Скільки коштує виток даних? Частина 2

Дуже легко порахувати, скільки коштує вкрадений телевізор. Але оцінити вартість викраденого ноутбука набагато складніше, адже йдеться не тільки про техніку, що має ринкову вартість, а й про інформацію – програмне забезпечення, яке роздають зовсім не безкоштовно, та багато років праці, виражених у цінних файлах. Навіть вартість втраченої флешки не дорівнює десятку доларів, оскільки цінна не форма, а її зміст.

Оцінка збитків від витоку інформації – складне завдання для будь-якого виду бізнесу. І хоч цифри завжди будуть приблизними, кожен інформаційний інцидент має свою зразкову вартість.

Аналітики, підраховуючи шкоду, відштовхуються від трьох базових категорій. У минулій статті йшлося про першу з них — пряму шкоду.

Наступний крок – оцінка непрямих витрат. Найбільша стаття, яка включає в себе час простою підприємства; інформування співробітників, підрядників та клієнтів про інцидент; PR-зусилля щодо комунікації з громадськістю; відновлення даних (баз клієнтів, кредитних карток, облікових записів тощо); втрату продуктивності; мінімізацію збитків від злому.
Кінцева вартість збитків завжди, індивідуальна і залежить від ніші бізнесу, типу витоку та інших чинників.

Розглянемо на прикладі, як цей процес виглядає у реальному житті.

Компанія «А» зазнала фішингової атаки, в результаті якої систему заразив вірус-шифрувальник, і частина даних виявилася зашифрованою. ТОП-менеджмент направив зусилля айтішників на ліквідацію проблеми. У такій ситуації, загальний витрачений час керівництвом у сукупності з профільними фахівцями – пряма шкода.

Але в той же час менеджер Петро і дизайнер Марія не можуть виконувати свої посадові обов’язки. Хоч вони й не мають безпосереднього відношення до витоку, їхній робочий день «згоряє», адже бізнес виявився паралізованим. Це непряма шкода.

Оскільки більшість працівників підприємства взагалі не розуміють, що відбувається, їх необхідно поінформувати про причину простою. Заодно компанії потрібно сповістити клієнтів, які виявилися відрізані від необхідних товарів та послуг. Бізнесу необхідно терміново активізувати зусилля PR-відділу та направити їх на вирішення нагальних завдань. Навіть якщо відповідні департаменти є в компанії, комунікації із зовнішнім світом не є безкоштовними, вони мають конкретну вартість, виражену в робочому годиннику. І це також непряма шкода.

Чи заплатив бізнес викуп здирникам чи впорався із шифрувальником самостійно, особливого значення не має: величезні людські ресурси вже були витрачені на ліквідацію наслідків інциденту, причому йдеться не лише про профільні підрозділи, безпосередньо задіяні в заходах з ліквідації кризи, а й про всіх працівників фірми.

Повернемося до нашого менеджера та дизайнера, адже їхні проблеми ще не закінчилися. Якщо компанії не змогли повністю відновити зашифровані дані, або частина інформації виявилася знищена, Марії доведеться малювати макети заново, а Петру – за допомогою дива відновлювати клієнтську базу. А це трудовитрати, що мають конкретний фінансовий вираз. Порахувати збитки можна за допомогою простої формули.

Втрачені дні = годинник простою/8 годинний робочий день.

Фінансові збитки = Втрачені дні/247 робочих днів * (Середня зарплата).

Остання стаття витрат, що стосується непрямої шкоди – втрата прибутку. Протягом кризи клієнти не лише не зможуть купувати товари чи послуги, але, у ряді випадків, разом із бізнесом виявляться постраждалою стороною. А отже, не будуть приносити свої гроші в компанію і можуть вимагати компенсацію завданих збитків.

Скільки коштує виток даних. Частина 1

Вартість витоку даних – актуальне питання для будь-якого бізнесу. Адже саме з оцінки можливих фінансових ризиків розпочинається стратегічне планування. На жаль, оцінити потенційні збитки вкрай важко.

Наприклад, якщо злодії вдерлися в квартиру і винесли телевізор, комп’ютер і коштовності, для підрахунку втрати знадобиться кілька хвилин: достатньо подивитися вартість фізичних об’єктів у чеках або перевірити їхню поточну ринкову ціну.

З кібертечками все не так однозначно. Наприклад, на думку Radware та Merrill Research, вартість одного інформаційного інциденту для великого європейського бізнесу у 2019 році становила приблизно 4,6 мільйона доларів. Наявність статистики свідчить, що підрахувати приблизну вартість можна. Тільки отримана інформація буде приблизна і в процесі калькуляції необхідно врахувати безліч різноманітних факторів.

