Jak firmowe działy IT szpiegują pracowników

Zdarzają się przypadki, gdy zarząd firmy podejmuje decyzje o kontroli tego, co robią pracownicy. Zazwyczaj wykonawcą tej decyzji jest dział IT.

Gdy korporacyjne rozwiązania łączące wideo, głos i sieci IP łączą pracowników, coraz więcej wydarzeń pozostawia ślad w Internecie. Pracownicy przeglądają Internet, trwoniąc czas, rozpowszechniają poufne informacje, zarówno przypadkiem, jak i celowo albo dokonują innych wykroczeń, sprawiając przy tym wrażenie, że intensywnie pracują.

Zjawisko to występuje w niemal wszystkich krajach, Polska miała też swój akcent w postaci arkusza IMEX, który implementował komunikator internetowy z transportem do Gadu-Gadu, działający wewnątrz arkusza MS Excel. Komunikator ten działał w niejednej polskiej firmie, dając wielu pracownikom możliwość prowadzenia prywatnych konwersacji bez "dekonspirujących" barwnych okien z reklamami. Aby uniknąć wykrycia, oferowano także płatny, szyfrowany tunel.

Odpowiedzią działów , które muszą wykazać zgodność z polityką bezpieczeństwa, było początkowo filtrowanie i blokowanie niektórych stron WWW oraz monitoring poczty elektronicznej. Obecnie spotyka się także monitorowanie blogów i serwisów społecznościowych, rejestrowanie i porównywanie billingów telefonii komórkowej oraz wiadomości SMS. Niektóre działy wykorzystują nawet moduły GPS, by śledzić położenie swoich pracowników wyposażonych w telefony klasy smartphone. Inne firmy korzystają z ofert śledzenia położenia udostępnianych przez sieci komórkowe. Jest to regułą w przypadku rozliczania samochodów służbowych.

Szpieg z krainy IT

Dział IT często wykonuje całą "brudną robotę" związaną z monitorowaniem poczynań pracowników, gdyż specjaliści właśnie z tego działu dysponują wiedzą, która jest niezbędna do wykonania zadania. Chociaż trudno zdobyć statystyki, specjaliści są zdania, że prace związane z monitorowaniem aktywności pracowników stanowią coraz większą część ogółu zadań realizowanych przez IT. Według prof. Michaela Workmana, naukowca współpracującego z amerykańską uczelnią Florida Institute of Technology, obowiązki związane z monitorowaniem aktywności pracowników zajmują średnio co najmniej 20% czasu pracy menedżera IT. Daje się zauważyć wzrost działań w tej dziedzinie, daleko wykraczający poza prognozy. Według Workmana, występuje tutaj podział pod względem obowiązków, które dana osoba wypełnia w firmie. Ci, którzy specjalizują się w zagadnieniach bezpieczeństwa, uważają ten obszar za część swoich obowiązków i normalne zadania związane z zapewnieniem bezpieczeństwa informacji w firmie. Z kolei specjaliści, którzy zajmują stanowiska obejmujące szerszy zakres obowiązków, na przykład administratorzy sieci, nie lubią tej części pracy i podchodzą do niej z niechęcią. Nieco pomaga fakt, że dział IT nie konfrontuje tutaj zarejestrowanych informacji i nie słucha wyjaśnień przyłapanego pracownika, zazwyczaj jedynie jest to raportowane do jego przełożonego. Niemniej jednak kontrola odbywa się coraz częściej.

Jeszcze niedawno logi z zapór sieciowych oraz raporty z firmowej komunikacji przeglądano pod kątem aktywności pracowników tylko wtedy, gdy pojawiły się jakieś zgłoszenia. Obecnie monitoring taki wykonuje się rutynowo, przy czym w niektórych organizacjach zajmuje to aż jeden dzień w tygodniu. Zazwyczaj osoba delegowana do takiego zajęcia przegląda logi, analizując, czy zawierają coś, co należy przedyskutować. Aktywność związana z pornografią, hazardem lub sianiem nienawiści w Internecie natychmiast powoduje alarm.

Bat na pracowników

20%

ogółu czasu pracy menedżera IT stanowią obowiązki związane z monitorowaniem aktywności pracowników.

Korporacje nie tylko coraz częściej i ściślej monitorują działalność pracowników, ale także stosują coraz surowsze kary w przypadku wykrycia naruszeń wprowadzonej polityki bezpieczeństwa, aż do zwolnienia sprawcy, z wilczym biletem włącznie. Zazwyczaj udziela się pierwszego ostrzeżenia, konsekwencje przychodzą w przypadku kolejnych naruszeń, przy czym działanie oficera bezpieczeństwa nieco przypomina lokalnego policjanta, który dobrze zna mieszkańców. Jeśli w firmie prowadzona jest otwarta i uczciwa polityka związana z ochroną informacji, zgłoszenia poważnych naruszeń zdarzają się bardzo rzadko, są to pojedyncze przypadki. Gdy pracownicy wiedzą, że ich działalność może być monitorowana, działają uczciwie i rzadko dochodzi do konfliktów na tym tle. Przy ustalaniu zasad należy pamiętać, że pracownicy potrzebują choćby krótkiej przerwy w pracy i oderwania od firmowych spraw.