System nie dla szefa
-
- Antoni Bielewicz,
- 20.10.2003
Nowoczesne systemy do nadzoru nad użytkownikami pozwalają na sprawdzenie, jakie strony WWW odwiedzał pracownik oraz ile przerw zrobił w trakcie wykonywania powierzonych zadań.
Nowoczesne systemy do nadzoru nad użytkownikami pozwalają na sprawdzenie, jakie strony WWW odwiedzał pracownik oraz ile przerw zrobił w trakcie wykonywania powierzonych zadań.
Kto w poniedziałkowe poranki nie ma problemów z zabraniem się do nawet najpilniejszych prac? Chyba każdy w miarę możliwości odwleka chwilę, kiedy zasiądzie do swoich zadań. Kawa, rozmowy ze współpracownikami, przeglądanie list dyskusyjnych, lektura porannej prasy w Internecie, gorączkowe wspominanie wydarzeń z weekendu przez Gadu-Gadu. Wszystko po to, by odwlec moment, w którym nieuchronnie trzeba będzie wreszcie wziąć się do pracy.
Takie początki tygodnia nieuchronnie odchodzą w przeszłość, ponieważ coraz więcej firm wdraża w swoich sieciach narzędzia do kontroli pracowników. Za oceanem to już rzeczywistość. Zgodnie z przywoływanymi wielokrotnie badaniami American Management Association z 2001 r. ponad 78% przedsiębiorstw podjęło już kroki mające na celu nadzór nad sposobem korzystania z sieci przez podwładnych (w porównaniu z 1997 r. to ponaddwukrotny wzrost). Ponad jedna piąta szefów zwolniła już kogoś w związku z nadużyciami popełnionymi przy użyciu poczty elektronicznej.
W Polsce nikt do tej pory nie przeprowadzał podobnych badań. Można z dużym prawdopodobieństwem przypuszczać, że współczynnik ten byłby zdecydowanie niższy. Niektóre firmy przyznają się już jednak do zwolnień z powodu niewłaściwego wykorzystania poczty elektronicznej. Coraz częściej myślą też o implementacji specjalistycznych systemów monitorujących. Jak przyznają przedstawiciele firm zajmujących się bezpieczeństwem, przy okazji kompleksowych wdrożeń z tego zakresu klienci coraz częściej pytają o funkcje, umożliwiające kontrolę poczynań pracowników w sieci. Zdaniem jednego z wdrożeniowców odsetek przedsiębiorstw z pierwszej 100 listy największych firm wg dziennika Rzeczpospolita, które implementują u siebie różnorakie mechanizmy kontrolne, sięga już prawie 50%.
Kontrola zawartości przy okazji
Wybór narzędzi kontrolnych w sieci firmowej jest niemal tak duży, jak liczba witryn pornograficznych i innych, przed którymi mają one stanowić zaporę od rozwiązań do kompleksowej ochrony przed zagrożeniami płynącymi z sieci i poczty elektronicznej, przez specjalizowane rozwiązania do analizy i pomiarów produktywności, po sprzętowe rozwiązania umożliwiające rejestrację i analizę zdarzeń zachodzących w sieci.
W pierwszej grupie znajdują się rozwiązania do ochrony antywirusowej. Produkty firm, takich jak ClearSwift, Alladin, Sunsoft, TrendMicro, Computer Associates czy Symantec, oprócz funkcji, zapewniających ochronę sieci, serwerów i stacji roboczych przed wirusami i spamem, zawierają funkcje związane z szeroko rozumianą kontrolą przesyłanych w sieci treści. Obok wyłapywania "podejrzanych przesyłek" umożliwiają selekcję, filtrowanie i zapis tych zawierających określone znaki, słowa czy frazy, wg reguł tworzonych przez administratora.
W skład niektórych pakietów wchodzą dodatkowe aplikacje, takie jak WebSweeper firmy ClearSwift, pozwalające na kategoryzację serwisów i odcięcie dostępu do wszystkich witryn o charakterze rozrywkowym lub erotycznym, wprowadzanie zakazów przesyłania i pobierania plików przekraczających założoną wielkość bądź określonego typu, np. filmów. Podobne funkcje, reglamentujące dostęp do serwisów internetowych, oferują również inne narzędzia klasy EIM (Employee Internet Management). Najpopularniejszy spośród nich to Websense Enterprise. System ten, zwykle integrowany z serwerem proxy lub serwerem zaporowym, filtruje ruch, porównując wywoływane adresy z aktualizowaną bazą stron WWW posegregowanych w odrębne kategorie, takie jak seks, sport, media.
