Говорим о работе, делимся советами, разбираем ошибки

Как доверить внедрение корпоративного портала подрядчику? Риски и правила информационной безопасности



Корпоративные порталы давно стали популярным бизнес-инструментом в самых разных компаниях. На определенном этапе развития бизнеса внедрение внутрикорпоративных решений не только целесообразно, но и необходимо. Современный корпоративный портал сегодня – не просто доска объявлений, это:
  • хранитель документальной базы и всей истории деятельности компании;
  • глобальный планировщик и контролер выполнения задач;
  • универсальный коммуникатор, сборщик информации и PR-пропагандист;
  • управленческий монитор за состоянием бизнес-системы.
В дополнение на него можно довесить системы CRM, CALL-центр и другие инструменты.

Возможности и преимущества корпоративных порталов – это отдельный разговор. В этой статье речь пойдет о рисках , связанных с безопасностью коммерческой информации. Именно из-за опасений неконтролируемого доступа к конфиденциальным данным некоторые руководители неохотно принимают решение о о внедрении или развитии КП, особенно, когда к работе привлекаются сторонних компаний.

***

Процесс внедрения на предприятии современного корпоративного портала трудно представить без привлечения подрядчиков – вопрос только в степени их вовлеченности. Некоторые руководители видят в этом риски для своего бизнеса. Для многих служб безопасности компаний мысль о том, что к «святая святых» придется допустить посторонних, просто невыносима. И даже готовность подрядчика подписать любой договор о неразглашении полученной информации успокаивает как-то не сильно. Хотя в серьезных, заботящихся о своей репутации консалтинговых и «внедренческих» конторах, договоры о неразглашении информации клиентов сотрудники подписывают еще при заключении кадровых контрактов.

Но есть не только юридические, но и организационно технологические меры, обеспечивающие защиту коммерческой информации.

При грамотно выстроенной системе защиты информации, сотрудники подрядчика вынесут после внедрения портала в разы меньше информации, чем самый рядовой сотрудник компании.

Рекомендации от BlueOcean всем компаниям, внедряющим и обслуживающим свои корпоративные порталы с привлечением подрядчиков

Для начала изложим основные принципы организации работы с подрядчиками по внедрению и обслуживанию корпоративного портала, минимизирующие риски утечки коммерческой информации.

Принцип 1 Выбирай надежного подрядчика. Разумеется, степень информационной безопасности не зависит от величины компании-подрядчика и времени ее присутствия на рынке. Однако контора, внедрившая несколько десятков КП и не испортившая свою репутацию, заботится о защите информации своих клиентов сильнее, чем иногда сами клиенты.

Принцип 2 Меньше подрядчику – больше своим сотрудникам. Многие операции на стадии внедрения КП могут выполнить сотрудники компании-клиента после небольшого обучения. Чем раньше сотрудники компании-клиента будут привлечены к внедрению, тем меньше будет вовлеченность сотрудников подрядчика и, как следствие, меньше доступа к коммерческой информации.

Принцип 3 Визуальный и технический мониторинг работы операторов подрядчика. На любой экаунт и операторское место возможно поставить программу, протоколирующую все действия оператора или даже записывающую все происходящее на мониторе в медиа-файл, который потом можно просматривать хоть в покадровом режиме. Можно установить тотальный контроль за действием подрядчиков в своей информационной системе. При работе с наиболее ценной информацией вполне уместен визуальный контроль за работой оператора со стороны сотрудников службы безопасности (или сотрудника IT) компании-клиента.

Здесь еще надо понимать, что операторы подрядчика – это «технари», которые точно не могут «на лету» разобраться в открывшейся им управленческой или маркетинговой информации (да им это и не нужно, они «втыкают» в свое). Они не смогут эту информацию вынести «наружу» в сколько-нибудь связном виде (если, конечно, они не прошли специальную диверсионную школу и не обладают фотографической памятью).

Принцип 4 Удаленный доступ для подрядчика – только санкционный. Это значит, что у подрядчика не должно быть свободного бесконтрольного удаленного доступа к КП. При возникновении необходимости подключения подрядчика для обслуживания КП, представитель клиента санкционирует такой доступ, открывает канал входа, принимая все меры в соответствии с Принципом 3.

***

А теперь разберем более подробно обеспечение безопасности каждого вида коммерческой информации.

Документы Оператор подрядчика работает здесь с массивами (списками, каталогами) документов. Необходимость открыть какой-нибудь документ может возникать только для тестовой проверки, читать документы для выполнения своих задач оператору некогда и незачем. Следовательно, технический или визуальный контроль со стороны клиента исключит утечку информации в этой части работ.

Данные о персоналиях (сотрудниках, контрагентах и пр.) На стадии внедрения КП можно практически на 100% исключить доступ подрядчика к этой информации. В этом случае портал внедряется с помощью тестовых персональных карточек, а реальные данные «заливают» потом свои сотрудники. Если же данные втягиваются из каких-то готовых баз (например, ActiveDirect), оператор здесь так же, как и в Документах, работает с массивом информации, без необходимости изучать ее детально (для тестовых работ контролер со стороны клиента может выбрать и указать наименее «секретные» карточки).

Задачи и проекты Эта информация заполняется сотрудниками компании после обучения. Оператор подрядчика, когда ему понадобиться входить в Процессы в рамках услуги по обслуживанию, в любом случае будет не в состоянии по фрагментам составить сколь-нибудь цельную картину о процессах компании. (Напоминаем, что оператор подрядчика – обладатель совсем других знаний и компетенций).

Финансовая информация, сделки Портал – это не финансовый инструмент, так что бухгалтерской и управленческой финансовой информации подрядчик по внедрению корпоративного портала не получит. Максимально, что ему может быть доступно – это информация в сервисе CRM (отношения с клиентами), но защиту информации здесь возможно осуществить так же, как и в «Задачах и проектах».

Сервисы коммуникаций («живая лента», почта, чат и пр.) Осуществить сбор информации по сервисам коммуникаций возможно только при наличии продолжительного бесконтрольного доступа. Как мы уже говорили выше, такую возможность для удаленного подрядчика можно и нужно исключить.

***

Что еще минимизирует риски утечки информации и сокращает присутствие подрядчика во внутрикорпоративном пространстве – это собственный обученный главный администратор портала в штате IT-службы. Как правило, до 90% требуемых исправлений и доработок может делать такой администратор при консультационной поддержке подрядчика.

Выводы На основании всего вышесказанного можно с уверенностью утверждать, что при грамотном применении организационных и технических мероприятий вероятность утечки коммерческой информации при внедрении и обслуживании корпоративного портала с привлечением сторонних организаций-подрядчиков стремится к нулю. Поэтому руководству компаний нет никаких оснований затягивать вопрос с внедрением корпоративного портала в деятельность своего предприятия из-за подобных опасений. Также как и нет смысла набирать свой штат программистов для полностью закрытого внедрения и обслуживания КП, когда есть намного более эффективный, и при этом безопасный, аутсорсинг.

Из практики компании BlueOcean. В одной крупной международной компании белорусского происхождения, работающей на логистическом рынке Европы и СНГ, служба безопасности запретила подрядчику удаленный доступ при внедрении и обслуживании внутрикорпоративного портала, мотивируя это тем, что IT-служба при таком доступе не сможет обеспечить защиту информации. Приходилась нашим сотрудникам по каждому случаю ездить к подрядчику, что затягивало процесс. Удивление такому решению клиента не прошло до сих пор, всё задаемся вопросом: это такой уровень компетентности у службы безопасности, или же это желание СБ сократить себе работу в ущерб интересам компании?

Лучшие статьи по теме

Комментарии