Оцінка збитків від інформаційного інциденту складається із трьох базових компонентів.

Перший з них – пряма шкода. До нього відносяться витрати, які бізнес понесе у процесі виявлення та усунення витоку. Наприклад, витрати на виявлення та розслідування інциденту, штрафи, виплати компенсацій.

Перелік «статей шкоди» безпосередньо пов’язаний з видом, розміром та нішою бізнесу, що надаються їм товарами та послугами, внутрішньою та зовнішньою організацією, наявністю та кваліфікацією певних структурних підрозділів (ІТ-департамент та служба безпеки) та, звичайно ж, типом інформаційного інциденту.

У ряді випадків навіть на першому етапі оцінки прямих витрат можна визначити вартість вкраденої інформації. Викрадений дизайнерський макет, архів сайту або переклад текстового контенту має певну ринкову ціну або вартість, виражену в людино-годинах, витрачених на реалізацію проекту.

При цьому «на око» визначити цінність деяких типів даних практично неможливо: шкода від вкраденої клієнтської бази, зібраної за довгі роки роботи або викрадені профілі клієнтів мають досить відносну ринкову вартість, і оцінка таких збитків відноситься до наступних етапів, про які йтиметься далі.

Наступна стаття витрат, що відноситься до прямої шкоди — пошук та ліквідація витоку. Для здійснення цих заходів потрібно залучення ІТ-фахівців та представників служби безпеки. Якщо в компанії сформовані відповідні департаменти, витрати дорівнюватимуть вартості робочих годин, витрачених на виконання завдання. Звичайно, наявність «in-house» «спеців» полегшує завдання, але не нівелює витрати: адже цей час можна було б витратити на розвиток бізнесу, а не на ліквідацію «дір».

Якщо ж компанії доводиться залучати «аутсорсерів», витрати збільшуються, зате підрахунок втрат спрощується: він приблизно дорівнює вартості послуг підрядників.

Зазвичай на етапі розслідування позбутися «малої крові» не виходить, і окрім роботи фахівців, компанії доводиться оплачувати додаткове обладнання та програмне забезпечення, без якого провести розслідування, відновити роботу в нормальному режимі та запобігти подібним інцидентам у майбутньому — неможливо.

Фінішний етап оцінки прямих витрат – виплата штрафів держрегуляторам або компенсація завданої шкоди клієнтам, постачальникам, партнерам.

Розібравшись із прямою шкодою, зітхнути з полегшенням не вийде: попереду бізнес чекають ще дві масштабні статті витрат, про які йтиметься в наступних матеріалах.

Далі буде…

Стратегія мінімізації ризиків: частина 2

З кожним роком інциденти з витоку даних перестають бути чимось екстраординарним, стаючи рутинною частиною життєдіяльності підприємств. Великий бізнес атакують професійні хакери та жадібні конкуренти. Малий – потрапляє під роздачу від їх менш кваліфікованих колег: наприклад, згідно зі статистикою Symantec, на 323 листа, що були отримані, як мінімум один містить шкідливий файл. Очевидно, що у сучасних реаліях уже ніхто не може почуватися у повній безпеці. Однак це не означає, що треба здатися і змиритися з неминучим, адже навіть єдиний інформаційний інцидент може закінчитися фатально для фірми.

Грамотне стратегічне планування допомагає мінімізувати ризики та знизити витрати, необхідні апгрейду систем захисту.

У минулій статті йшлося про найуразливіші точки, які необхідно убезпечити в першу чергу. Настав час докладніше зупинитися на стратегії захисту та мінімізації наслідків інциденту.

План дій

Найстрашніше, що може статися в компанії, що зіткнулася з витоком — тотальний хаос. Співробітники не знають, що робити, а кожен відділ намагається впоратися із проблемою самотужки.

Найочевидніша зв’язка, яка має вміти працювати в команді – служба безпеки та ІТ-відділ. Грамотний розподіл завдань та зон відповідальності допоможе швидко провести розслідування та знайти причину витоку. Але це не означає, що решта департаментів має залишатися осторонь.

Вже на етапі розслідування керівнику варто залучити до процесу юристів, які зроблять неоціненний внесок у спілкування з держорганами: багатьом видам бізнесу не уникнути такого неприємного моменту, оскільки в Європі активно впроваджуються штрафи та відповідальність за недобросовісний захист цінних даних.

