Mednarodne lestvice med tveganji informacijske varnosti uvrščajo zaposlene zelo visoko, zato se tudi vodstva podjetij odločajo za vse pogostejši nadzor zaposlenih. Nekateri strokovnjaki celo menijo, da bodisi nezadovoljni bodisi neosveščeni zaposleni predstavljajo tveganje št. 1 za informacijsko varnost podjetja. Kaj storiti, preden se odločite za nadzor zaposlenih in zbiranje podatkov o njihovem ravnanju?
Človeški možgani: čudovito navdihujoč, a nezanesljiv informacijski sistem
Četudi v skladu z vsemi imperativi, ki jih sodobnim uporabnikom nalaga informacijska varnost, še tako redno posodabljamo aplikacije, protivirusne programe in nalagamo posodobitve, obstaja informacijski sistem, ki krpanje (patching) in posodabljanje potrebuje še veliko bolj kot informacijski sistem podjetja: človeški možgani.
Ne glede na to, da informacijska varnost zadnja leta vsako minuto bolj pridobiva na pomembnosti in veljavi, se še vedno ne moremo izogniti upoštevanju najpomembnejšega faktorja: človeku. Human(isti)čno naravnani bi olajšano vzdihnili »Na srečo!«, varnostni strokovnjaki in direktorji pa z »Hja, žal…« nekoliko nejevoljno zavili z očmi.
Mednarodne lestvice varnostnih tveganj zaposlene uvrščajo zelo visoko – nekateri strokovnjaki celo menijo, da bodisi nezadovoljni bodisi neosveščeni zaposleni predstavljajo tveganje št. 1 za informacijsko varnost podjetja.
Kakšna tveganja za informacijsko varnost predstavljajo zaposleni?
- nevede odpirajo okužene spletne strani in elektronsko pošto ter tako ogrozijo celoten informacijski sistem podjetja;
- občutljive poslovne in osebne podatke shranjujejo na nezaščitene USB ključe in jih odnašajo iz prostorov podjetja ter jih tako naredijo dostopne vsakomur;
- službene prenosne računalnike z nešifrirano vsebino puščajo v avtu in jih tako izpostavijo možnosti kraje;
- osebne podatke drugih zaposlenih shranjujejo tako, da imajo dostop do njih tudi nepooblaščeni zaposleni;
- prijavljajo se na nezaščitena brezžična WiFi omrežja na službeni poti;
- ne zaklepajo zaslonov računalnika, ne menjujejo gesel, ampak jih delijo še s kopico drugih sodelavcev, itd.
Je daljši korenček ali palica?
Nekateri delodajalci se namesto za zbiranje podatkov o ravnanju zaposlenih, raje odločajo za preventiven in prijaznejši pristop. Odločajo se za osveščanje zaposlenih glede dobrih in varnih praks poslovanja ter za vzpodbude, da zaposleni tem praksam sledijo. Spet drugi delodajalci dajejo močnejši poudarek bolj vojaškemu principu – nadzorovanju in kaznovanju. Skušnjavi nadzorovanja se je vedno težje upirati, saj so cene orodij nadzora vedno nižje, razvitost tehnologije pa vedno višja.
Še vedno velja, da gre največjo pozornost usmeriti v nenehno preventivno izobraževanje in ozaveščanje zaposlenih. A ker so človeško možgani poleg svoje čudovite nedoumljivosti tudi zelo nepredvidljiv informacijski sistem, bo vsako uspešno podjetje poskrbelo tudi za plan B.
Vrste nadzora zaposlenih: apetit delodajalca naj ostane evropski
Radovednost delodajalcev in njihovi apetiti za zbiranje podatkov o zaposlenih, so velikokrat – ameriški. Slednji z zbiranjem podatkov in z nadzorom zaposlenih napredujejo skoraj tako, kot napredujejo s proizvodnjo in konsumpcijo hitre prehrane: (pre)hitro in nepremišljeno.
Slovenski delodajalci imajo možnost:
- nadzora zaposlenih pri uporabi službenega e-maila in interneta,
- nadzora uporabe službenega telefona,
- nadzora nad gesli, s pomočjo GPS sistema v službenih avtomobilih nadzor nad gibanjem avtomobila (in s tem tudi zaposlenega),
- video nadzora na vhodih in v redkih primerih tudi na delovnem mestu,
- nadzora nad alkoholiziranostjo zaposlenih,
- detektivski nadzor nad izvajanjem bolniškega staleža, itd.
Kaj storiti, preden se odločite za nadzor zaposlenih?
Vse zgoraj navedene oblike nadzora zaposlenih seveda lahko izvajate, a le v določeni meri in skladno z zakonodajo.
Vprašanji, na kateri je potrebno najprej odgovoriti, je – kakšna je mera nadzora zaposlenih, ki je resnično potrebna? Kakšna je zakonodaja na tem področju?
Najmanjša potrebna mera
Vsaka oblika nadzora na človeške informacijske sisteme utegne delovati nevzpodbudno, saj s tem zaposleni občutijo nezaupanje in rigidnost delodajalca. V primeru, ko se za določeno vrsto nadzora zaposlenih vendarle odločite, je izrednega pomena, da to storite na legalen in etičen način ter v najmanjši potrebni meri.
Skladnost z zakonodajo
Pri uvedbi nadzora na delovnem mestu se bodisi subtilno bodisi burno spopadeta dve pravici: pravica delodajalca, ki ima kot lastnik delovnih sredstev (računalnika, službenega avta, telefona, itd.) pravico do nadzora svojih sredstev in pravica posameznika do zasebnosti, ki jo v slovenskem primeru zagotavlja že ustava. In slednja delodajalca vsekakor pomembno omejuje, ko gre za zbiranje podatkov o ravnanju njegovih zaposlenih.
Zato je, preden uvedete kakršni koli nadzor zaposlenih, nujno potrebno poskrbeti, da imate za to v podjetju sestavljene ustrezne akte (pravilnike, politike, itd.), s katerimi so zaposleni ustrezno in predhodno seznanjeni. Akti morajo biti skladni z zakonodajo, hkrati pa tudi korektni in predvsem učinkoviti z vidika informacijske varnosti.
Za učinkovito in neboleče krmarjenje med Scilo in Karibdo boste za to, da obujete čevlje velikega brata, potrebovali že kar majhnega strokovnjaka. V nasprotnem primeru vas utegne nepravilno izvajanje nadzora zaboleti precej bolj, kot če bi namesto tega lenega in do predpisov brezbrižnega podrejenega raje potrepljali po ramenu.
Foto: Unsplash