, а й HR-фахівці. Кібербезпека – саме та зона відповідальності, яка ділиться між усіма, хто бере участь у житті компанії, має доступ до даних і може стати мішенню для сталкерингу. Давайте розберемося, до чого тут HR Tech і яка роль HR-департаменту у запобіганні ризикам.


Людський фактор як найслабша ланка в ланцюзі захисту компанії від загроз


Фахівці McAfee Center підрахували, що з 2020 року вартість збитків від кіберзлочинів перевищила $1 трильйон. Це достатньо серйозна цифра, щоб задуматися про забезпечення норм безпеки в команді, правда? І щоб це зробити, потрібно почати з основ – зрозуміти, що найбільш незахищеною ланкою є самі співробітники.


Глобальна пандемія назавжди змінила наш графік роботи – ми стали більше часу проводити поза офісом, поєднуючи віддалений та офісний режими у так званий гібридний графік. І якщо в офісі ще можна формально контролювати норми захисту мережі та підключень, то поза його стінами – вдома та в коворкінгах, кафе та інших публічних місцях, де мережі загальнодоступні чи погано захищені, ця можливість зводиться нанівець. Згадайте, як часто ви самі підключаєтеся до публічного Wi-Fi, тому що так зручніше та простіше? Або залишаєте ноутбук увімкненим, щоб відволіктися і взяти ще каву? Чи давно не перевіряли, як захищено вашу домашню мережу? Все це забезпечує людський фактор – будь-яка компанія вразлива до атак, якщо співробітники добре не проінструктовані, що і як їм потрібно виконувати задля забезпечення безпеки.


Базові правила кібергігієни


Кібергігієна включає три основні принципи:


    

  • Ми використовуємо лише ті інструменти та програми, які забезпечують та підтримують безпеку.
    • 

  • Ми регулярно виконуємо завдання щодо кібербезпеки та захисту від ризиків.
    • 

  • Ми виробляємо комплекс правил, яких дотримуємось.
    • 



Ці три принципи застосовуються в роботі як керівництва компанії із забезпечення захисту її даних, так і співробітників у їхній повсякденній роботі.


Як керівництву виконувати правила кібергігієни?


    

  • Забезпечити співробітників ліцензованим та перевіреним софтом.
    • 

  • Убезпечити свої дані та регулярно виконувати аудит ризиків та загроз.
    • 

  • Мати план на випадок кібератаки.
    • 

  • Проводити тренінги та навчати співробітників бути обережними.
    • 



Як працівникам виконувати правила кібергігієни?


    

  • Не завантажувати неліцензійний та неперевірений софт, програми, ігри тощо.
    • 

  • Розділити свою домашню мережу на домашню та робочу, захистивши робочу мережу.
    • 

  • Не підключатися до публічних мереж у громадських місцях.
    • 

  • Не залишати без нагляду смартфон/ноутбук/комп’ютер.
    • 

  • Захистити девайси паролем.
    • 

  • Повідомляти керівництву компанії про зникнення девайсів негайно.
    • 

  • Убезпечити себе від фішинг-атак і не відкривати невідомі повідомлення, посилання/листи.
    • 

  • Користуватись встановленими в компанії правилами захисту даних.
    • 

  • Проходити тренінги з кібербезпеки.
    • 



Яка роль HR-фахівця у поширенні інформації про кіберзахист?


Згідно з дослідженням, 55% співробітників потрапляють під кібератаки, особливо через зростання популярності гібридної роботи. Що може зробити HR-фахівець, щоб убезпечити свою команду?


    

  • Проводити тренінги з кібербезпеки із запрошеними спікерами
    • 



Погодьте з вашим керівництвом можливість запрошувати департаменти по черзі або всю команду відразу на ознайомлювальні тренінги із захисту від загроз. У випадку, якщо ви претендуєте на підтвердження високого ступеня захисту компанії – наприклад, під час проходження сертифікації – такі тренінги зі сторонніми спікерами стануть необхідними. Привчайте ваших співробітників до необхідності дотримуватися хоча б вищеописаних найпростіших правил кібергігієни, а також поговоріть про важливість паролів і можливі програми, які можуть полегшити їхнє безпечне запам’ятовування.


    

  • Вибирайте лише захищені продукти для користування в HR-цілях
    • 



Вибираєте систему HRM? Тоді подбайте, щоб обране вами рішення мало повноцінний захист. Поцікавтеся, чи відповідає система сумісності GDPR, тобто захищає персональні дані. Те саме стосується і CRM-систем, якщо така вже використовується в компанії.


    

  • Додайте до бази знань компанії всі необхідні правила кібербезпеки
    • 



У випадку, якщо HRM-система у вас уже є, подбайте про те, щоб база знань була наповнена актуальною інформацією про те, як захистити себе та свої дані від фішингу, витоку чи крадіжки даних. Додайте вимоги до команди, повідомте їх на загальних зборах і попросіть виконувати ці вимоги регулярно.


    

  • Працюйте з лідерами думок у команді
    • 



Донести важливість елементарної установки пароля на свій ноутбук так само важливо, як контролювати ефективність учасників команди та досягати поставленої мети. Зробіть своєю метою поглиблену роботу з лідерами департаментів та негласними лідерами у команді. Повідомляйте їм статистику з аудиту безпеки та просіть дотримуватись командних вимог. Пам’ятайте, що найголовніше – зробити все, що від вас залежить, щоб не допустити загрози через необдуманість чи незнання.


Які базові вимоги до кіберзахисту мають виконувати всі сучасні компанії, які хочуть розвиватись?


Ми вже згадали GDPR, але давайте трохи заглибимося в цю тематику. Що розвивати та імплементувати в компанії, щоб відповідати сучасним вимогам щодо захисту даних?