І, звичайно, не обійтися без допомоги PR-департаменту. Чим більше компанія, тим довше ЗМІ будуть смакувати інцидент та його наслідки. А кожна публікація в пресі стане цвяхом у труну репутації корпорації. Грамотне спілкування з журналістами, своєчасна публікація прес-релізів, відкритість та дії на випередження допоможуть знизити негатив і, як наслідок, зменшити фінансову шкоду.

Швидкість реакції

Кінцева вартість інциденту багато в чому залежить від часу, необхідного для виявлення витоку. Наприклад, за даними IBM, на виявлення інциденту йде понад 207 днів, протягом яких зловмисники безперечно копаються в даних компанії-жертви. Середній цикл «життя» інциденту від моменту злому до ліквідації дірки в периметрі безпеки становить 280 днів і більше. Кожен втрачений день – це втрачені дані, вкрадені клієнти та зіпсована репутація.

Зменшити життєвий цикл «дірки» у периметрі безпеки дозволить комплексний моніторинг трафіку даних. Фахівці з безпеки стверджують: будь-яка активність, яка відрізняється від «норми», властивої конкретному виду бізнесу, – явний маркер шкідливої активності. Навіть акуратне переміщення даних «невеликими порціями» завжди вибиватиметься зі стандартної рутинної активності.

Головне – сформулювати таке поняття, як «норма», яке завжди буде індивідуальним та унікальним для конкретної компанії, а потім знайти відхилення.

Такий аналіз зміцнює позиції бізнесу одразу у двох напрямках. Перше – мінімізація зовнішньої загрози. Якщо периметр захисту вже пробитий, система зможе виявити підозрілу активність та сигналізувати про інцидент, тим самим скоротивши час перебування «шкідника» всередині системи та мінімізувавши збитки.

Друге – протидія внутрішній загрозі. Як би це не було сумно, але головну шкоду компанії завдають її співробітники, цілеспрямовано або з волі випадку, стаючи інсайдерами. Якщо раптом працівник вирішив перейти на «темний бік» і почав збирати конфіденційні дані для продажу конкурентам або для особистого портфоліо, його рутинна активність відразу зміниться. А керівник матиме можливість швидко знайти інсайдера.

Сучасна система безпеки – це комплекс заходів. Тільки синергія інструментів захисту, що включають потужний аналітичний апарат, здатний предиктивно виявляти загрози, можливості контролю переміщення даних, і, звичайно ж, опції моніторингу «людського фактору» дозволять мінімізувати ризики.

Звичайно, використання таких інструментів передбачає певні зусилля та інвестиції. Проте не слід забувати: за даними IBM, середня вартість витоку даних станом на 2020 рік становить 3,86 мільйона доларів.

Стратегія мінімізації ризиків: частина 1

У сучасному світі виток даних став рутинною подією для бізнесу. Як стверджує статистика, з кожним роком кількість інформаційних інцидентів збільшується, а їхня підсумкова «вартість» — зростає.

Наприклад, згідно зі звітом Cybersecurity Ventures у 2021 році діяльність кіберзлочинців обійдеться компаніям у всьому світі в суму близько 6 трильйонів доларів США.
Не менш жахливо виглядає і зростання збитків у динаміці: щорічно глобальні збитки від інформаційних інцидентів зростають на 15% і до 2025 року сягнуть 10,5 трильйонів доларів. Для порівняння: у 2015 загальна сума глобальних збитків становила лише 3 трильйони доларів.

Варто зазначити, що мова, в першу чергу, йде про втрати, які можна легко порахувати, такі як недоотриманий прибуток, криза виробництва, штрафи від держрегуляторів. Однак існує ціла низка витрат, що взагалі не потрапляє до калькуляції. Пролонговані збитки від інформаційного інциденту можуть переслідувати компанію роками. Наприклад, за даними дослідження Infosys, 65% споживачів втрачають довіру до бізнесу у разі витоку даних, причому 85% із них заявили, що не хочуть знову мати справу з цими компаніями. Клієнти – це живі гроші, які уникають постраждалого бізнесу назавжди.

Незважаючи на зростання ризиків, багато фірм досі не провели ревізію систем безпеки та недостатньо захищені від сучасних цифрових загроз. За даними опитування ISACA, яке було проведено у 2021 році, лише 32% компаній вважають себе підготовленими до різноманітних інформаційних інцидентів.

Хоча модернізація периметра безпеки – процес трудомісткий, є кілька простих порад, розроблених фахівцями, які допоможуть виявити проблемні зони та зміцнити найважливіші ділянки у найкоротші терміни.

