Незнание того, каким образом ваши сотрудники используют ресурсы компании, может стать серьезным поводом для беспокойства. Но помните: существуют допустимые — а также не вполне допустимые — способы контроля за действиями сотрудников.
Кому хоть раз не доводилось ошибаться при наборе URL или щелкать мышью на невинной на первый взгляд ссылке, попадая в непристойную порнографическую ловушку? Баннеры подобных ресурсов зачастую таятся на задворках многих популярных сайтов Сети. Если адрес Whitehouse.gov указывает на безупречный в моральном отношении официальный сайт президента США, на котором можно найти информацию о подготовке законопроектов и подробнее узнать о войне с терроризмом, то ссылка Whitehouse.com приведет вас на вульгарный сайт, где за знаменитым фасадом скрывается «клубничка».
Всякий раз, попадая случайно на один из таких сайтов — и рефлекторно сжимаясь, перед тем как щелкнуть на кнопке закрытия окна, — я думаю, стоит ли упоминать об этом при подготовке очередного отчета о продуктивности своего труда.
Когда директор по безопасности приступает к внедрению в организации политики мониторинга работников (зачастую она фигурирует под более доброжелательным названием «политики приемлемого использования»), сотрудники всегда опасаются жестких санкций с его стороны. Они боятся, что их личные контакты станут доступны любому сетевому администратору, а несоблюдение установленной политики — даже неумышленное — повлечет за собой дисциплинарную ответственность. При этом корпоративная культура медленно, но верно начинает смещаться в сторону оруэлловских стандартов.
Что касается системы наблюдения, то многие руководители служб безопасности предпочитают поручить слежение за характером применения работниками электронной почты и средств доступа к Internet их непосредственным начальникам. Однако вопрос о том, стоит ли устанавливать контроль за использованием служащими корпоративных ресурсов в рабочее время, фактически уже решен благодаря созданным прецедентам, в соответствии с которыми предприятие несет финансовую ответственность за действия своих сотрудников. Таким образом, свобода выбора при организации контроля за работниками все чаще превращается в насущную потребность, обусловленную необходимостью управления рисками.
Обзор состояния мониторинга рабочих мест и систем наблюдения за сотрудниками, подготовленный специалистами American Management Association и The ePolicy Institute, позволил нам получить представление о темпах внедрения организациями политики мониторинга. Из 1627 опрошенных руководителей 82% признали, что уже используют те или иные формы электронного мониторинга или физического наблюдения. Из них в 63% компаний отслеживаются обращения к Internet-ресурсам, а примерно в 47% — сохраняются и просматриваются сообщения электронной почты. Еще один вопрос обзора касался логического обоснования необходимости мониторинга представителями организаций. Больше всего голосов было отдано за узаконенную ответственность (68%), вслед за ней назвали критерий общей безопасности (60%). Измерение продуктивности труда сотрудников и получение общей оценки эффективности — т. е. цели, которые преследует организация тотального корпоративного контроля с точки зрения самих сотрудников, — разместились в этом рейтинге значительно ниже.
Основной причиной расхождений между мотивами установления мониторинга с позиций руководства предприятия и интерпретацией их сотрудниками заключается в том, что во многих компаниях только начали задумываться о решении данного вопроса.
Открытое обсуждение — вот ключ к определению правильной политики и практическому претворению ее в жизнь. Директор по безопасности, который ясно и четко формулирует причины, заставляющие проводить мониторинг, и способы его осуществления, и не жалеет времени на то, чтобы объяснить сотрудникам, какое поведение считается неприемлемым, в конечном итоге обнаружит, что сотрудники не только быстро адаптируются к требованиям политики, но и заметно облегчают ему жизнь, начиная самостоятельно контролировать свои действия.
ЧТО контролировать: можно ли наблюдать за проходом сотрудников через вестибюль?