Відповідність GDPR


GDPR означає Загальний регламент захисту персональних даних. Якщо коротко, він включає наступне:


    

  • Документування законної підстави для обробки персональних даних – це документ або сторінка Політики конфіденційності, яка зазвичай знаходиться у футерах сайтів.
    • 

  • Забезпечення зберігання даних доти, доки на це є дозвіл.
    • 

  • Забезпечення точності та актуальності даних.
    • 

  • Дотримання конфіденційності даних таким чином, щоб доступ до них мав лише затверджений персонал.
    • 



Як це дотримується на практиці у роботі HR-фахівця?


Припустимо, що ви створюєте базу даних кандидатів. Для її наповнення вам необхідно додати персональні дані потенційних талантів – телефон, пошту, особисту інформацію. Щоб зберігати такі дані, потрібно взяти дозвіл на їхнє зберігання. Компанії, які запитують дозвіл на зберігання персональної інформації, мають перевагу в захисті даних, тому що відповідають усім чотирьом вищевказаним принципам. Якщо ви користуєтеся HRM-системою та наповнюєте базу даних, поцікавтеся, чи є у вас можливість скористатися функцією GDPR із запитом на отримання дозволу у претендентів.


Двофакторна автентифікація


Одним із перших кроків щодо забезпечення безпеки важливої ​​інформації має стати посилення захисту записів про безпеку на додаток до стандартного пароля. Тому для додаткового захисту облікових записів співробітників необхідно використовувати різні варіанти двофакторної автентифікації. Як правило, використовується автоматичне SMS-повідомлення або окрема програма, що генерує коди доступу. Після стандартного пароля, користувач повинен ввести ще один код, а в деяких системах для введення коду використовується програма. Це убезпечить ваші облікові дані співробітників і допоможе знешкодити зловмисників, які можуть спробувати зайти в хмару або систему з робочими даними.


Отримання сертифіката ISO


Процедура сертифікації відповідно до стандарту ISO є підтвердженням того, що ваша система менеджменту інформаційної безпеки – тобто весь комплекс процедур захисту від ризиків та загроз у мережі – працює справно та за міжнародними нормами. За сертифікації, яку проводять незалежні експерти, ваші робочі процеси пройдуть аудит, а команда – тренінги.


Існує безліч стандартів ISO, залежно від сфери, де ви працюєте, але всі вони мають загальні принципи. Так, отримуючи сертифікат, ви підтверджуєте, що:


    

  • Ваша компанія постійно розвивається.
    • 

  • Ви впроваджуєте останні випущені оновлення, орієнтуючись на тренди та світові стандарти.
    • 

  • Ваші дані та дані ваших користувачів захищені та надійно охороняються.
    • 

  • Ваша компанія проводить регулярні аудити, щоб виявити загрози та ризики витоку даних.
    • 

  • Ви маєте робочі протоколи на випадок несподіваних кібератак, зникнення або крадіжки інформації.
    • 

  • Ви мінімізували людський фактор у компанії, а ваші співробітники пройшли навчання і знають, як захистити себе – а отже, і клієнтів – від загроз у мережі.
    • 



PeopleForce нещодавно отримала сертифікат за стандартом ISO 27001:2013. Дізнайтеся докладніше про наш досвід і те, що означає такий стандарт у цій статті.


Чому всі, хто залучений до сфери HR Tech, мають цікавитися кібербезпекою?


Ми є компанією, яка розвиває HRM-продукт, тобто, частиною сфери HR Tech. Це означає, що ми стоїмо на межі між HR та IT – пов’язуємо сфери роботи з талантами та технологіями в одній системі. І це досить комплексний процес, тому що, з одного боку, автоматизація полегшує талантам робочу рутину, але з іншого – взаємодія з технологіями завжди пов’язана з ризиками. А в рекрутингу, наймі, роботі зі співробітниками в компаніях, де щодня через HR-фахівців проходить дуже великий обсяг персональних даних – ризики тільки множаться.


Такі компанії, як PeopleForce, зрозуміло, мають бути форпостом на шляху кіберзагроз. Це означає, що всі правила – елементарні і складніші, які ми описали вище, повинні дотримуватися в роботі.


Беручи на себе відповідальність щодо зберігання інформації клієнтів, їх баз даних кандидатів, співробітників тощо, ми тим самим підписуємось на всебічний розвиток нашої системи управління інформаційною безпекою.


Але не менш важливим є факт, що всі, хто залучений до роботи з компаніями HR Tech, хто автоматизує свою рутину, найм чи рекрутинг, аналітику чи інші процеси, мають ставитися до можливих кіберзагроз з аналогічною увагою та відповідальністю. HR-фахівці – тобто, ви, колеги, – повинні пам’ятати, що по суті ви є сполучною ланкою та відповідальною за дані вашої компанії. Що можна зробити у такому разі?


    

  1. Вибирати програмне забезпечення лише з розвиненими СМІБ.
    2. 

  2. По можливості шукати продукти, які впроваджують посилений захист даних.
    3. 

  3. Взаємодіяти з компаніями, відділ підтримки клієнтів яких швидко реагує і може надати відповідь на питання про захищеність даних.
    4. 

  4. Слідкувати за тим, як компанії-партнери, чиїми продуктами ви користуєтеся, розвиваються та розвивають свої команди.
    5. 



Пам’ятайте, що не можна перекласти відповідальність за свою безпеку та безпеку колег у мережі на чиїсь інші плечі. Якщо ви стали своєрідною частиною напряму HR Tech, розвивайте свою кіберграмотність і навчайте свій персонал базовим правилам поведінки в мережі, щоб чітко реагувати на будь-які ризики.


Читайте ще: Хто затребуваний і як розпочати кар’єру в кібербезпеці: поради фахівців