Структура внутрішніх систем

Використання різноманітних програм та сучасних технічних засобів значно розширює можливості бізнесу. Особливо в умовах посткарантинного світу, адже низка локдаунів змусила багато компаній, що традиційно працюють в офлайн-середовищі, перебратися на простори онлайн-світу. Хмарні сервіси, системи прийому платежів, програми складу та обліку дозволили бізнесу стати мобільнішими та вижити в умовах кризи, проте вони ж і породили додаткові ризики. Адже що складніша загальна структура – то більше вразливих місць.
Найяскравіша ілюстрація – нещодавній інцидент із Colonial Pipeline, яка була змушена зупинити виробництво. Як стверджує CNN, спираючись на дані з кількох джерел, основний вектор атаки був спрямований на програму білінгу. Тобто теоретично компанія могла не зупиняти виробничі потужності, але на практиці – виявилася повністю відрізана від можливості проводити взаєморозрахунки, що призвело до вимушеної паузі в життєдіяльності фірми.

Будь-який бізнес – це складний комплекс, діяльність якого спирається різні системи. Пріоритетне завдання керівника – виявити блекаут яких структур призведе до повного паралічу, та забезпечити їх захист насамперед.

Генератори прибутку

Будь-який бізнес – це не лише технології, а й люди. Саме синергія цих компонентів дозволяє компанії розвиватися та рухатися вперед. Після того, як керівник визначив пул найуразливіших технологічних систем, варто переходити на наступний рівень – виявити, які люди в організації забезпечують надходження коштів.

Наприклад, якщо компанія спеціалізується на рекламі чи поліграфії, параліч роботи відділу дизайну неминуче призведе до зупинення життєдіяльності бізнесу. У роздрібній та оптовій торгівлі найвразливіші – менеджери з продажу, при цьому без дизайнера компанія точно зможе обійтися. Більшість організацій легко витримають сценарій, за яких менеджери з персоналу на деякий час випадуть із загальних процесів, при цьому для рекрутингового агентства такий розвиток подій – втрачений прибуток.

Захищати «генераторів прибутку», як і будь-які інші цифрові та людські системи, потрібно не тільки від зовнішньої загрози, а й від самих себе. Саме «людський фактор» стає першопричиною переважної більшості інформаційних інцидентів. І йдеться не лише про цілеспрямоване шкідництво – продаж інформації конкурентам чи надання кодів доступу третім особам. Банальна помилка, така як відправка даних не в те вікно або перехід за посиланням з підозрілого листа, може стати відправною точкою для атаки.
Єдине ефективне вирішення проблеми – впровадження систем моніторингу та контролю персоналу.

Далі буде…

Принципи «інформаційної гігієни»

Інтенсивність та складність кібератак збільшується з кожним роком. У ситуації зростання тиску бізнес розділився на два табори. Одні вважають, що треба розслабитися і плисти за течією, сподіваючись, що неприємності оминуть. Інші навпаки – намагаються передбачити дії зловмисників та зміцнити найуразливіші ділянки периметра безпеки.

Західні фахівці дійшли одноголосної думки: передиктивна аналітика коштує набагато дешевше, ніж лікування наслідків. Не дарма у закордонній пресі, присвяченій інформаційним технологіям, регулярно зустрічається термін «інформаційна гігієна». У цьому випадку він означає базові основи та правила, які допомагають знизити ризики витоку даних. Усі знають, що особиста гігієна допоможе уникнути регулярних візитів до лікаря: вимив руки перед їжею – уникнув кишкової інфекції. Так само справи з інформацією: навів порядок в ієрархії облікових записів – знизив шанси інсайдерства.

Зростання стурбованості захистом даних підтверджує статистика. Наприклад, за даними опитування ESG, 84% управлінців вважають, що за останні два роки ризики значно зросли. На цей стрибок вплинув як розвиток нових технологій, так і збільшення залежності бізнесу від сторонніх програмних продуктів.

Взяти хоча б приклад із «уразливістю нульового дня». Ще якихось 5 років тому ІТ-команда великої корпорації могла спробувати виявити слабкі місця у свіжовстановленому ПЗ. Тепер, на тлі масової «диджиталізації», 70% технічних фахівців заявляють, що подібні заходи вимагатимуть колосальних витрат і, швидше за все, не окупляться.
Щоб впоратися із викликами сучасного цифрового світу, фахівці із США розробили кілька базових рекомендацій, які дозволять заощадити нерви та, звичайно ж, гроші.
Контроль «цифрового» та «людського» фактора. Спроби зосередитись виключно на відбитті атак хакерів вже давно виглядають, як утопія. Навіть недалекоглядні зловмисники дійшли висновку, що набагато простіше знайти союзника всередині компанії, ніж штурмувати зачинені двері. А якщо взяти до уваги моральний облік деяких працівників, завжди готових привласнити собі все, що погано лежить, стає очевидним: у сучасному світі саме загроза інсайдерства стоїть на п’єдесталі першості. Тому навіть із найсучаснішими системами захисту, без запровадження моніторингу активності працівників, бізнес буде вкрай уразливий.