В различных отраслях к контролю и хранению сообщений электронной почты предъявляются разные требования. Так, Комиссия по ценным бумагам и биржам США поручает просмотр всей входящей и исходящей корреспонденции (включая электронную почту) брокерских контор специальным уполномоченным лицам. Сообщения электронной почты должны записываться на носитель, не допускающий их удаления или перезаписи. Хранение этих сообщений осуществляется на протяжении по крайней мере трех лет. В некоторых отраслях установлены ограничения на порядок контроля. Защита права на тайну частной жизни, прописанная в федеральном законе об отчетности и безопасности медицинского страхования США (Health Insurance Portability and Accountability Act, HIPAA), который был принят в 1996 году, устанавливает ответственность медицинских учреждений за безопасность хранения и передачи информации, касающейся состояния здоровья пациентов. Соглашения с профсоюзами регламентируют порядок надзора за их членами, а четвертая поправка к Конституции США ограничивает контроль за госслужащими. Кроме того, регулируются виды и способы физического мониторинга на рабочих местах. К примеру, ограничивается мониторинг там, где работники пользуются законными (или оправданными с точки зрения конкретных обстоятельств) правами на защиту тайны частной жизни — например, не допускается размещение скрытых камер в ванных комнатах или проникновение с помощью специальных средств в помещения, закрытые на замок. Существуют ограничения и на запись звука — запрещено записывать его при помощи физических систем наблюдения, а телефонные разговоры не могут записываться без согласия самого работника. Скажем, во многих штатах США для прослушивания телефонного разговора требуется согласие всех заинтересованных сторон.
Специалист по трудовому законодательству и найму работников из компании Eckert, Seamans, Cherin & Mellott Дебора Вайнштейн предостерегает от совершения целого ряда действий. Так, не следует контролировать или перехватывать электронное письмо, пока оно находится «в пути»; его можно просматривать, после того как оно записано. Очень важно также, чтобы любое сканирование или процедуры контроля в равной степени применялись ко всем служащим. Организации, осуществляющие мониторинг, могут испытывать здесь серьезные трудности. К примеру, компания может проводить политику, допускающую тотальное сканирование писем и поиск в них названий продуктов, чтобы предотвратить кражу интеллектуальной собственности. Если факт хищения зарегистрирован, очень важно, чтобы доказательства, представленные компанией, укладывались в рамки легитимных процедур просмотра электронной почты. В противном случае сотрудник может заявить, что проверка его коммуникаций проводилась с нарушениями существующих норм.
Старший вице-президент компании First Data (родительской по отношению к Western Union) Боб Деген применяет политику мониторинга и блокировки доступа к ресурсам Web ко всем совершенно одинаково — независимо от пола, возраста, национальной принадлежности и положения в компании: «За прошедшие два года меры дисциплинарного воздействия уже применялись к двум старшим менеджерам».
Компания проводит политику «двукратного воздействия». Если сотрудник систематически пытается зайти на запрещенные сайты, его вызывают в отдел кадров и вручают официальное письменное предупреждение.
«Это первое и последнее предупреждение, — уточнил Деген. — Второй подобный случай оборачивается увольнением».
Чтобы избежать обвинений в дискриминации и сохранить доказательства, разумно поручить выполнение подобных задач лишь нескольким специально обученным и очень деликатным сотрудникам, которые будут заниматься чтением подозрительной электронной почты. Хотя отвечающих за мониторинг сотрудников и не обвиняют персонально в совершении тех действий, которые входят в круг их обязанностей, директору по безопасности следует знать, что зачастую работники информационной службы при осуществлении контроля за подозреваемыми чувствуют себя очень неуютно, опасаясь того, что их имена будут замараны в случае судебного процесса. В First Data сотрудники информационной службы так неохотно выдавали соответствующие заключения, что Деген взял инициативу на себя.
«Отчеты, передаваемые службе безопасности и отделу кадров, генерируются автоматически, после чего мы определяем, требует ли ситуация дополнительного вмешательства», — пояснил он.
