DLP и гуманизм - про комфортную безопасность

Тему контроля сотрудников недолюбливают. Но приходится признать, что контроль в компаниях – дело неизбежное. Вопрос только в том, какой его вид раздражает сотрудников меньше. На примере одного кейса ведущий аналитик «СёрчИнформ» Леонид Чуриков развивает мысль, почему «злая система» DLP на самом деле создает для сотрудников меньше стресса, чем другие инструменты контроля.

Внедрение DLP-систем для контроля сотрудников часто расценивают как недоверие и как средство подавления инициативы, креатива и всех прочих полезных для развития бизнеса качеств. Но весь наш опыт работы с программой позволяет сделать совершенно другие наблюдения. И чтобы их проиллюстрировать, приведу кейс нашего клиента. Он показывает, что даже относительно безобидный, но нерасследованный инцидент может создать в компании множество проблем.

В одной компании DLP-система зафиксировала необычную активность сотрудников – возбужденное обсуждение какого-то события. Анализ показал, что причиной явился некий документ – план возможных действий руководства, предусмотренных на случай кризиса. Описывались в нем вероятное снижение командировочных расходов, введение новых KPI и прочие малоприятные меры. Понятно, что сотрудники начали горячо обсуждать и меры, и начальство. Непонятно только, откуда рядовым менеджерам стали известны подробности закрытого совещания?

Скорее всего, документ слил инсайдер, который работает на конкурентов/мечтает о саботаже/обижен на руководство/готовит громкое увольнение/хочет подсидеть коллег. То есть круг подозреваемых большой – как говорится, подчеркните нужное. 

И вот уже все смотрят друг на друга волком – инцидент создал поле неопределенности. В каждой фразе сквозит двусмысленность, недоговоренность или ложь. Подозрительность приводит к отсутствию прежнего доверия. Что делать службе безопасности? Сажать всех на полиграф или вызывать в кабинет для опросных бесед? Прислушиваться к разговорам в курилках? Отказаться от расследования вовсе ввиду «малозначительности» или избрав тактику «само рассосется»?

Описанный в кейсе инцидент расследовали с помощью DLP. Система показала, что документ был по ошибке направлен не на тот принтер – сотрудник, ездивший в командировку в удаленный офис, забыл сменить настройки устройства. Кликнув на «печать», он не увидел документа на своем принтере, хлопнул себя по лбу, переставил галочку и распечатал там, где нужно – в своем кабинете. А первоначально отправленный на принтер файл был, естественно, обнаружен людьми, не имеющими доступа к такого рода информации.

То есть никакого саботажа, подсиживания не было. Была оплошность.

Расследование прошло буквально в два клика, в тот же день у руководства и HR-департамента на руках были результаты. Они смогли быстро объяснить коллективу причину утечки. Но главное – рассказать, что сокращение бюджетов и прочие меры еще не приняты, а рассматриваются на случай усиления кризиса. Что даже если они будут приниматься, их задача – сэкономить на малом, чтобы не допустить сокращений персонала.

Конечно, и такие объяснения не вызвали восторгов в коллективе, но негативная волна быстро угасла. А точечное расследование не позволило расплодиться подозрениям, которые бы блокировали работу сотрудников.

В чем же, в итоге, проявляется польза DLP?

Я вижу три главных плюса:

• Применение программы дает уверенность, что все важные инциденты будут расследованы.
• Расследование будет проведено объективно, с опорой на факты, а не только на стресс подозреваемого, которого приперли к стенке или подключили к полиграфу.
• В коллективе не будет создан стресс и страх, что в случае чего СБ начнет подозревать «кого попало в чем угодно». Добропорядочным сотрудникам ничего не мешает работать, для них создается комфортная рабочая среда.

А теперь вернемся к исходным тезисам. Создает ли DLP атмосферу недоверия? Нет, быстрое и точное расследование наоборот снижает стресс, что под «шальную пулю» подозрений может попасть невинный. Снижает ли желание проявлять креативность и инициативность? Тоже нет – ИБ- и СБ-службе не нужно дергать работников по мелочам, контроль становится фоновым, и сотрудники о нем просто забывают. DLP-система при правильном применении – не карательный инструмент. В ней заложены возможности, благодаря которым СБ перестает ценностно противостоять HR-департаменту и принимает участие в решении бизнес-задач.