Ризик менеджмент та пріоритетність загроз. Захистити все й одразу – не вийде. Спробувати, звичайно, можна, ось тільки необхідні для цього сили та кошти – астрономічні навіть для міжнародних корпорацій.

Щоб не потрапити у виробниче пекло, намагаючись закрити свою фірму «великою цифровою стіною», досить просто розкласти інформацію за категоріями та пріоритетами. Наприклад, забезпечувати надійне збереження даних користувача вимагають навіть держрегулятори. Оберігати базу клієнтів від внутрішньої та зовнішньої загрози – здоровий глузд. А ось стежити за збереженням списку покупок в офіс або за завантаженням фотографій з новорічного корпоративу – зовсім не обов’язково.

Постійне тестування та аналіз. На жаль, просто впровадити будь-який комплекс безпеки та спочивати – не вийде. Світ змінюється як зовні компанії, так і у середині. Наприклад, ще вчора лояльний співробітник може миттєво стати інсайдером, просто отримавши привабливу пропозицію від конкурентів.

Контролювати внутрішні та зовнішні процеси, відстежувати переміщення інформації, аналізувати поведінку персоналу щодо навмисних і неусвідомлених ризикових дій – базове завдання будь-якого бізнесу. Пустивши процеси на самоплив, є дуже високий шанс наштовхнутися на наслідки витоку даних.

У нелегкій справі ризик-менеджменту чудову допомогу надають системи передиктивної аналітики, які здатні проаналізувати поточний стан захисту та вказати на потенційно вузькі місця та можливі загрози. Адже набагато краще, а головне – дешевше, провести профілактичні роботи та діяти на випередження, аніж потім довго розбиратися з наслідками інформаційного інциденту.

Інсайдерство та атмосфера в колективі

Бізнес постійно знаходиться в середовищі різноманітних небезпек і загроз. Однак із року в рік на п’єдестале «первенства ризиків» залишається «внутрішня загроза» — співробітники компанії. Частина персоналу шкодить нецілеспрямовано , наприклад, неуважно розповсюджуючи до цінні документи або ігноруючи елементарні правила інформаційної безпеки. Більше хитрі особистості наносять цілеспрямований удар, працюючи на конкурентів або стараючись розвивати свій бізнес за рахунок ресурсів роботодавця.

Проблема інсайдерства мультикультурна та інтернаціональна. Наприклад, у США був створений спеціальний центр з вивчення ризиків і протидії внутрішньої загрози — US Community Emergency Response Team’s (CERT’s). Спеціалісти організації проаналізували понад 2 500 інцидентів і розробили ряд рекомендацій для бізнесу.

Моніторинг поведінки

Хоча багато фахівців з інформаційної безпеки все ще концентрується на технічних індикаторах дій інсайдера, єдиний ефективний шлях уникнути загроз — аналіз поведінки персоналу. Зміна алгоритмів дій, відхилення від середньої норми – маркери, які повинні занепокоїти службу безпеки. До того ж, на думку західних експертів, потрібно аналізувати як мінімум два фактори. Перший – індивідуальне поведінка працівника на різних ділянках часу. Другий – порівняльне вивчення поведінки працівників із подібними посадовими обов’язками.

Також не варто забувати, що нашкодити може будь-який співробітник, незалежно від його технічних навичок та рівня доступу до конфіденційних даних. Наприклад, в одному з проаналізованих фахівцями CERT’s кейсі, ображений працівник просто пішов додому, взяв пістолет, повернувся до офісу та вистрілив у сервер центру обробки даних.
В такій ситуації внутрішнього саботажу не йдеться про виявлення потенційної загрози шляхом контролю даних. Надзвичайної пригоди можна було уникнути лише звернувши увагу на моральний стан підлеглого. Зазвичай будь-який зрив відбувається не на порожньому місці, йому передує тривалий процес «закипання», який знаходить своє відображення у листуваннях з колегами, загальної продуктивності, а також зміні низки біометричних характеристик, таких, як клавіатурний почерк.

