Jak firmowe działy IT szpiegują pracowników
- 23.11.2010
Zdarzają się przypadki, gdy zarząd firmy podejmuje decyzje o kontroli tego, co robią pracownicy. Zazwyczaj wykonawcą tej decyzji jest dział IT.
Zjawisko to występuje w niemal wszystkich krajach, Polska miała też swój akcent w postaci arkusza IMEX, który implementował komunikator internetowy z transportem do Gadu-Gadu, działający wewnątrz arkusza MS Excel. Komunikator ten działał w niejednej polskiej firmie, dając wielu pracownikom możliwość prowadzenia prywatnych konwersacji bez "dekonspirujących" barwnych okien z reklamami. Aby uniknąć wykrycia, oferowano także płatny, szyfrowany tunel.
Odpowiedzią działów IT, które muszą wykazać zgodność z polityką bezpieczeństwa, było początkowo filtrowanie i blokowanie niektórych stron WWW oraz monitoring poczty elektronicznej. Obecnie spotyka się także monitorowanie blogów i serwisów społecznościowych, rejestrowanie i porównywanie billingów telefonii komórkowej oraz wiadomości SMS. Niektóre działy wykorzystują nawet moduły GPS, by śledzić położenie swoich pracowników wyposażonych w telefony klasy smartphone. Inne firmy korzystają z ofert śledzenia położenia udostępnianych przez sieci komórkowe. Jest to regułą w przypadku rozliczania samochodów służbowych.
Szpieg z krainy IT
Dział IT często wykonuje całą "brudną robotę" związaną z monitorowaniem poczynań pracowników, gdyż specjaliści właśnie z tego działu dysponują wiedzą, która jest niezbędna do wykonania zadania. Chociaż trudno zdobyć statystyki, specjaliści są zdania, że prace związane z monitorowaniem aktywności pracowników stanowią coraz większą część ogółu zadań realizowanych przez IT. Według prof. Michaela Workmana, naukowca współpracującego z amerykańską uczelnią Florida Institute of Technology, obowiązki związane z monitorowaniem aktywności pracowników zajmują średnio co najmniej 20% czasu pracy menedżera IT. Daje się zauważyć wzrost działań w tej dziedzinie, daleko wykraczający poza prognozy. Według Workmana, występuje tutaj podział pod względem obowiązków, które dana osoba wypełnia w firmie. Ci, którzy specjalizują się w zagadnieniach bezpieczeństwa, uważają ten obszar za część swoich obowiązków i normalne zadania związane z zapewnieniem bezpieczeństwa informacji w firmie. Z kolei specjaliści, którzy zajmują stanowiska obejmujące szerszy zakres obowiązków, na przykład administratorzy sieci, nie lubią tej części pracy i podchodzą do niej z niechęcią. Nieco pomaga fakt, że dział IT nie konfrontuje tutaj zarejestrowanych informacji i nie słucha wyjaśnień przyłapanego pracownika, zazwyczaj jedynie jest to raportowane do jego przełożonego. Niemniej jednak kontrola odbywa się coraz częściej.
Jeszcze niedawno logi z zapór sieciowych oraz raporty z firmowej komunikacji przeglądano pod kątem aktywności pracowników tylko wtedy, gdy pojawiły się jakieś zgłoszenia. Obecnie monitoring taki wykonuje się rutynowo, przy czym w niektórych organizacjach zajmuje to aż jeden dzień w tygodniu. Zazwyczaj osoba delegowana do takiego zajęcia przegląda logi, analizując, czy zawierają coś, co należy przedyskutować. Aktywność związana z pornografią, hazardem lub sianiem nienawiści w Internecie natychmiast powoduje alarm.
Bat na pracowników
ogółu czasu pracy menedżera IT stanowią obowiązki związane z monitorowaniem aktywności pracowników.