Edward Gołda, menedżer ds. bezpieczeństwa systemów informatycznych w BP Polska
BP stawia sobie wiele celów, często wykraczających poza biznes. Dotyczy to m.in. zarządzania tzw. kulturą organizacyjną opartą na etycznych działaniach firmy wobec pracowników i odwrotnie pracowników wobec firmy. W firmie obowiązują szczegółowe reguły dotyczące niektórych zachowań, m.in. dostępu do Internetu, sposobu korzystania z poczty elektronicznej, treści publikowanych na stronach czy zasad użytkowania sprzętu komputerowego.
BP prowadzi otwartą politykę korzystania z narzędzi komunikacji, takich jak Internet, system poczty elektronicznej czy telefon. Jest ona jasno i wyraźnie określona i zna ją każdy pracownik BP. Używamy systemów, które kontrolują aktywność pracowników w Internecie. Oni o tym wiedzą i zdają sobie sprawę z tego, co robić wolno, a czego nie wolno. Mają też świadomość konsekwencji wykonywanych działań. Wiedzą jednak, że BP używa tych narzędzi jedynie w przypadku nadużyć.
O ile jeszcze kilka lat temu pytanie na temat potrzeby nadzoru nad pracownikami odczułbym jako coś uzasadnionego, o tyle dziś wydają mi się one abstrakcyjne. Pracownik trafiający do tego typu organizacji dostaje informację o prawach oraz obowiązkach i albo się na to godzi, albo nie.
Każdy ma prawo do popełniania błędów. Najważniejsze jest, czy potrafi czerpać z tego naukę na przyszłość. W razie złamania zasad korzystania np. z Internetu pracownik otrzymuje sygnał, że zachował się niezgodnie ze standardami firmowymi Ń jest to np. e-mail, reprymenda czy rozmowa z przełożonym. Drugi przypadek niezastosowania się do reguł to najczęściej wpis w akta pracownicze. Potem w grę wchodzi nawet zwolnienie, co zresztą miało w naszej firmie miejsce.
Blokujemy dostęp do niektórych stron. Na początku spotykało się to z pewnym oporem wynikającym głównie z niedoskonałości narzędzi, które blokowały dostęp np. do portali, na których treści dozwolone sąsiadowały z treściami niedozwolonymi.
Prowadzimy przegląd sposobu użytkowania telefonów stacjonarnych i komórkowych. Nie analizujemy wszystkich, lecz kilka, kilkanaście najwyższych rachunków. Robimy to nie tylko pod kątem oszczędności ekonomicznych, ale także by wypracować inne, efektywniejsze metody komunikacji, wykryć przyczyny i skutki nadużyć.
Bardzo ważną rzeczą przy wprowadzaniu polityki nadzoru jest konsekwencja. Należy jasno określić, co chcemy osiągnąć, jak to chcemy osiągnąć, jak będziemy weryfikować te założenia w przyszłości, określić, kto za to odpowiada i do kogo można zwrócić się z wątpliwościami. To rodzaj umowy między firmą a pracownikiem broniącej interesów obu stron.
Katarzyna Tomczak, dyrektor personalny HP Polska
Nie kontrolujemy dokładnie naszych pracowników. Przez lata koncern wypracował kodeks postępowania mówiący, co przystoi pracownikowi HP, z którym każda nowo zatrudniona osoba jest zobowiązana się zapoznać. Nie kontrolujemy poczty pracowników ani stron, z których korzystają w trakcie pracy. Dopuszczamy w ograniczonym zakresie korzystanie z Internetu w celach prywatnych, chociażby z tego względu, że zajęcia pracowników HP są na tyle pracochłonne, że pewnych spraw nie byliby w stanie załatwić. Oczywiście, to nie może być nadużywane.
W firmie, takiej jak HP, gdzie wszyscy pracują w zespołach, bardzo łatwo zauważyć, gdy ktoś poświęca zbyt wiele czasu aktywności pozazawodowej. Stąd pewne kwestie podlegają swoistej samoregulacji. Wychodzimy z założenia, że w ten sposób milej się pracuje. Zresztą tworzenie zbyt wielu ograniczeń może zmusić pracowników do poszukiwania sposobów na ich ominięcie.