Але найпоширеніші випадки інсайдерства, звичайно ж, пов’язані з банальною дурістю та неуважністю. Ситуації коли, наприклад, працівник, що звільняється, «забуває» повернути корпоративний ноутбук, телефон або планшет трапляються постійно. Крім втрати техніки на компанію чекає маса серйозніших проблем: у надрах «девайса» можуть зберігатися гігабайти цінних даних, а також бути коди доступу до баз і хмарних сховищ.

У нелегкій справі пошуку крота, американські спеціалісти почали приділяти пильну увагу не лише відхиленням у поведінці, а й моральному стану персоналу. Згідно зі статистикою, 97% майбутніх інсайдерів привертали увагу керівництва задовго до інциденту. Найчастіше вони мали проблеми з дисципліною, дотриманням розпорядку дня, і навіть конфлікти з колегами.

У 58% випадків робітники, що спричинили виток даних, відкрито висловлювали невдоволення під час спілкування з колегами, а 31% навіть відкрито говорив про свої плани нашкодити компанії-роботодавцю.

Ситуацію зазвичай загострює саме керівництво, ігноруючи передиктивну оцінку ризиків і надаючи особливого значення робочої атмосфері у колективі. Найбільш прогресивний підхід, на думку західних експертів, полягає у постійній оцінці морального стану персоналу та своєчасної реакції на девіантну поведінку.
Якщо швидко відреагувати і розібратися в тому, що ж бентежить потенційного інсайдера, можна не тільки запобігти витоку даних, але й знизити загальний рівень стресу в колективі, а також не допустити вигоряння цінних кадрів. Наприклад, в організаціях, співробітники яких вважають, що керівництво їх підтримує, внутрішні інциденти трапляються набагато рідше.

Найчастіше саме атмосфера в колективі стає вирішальним фактором, який визначає, з якою ефективністю працюватиме персонал, наскільки уважно працівники виконуватимуть поточні завдання і чи не бажають вони нашкодити компанії, викравши інформацію.

Поради HR-ру: відсутність кваліфікованих кадрів та перенасичення кадрами. Частина 1

Залучення та утримання висококваліфікованих працівників – одне з пріоритетних стратегічних завдань бізнесу. До вирішення цього питання безпосередньо залучені: власник компанії, керівники всіх рангів та HR-департамент.

Кожен із учасників процесу мріє знайти «золоту середину» при комплектації штату. Адже надто велика кількість працівників може різко збільшити витрати, а нестача персоналу — обмежити розширення бізнесу.

В англійській є відмінні лаконічні визначення, що описують суть проблеми: overstaffing (надлишок співробітників) і understaffing (відсутність кадрів).
Кожен керівник знає: співробітники – основа бізнесу. Від грамотного підбору, залучення у життєдіяльність бізнесу та адаптації кадрів залежать успіхи компанії. Кадровий менеджмент – постійний процес, що знаходиться в зоні відповідальності HR-менеджерів, в рамках якого вони проводять пошук, вибір, оцінку та навчання як потенційних кандидатів, так і співробітників, які працюють в організації тривалий час.

Дії, що виконуються в процесі найму та супроводу персоналу, включають:

  • Профілювання посади
  • Підбір кандидатів
  • Визначення кола завдань та стандартів продуктивності (KPI)
  • Оцінка рівнів продуктивності
  • Навчання та подальший розвиток

Щонайменше 3 пункти з 5 супроводжуються проведенням глибокої аналітики робочих процесів. HR-менеджеру разом із керівником необхідно оцінити адекватність та досяжність KPI у «польових умовах», проаналізувати робочі процеси та алгоритми на предмет критичних помилок та зайвої бюрократії, знайти потенційні зони зростання та визначити максимально ефективні моделі роботи.

Звичайно, таку роботу можна спробувати виконати «на око», орієнтуючись на всесвітньо відомий параметр оцінки праці, що лежить в основі стратегічного планування більшості фірм – мені так здається.

Однак, без використання «Big Data», що включають: профіль співробітників та підрозділів, порівняльний аналіз моделей роботи, виявлення відхилень та закономірностей – того самого «фактора успіху», який відрізняє лідера від аутсайдера, більшість дій управлінців перетворюється на ворожіння на кавовій гущі.

Ігнорування систем моніторингу та аналітики дій персоналу зазвичай і призводить до однієї з двох проблем: надлишку або нестачі кадрів.

