Jak firmowe działy IT szpiegują pracowników

Organizacja musi jednak zachować zerową tolerancję dla działalności, która prowadzi do narażenia firmy na straty - a takie działania obejmują udostępnianie nielegalnej treści, kradzież własności intelektualnej, zagadnienia związane z pornografią dziecięcą oraz wszczynanie wszelkiej nienawiści, także na portalach społecznościowych. Jeśli polityka jest wdrożona w sposób zrozumiały dla pracowników, takie przypadki w ogóle nie powinny występować.

Komputer pod lupą

Niekiedy firmy decydują się na instalację oprogramowania szpiegującego, które rejestruje całą sesję użytkownika - pocztę elektroniczną, komunikatory internetowe, odwiedzane strony WWW, słowa kluczowe użyte przy wyszukiwaniu, uruchamiane programy, transferowane pliki, a nawet wciskane klawisze i zrzuty ekranu. Oprogramowanie takie jest dość szeroko dostępne w ofertach wielu firm, niemniej jednak pozostaje ważny dylemat dotyczący poinformowania pracowników o tak głębokiej inwigilacji ich poczynań związanych z pracą przy komputerze. Jest to również poważny problem prawny - czy rejestrowanie wszystkich czynności, które pracownik wykonuje na firmowym komputerze jest dopuszczalne.

Wielu menedżerów nie zdaje sobie nawet sprawy z tego, że pozyskanie wiarygodnych materiałów jest długotrwałym i pracochłonnym zadaniem. Wymaga między innymi niebudzącego wątpliwości co do autentyczności sposobu skopiowania danych z oryginalnego dysku, a następnie analizowania informacji zawartej na kopii, by uniknąć naruszenia zapisu. Żądania analizy bezpośrednio z badanego dysku, stawiane przez menedżerów, dość często spotyka się w praktyce pracy informatyków. Prowadzą one bardzo często wprost do konfliktów, gdyż specjaliści informatyki śledczej wiedzą, że takie działania sprawiają, iż materiał jest bezwartościowy w sądzie, z kolei menedżerom nie podoba się czas oraz koszty poprawnie przeprowadzonego postępowania. Niemniej jednak w uzasadnionych przypadkach należy je wykonywać zgodnie z przyjętymi procedurami, gdyż straty związane z przegraną sprawą sądową mogą być znacznie wyższe niż koszty poprawnego gromadzenia śladów.

Zdrowy rozsądek

Informatycy podzielają opinię, że praca staje się znacznie trudniejsza, gdy ludzie się ich boją. Zamiast współpracy, która jest niezbędna do sprawnego wykonywania obowiązków, informatycy spotykają opór, ukrywanie się i niechęć. Podejście, w którym zakłada się winę pracownika do czasu udowodnienia, że jest inaczej, powoduje istotny spadek morale pracowników w firmie i jest ostatnią rzeczą, jakiej rozsądny menedżer mógłby sobie życzyć. Zamiast ciągłego monitorowania, czasami lepiej zastosować inną politykę, wprowadzając rejestrowanie informacji, ale przeglądanie archiwizowanych zapisów ich dopiero wtedy, gdy występują zgłoszenia dotyczące pracy danego pracownika albo informacje dotyczące istotnego zagrożenia bezpieczeństwa infrastruktury IT firmy.

Na podstawie "When IT is asked to spy" by Tam Harbert, October 11, 2010 (Computerworld)

Niezbędne zasady

Eksperci są zdania, że jeśli firma ma zamiar wdrożyć monitoring tego, co jej pracownicy robią, musi przygotować odpowiednie regulacje:

- Wdrożyć formalne, pisane zasady korzystania z Internetu, które regulują, co pracownicy mogą, a czego nie wolno im robić przy przeglądaniu stron WWW oraz korzystaniu z poczty elektronicznej.

- Polityka ta powinna uwzględniać także sieci społecznościowe, prywatne strony WWW oraz blogi internetowe prowadzone przez pracowników, także w celach prywatnych.

- Wyjaśnić racjonalne powody, które kierują wprowadzeniem takich restrykcji, wskazując przykład opublikowania na prywatnym blogu informacji, które mogą narazić firmę na konsekwencje prawne. Jednocześnie należy podać informacje na temat zakresu monitorowania i sposobu, a także konsekwencji naruszenia polityki.

- Wprowadzić obowiązek zapoznania się z tymi zasadami przez nowo przyjmowanych pracowników, a także prowadzić okresowe szkolenia, by wszyscy zatrudnieni znali i stosowali się do opublikowanych zapisów.

- Uruchomić jasne procedury, które zostają uruchomione, gdy wykryte zostaje naruszenie założeń. Muszą one określić, kto i komu raportuje naruszenie założeń polityki, jak muszą być one udokumentowane i kto skonfrontuje wyniki monitorowania z osobą, która prawdopodobnie te założenia naruszyła.

- W ustaleniu i wdrożeniu tych założeń powinien brać udział nie tylko dział IT, gdyż niezbędna jest współpraca działu prawnego oraz kadr.

- Pracownicy IT muszą mieć świadomość, że oni także powinni podlegać kontroli - i podlegają. Zazwyczaj do kontroli takich osób wynajmowane są zewnętrzne podmioty, takie jak firmy konsultingowe.


TOP 200