Overstaffing зазвичай характерний для компаній, які не можуть відокремити «лідерів » від «відстаючих». У таких ситуаціях фірма не може знайти оптимальних моделей праці, а також навчити та натренувати відстаючих, оскільки ідентифікувати останніх без сторонніх аналітичних систем не вдається. А питання про скорочення штату перетворюється на рулетку: ніхто не хоче випадково звільнити максимально ефективний персонал.

Проблеми зазвичай спливають не тільки у сфері підвищення кваліфікації кадрів, а й у сегменті розподілу робочого навантаження: частина працівників у таких фірмах може сидіти без діла і актуальних завдань.

Отже, у співробітників з’являється більше часу на розваги. Як наслідок активність інтернет-серфінгу, перегляд фільмів та ігор на робочому місці різко збільшується, а в зоні відпочинку – завжди людно.

Неймовірно, але факт: відсутність роботи знизить мотивацію та моральний дух персоналу. Кар’єристам цікаво розвиватися та рости в компанії, а не переглядати серіали та блукати офісом.

Найбільша стаття витрат для будь-якої компанії – це її персонал. І першою ознакою надлишку кадрів є зростання витрат на робочу силу при паралельному зниженні доходів. Якщо запустити проблему, то можна легко довести бізнес до банкрутства.
Зіткнувшись із надлишком кадрів, рано чи пізно компанії доведеться зробити відповідальний крок і зважитися на масові звільнення, адже на горизонті замаячить нерадужна перспектива. Якщо діяти необдумано, без використання систем аналітики, крім інформаційних ризиків, які спричиніє скорочення кадрів, бізнес може випадково попрощатися з «лідерами» — працівниками, які на своїх плечах тягнули бізнес уперед.

 

Далі буде…

Біометрична ідентифікація – тренд кібербезпеки

Кількість інформаційних інцидентів невпинно зростає. Віруси-шифрувальники, фішинг та соціальна інженерія з’явилися далеко не вчора. Проте, за останній рік інтенсивність зовнішніх атак на організації значно посилилася. Одна з головних причин зростання активності — пандемія COVID і перехід на віддалений формат роботи.

Епідемія породила необхідність перебудувати внутрішні та зовнішні алгоритми роботи, зануривши підприємства всіх форм власності у хаос. І цим відразу скористалися зловмисники. Адже криза для одних – це вікно можливостей для інших.

Разом із зростанням навантаження на профільні підрозділи, які були змушені кинути сили на модифікацію внутрішньої структури, збільшилася загроза інсайдерства. І справа не лише у співробітниках, які шукають нові нелегальні можливості підзаробити під час кризи. Персонал, що перейшов з офісу у затишну домашню обстановку, розслабився та став неуважним. Як наслідок, кількість витоків через необережність за останні 2 роки різко зросла.

Ситуація, , що склалася, підштовхнула розвиток нових способів захисту. І одне з найбільш очевидних рішень – біометрична автентифікація та ідентифікація користувача. Підробити, наприклад, обличчя чи сітківку ока практично неможливо. До того ж комплекси захисту даних, що використовують інструменти facial recognition, не лише дозволяють запобігти спробі входу неідентифікованого персонажа всередину периметра, а й точно встановити «автора» витоку, якщо інцидент стався.

Одним із маркерів інтенсивного зростання біометричних систем захисту є розмір ринку. Наприклад, у всьому світі він досяг майже 20 мільярдів доларів, а в США збільшився до 6 мільярдів.

Стів Мартіно, колишній старший віце-президент з інформаційної безпеки CISCO, вважає, що використання біометрії як другорядного фактора аутентифікації є одним з найбільш прогресивних способів захистити дані.

Найбільш досконалі алгоритми повинні не тільки включати ідентифікацію за допомогою пароля і, наприклад, особи, а й відстежувати, як той чи інший користувач використовує свій комп’ютер, реєструючи відхилення в шаблоні поведінки, якщо мала місце «підміна».

На сьогоднішній день масове впровадження комплексів з біометричною ідентифікацією особистості співробітників відбувається переважно у США. За межами Північної Америки такі системи найчастіше використовуються для додатків «бізнес-споживач». Наприклад, для віддаленої реєстрації клієнтів, а також у системах доступу до мобільних девайсів або автомобілів.

Проте інтерес до біометричної аутентифікації персоналу у Європі та Азії зростає швидкими темпами. Як наслідок, на ринку починають з’являтися рішення, що дозволяють задовольнити нові потреби бізнесу.

Наприклад, ще кілька років тому в комплексі Mirobase з’явилася система аналізу клавіатурного почерку, що дозволяє зареєструвати аномалії у поведінці співробітника та виявити відхилення у його емоційному та фізичному стані.

А за останній рік Mirobase отримав ще одну біометричну «фічу». Розпізнавання осіб дозволяє ідентифікувати працівника під час входу, фіксує його присутність на робочому місці, виявляє факт використання комп’ютера кимось іншим та повідомляє про це у службу безпеки.
Mirobase йде в ногу з часом і аналізує не лише дані, а й фізичне довкілля, стираючи межі між цифровою та фізичною безпекою.

Основа ефективної віддаленої праці

Віддалена праця – безпрограшний варіант як роботодавців, так співробітників. Завдяки впровадженню такого формату праці управлінець може суттєво підвищити лояльність, ефективність, знизити витрати, а також залучити краще підготовлених кандидатів та розширити кадровий резерв.

Однак співпраця з територіально розподіленими командами пов’язана з деякими складнощами. Найбільш очевидна з них – компанія практично повністю втрачає контроль за діями персоналу і, як наслідок, ризики витоку даних значно зростають.

Не менш важливими є й моральні аспекти роботи: почуття ізольованості від колег згодом може призвести до зниження мотивації віддаленого працівника. Крім того, поширені випадки, коли бізнесу не вдається налагодити нормальні комунікації всередині колективу, внаслідок чого значно падає швидкість прийняття важливих рішень.

На думку західних аналітиків, існує базис, на якому тримається ефективна дистанційна праця — регламентація дій усіх учасників процесу. Чи планує бізнес організувати територіально розподілену структуру на постійній основі, чи новий формат – реакція на виклики сьогодення, ігнорування цього правила може відіграти ключову негативну роль у життєдіяльності компанії.

Однією з основних переваг віддаленої роботи є гнучкість, але, як це не парадоксально, без чітких правил взаємодії, ефективної роботи не вийде.
Структура, на який знаходиться організація віддаленої праці, передбачає регламентування низки процесів, починаючи з порядку денного, і закінчуючи правилами комунікацій та обміну інформацією.

Співробітники повинні планувати свій день та нести відповідальність за якість та швидкість виконання завдань. Завдання керівника – допомогти у створенні робочих процесів. Очікування щодо часу початку та кінця трудового дня, тривалості перерв та відволікань на персональні потреби – ті правила гри, які мають бути озвучені на самому початку.
Ефективний тайм-менеджмент – важливий аспект будь-якого успішного бізнесу, але саме у випадку віддаленої праці необхідно приділити йому особливу увагу. Без додаткового контролю з боку управлінця, незабаром робочий день більшості дистанційних працівників перетвориться на нескінченне вирішення особистих питань. І на роботу в кращому випадку залишиться 30% оплаченого часу.

Підвищення ступеня контролю неминуче веде до необхідності застосування низки додаткових технічних інструментів. Адже без систем моніторингу персоналу та аналізу робочої активності дізнатися, чим же зайнятий працівник на даний момент часу та які конфіденційні дані вже залишили периметр безпеки організації – неможливо.

Посилення контролю – невід’ємна частина віддаленої праці, що дозволяє захистити активи компанії. Але коли йдеться про лояльність, завжди є місце для бонуса, без якого не уникнути швидкого вигоряння персоналу та збільшення плинності кадрів.

Кожна людина, яка перебуває в режимі «home office», має свій унікальний підхід до віддаленої роботи. Особливо гостро це відчувається в період локдаунів, які регулярно відбуваються по всьому світу. Будинок – не офіс, і більшості працівників доводиться ділити територію із співмешканцями. Отже незалежно від бажання роботодавця, цей фактор також необхідно враховувати. Гнучкість організації робочого часу дозволить працівникові побудувати свій день таким чином, щоб усі сторони процесу почувалися максимально комфортно. Принцип «win-win» у дії: керівник знає, чим зайнятий його підлеглий і коли він доступний для спілкування. При цьому самому співробітнику не доводиться розриватися між роботою і факторами, що відволікають від неї.

Ще один важливий момент, який часто призводить до негативних наслідків впровадження віддаленої форми праці – межа між роботою та особистим життям, що зникає. У цій ситуації керівнику необхідно окреслити межі дозволеного протягом трудового дня та проконтролювати, щоб персонал не переходив їх. З іншого боку, управлінцю і самому не варто забувати про червоні лінії: якщо співробітник працює з дому, це не привід ставити завдання після закінчення робочого часу.
Суворі правила гри, яких дотримуються обидві сторони процесу, – основа ефективної віддаленої праці. Персонал повинен слідувати чітким і зрозумілим алгоритмам, керівник – контролювати цей рух, при цьому не виходячи за встановлені рамки.