Директору по безопасности имеет смысл обратиться за консультацией к соответствующим специалистам — с тем, чтобы определить, могут ли какие-то законы повлиять на составленный в компании план мониторинга. Особое значение это имеет для компаний, ведущих бизнес в нескольких странах. Например, в некоторых странах приняты жесткие законы против спама, и у компаний возможны серьезные неприятности, если их сотрудники рассылают спам через корпоративную сеть. Любая организация, имеющая филиалы в нескольких странах, захочет получить подробный анализ законов о мониторинге для каждой из тех стран, в которых она работает. В Европе право на тайну частной жизни считается одной из фундаментальных свобод человека, и электронный мониторинг законами Евросоюза в значительной мере ограничен. В результате у транснациональных корпораций, имеющих единый сервер электронной почты, возникают определенные трудности. Чтобы обеспечить соблюдение европейских законов, такие компании вынуждены искать способы разделения европейской и американской электронной почты.
КОГО контролировать: на меня смотрят?
Самый быстрый способ преодолеть сопротивление сотрудников заключается в том, чтобы создать ощущение мотивированного сбора информации о возможных злонамеренных действиях. Прежде всего директору по безопасности нужно проанализировать мотивы совершения подобных действий.
«У вас должна быть вполне законная причина для контроля за сотрудниками на рабочем месте, — отметила Вайнштейн. — А служащим нужно с пониманием относиться к этим причинам. Дело не в том, что им не доверяют. Возможно, руководству хочется защитить коммерческие секреты, обеспечить поддержку системы безопасности или улучшить показатели персональной продуктивности».
В компании может быть принято решение установить контроль за теми сотрудниками, которые неправильно используют электронную почту или Internet, формируя тем самым враждебный характер рабочей среды — а это грозит очень серьезными неприятностями. В 1995 году корпорации Chevron был предъявлен иск по делу о сексуальном домогательстве, которое получило очень широкую огласку. Четверо сотрудниц обвинили своих коллег в создании нетерпимой рабочей обстановки в результате систематической циркулярной рассылки электронной почты и изображений, полученных из Internet. Одним из предъявленных доказательств стало электронное письмо, озаглавленное «25 причин утверждать, что пиво лучше женщин». Чтобы уладить дело, Chevron пришлось выплатить 2,2 млн. долл.
Каждый наполовину написанный документ, второпях составленное сообщение или враждебно воспринятое электронное письмо может превратиться в ловушку, которая повлечет за собой повестку в суд. Вспомним известное падение цены акций Merrill Lynch после того, как власти обнаружили электронные письма, свидетельствующие, что консультанты компании, выдававшие клиентам рекомендации, были лично заинтересованы в продаже акций.
Открытое признание руководством факта мониторинга, подкрепленное решительными действиями при обнаружении нарушений, заставляет сотрудников сделать вывод, что электронная почта не является конфиденциальной формой общения. Они начинают приводить свою электронную переписку в порядок.
Ущерб, который служащие могут нанести при использовании компьютерных систем, практически не ограничен. В то же время компании, проводящие справедливую политику мониторинга и разъясняющие своим работникам предъявляемые к ним требования, занимают абсолютно устойчивую с точки зрения закона позицию.
«Суд вполне лояльно относится к работодателям, которые излагают свою политику в письменном виде и проводят соответствующее обучение сотрудников, — отметила Нэнси Флинн, исполнительный директор The ePolicy Institute и один из авторов книги E-Mail Rules: A Business Guide to Managing Policies, Security, and Legal Issues for E-Mail and Digital Communication («Правила работы с электронной почтой: бизнес-руководство по формированию политики и системы безопасности с соблюдением требований законодательства к электронной почте и цифровым средствам коммуникации»). — Эти работодатели, по мнению окружающих, делают все возможное для поддержания устойчивой, безопасной и соответствующей требованиям закона рабочей среды».
Если все же отвлечься от мрачных перспектив оказаться в зале суда, можно привести для отдела кадров несколько практических аргументов в пользу мониторинга. Обычно стоит сотрудникам только услышать, что электронная почта и Internet находятся под контролем, как 90% вопросов, связанных с действиями работников, начиная от непристойных шуток и заканчивая совершенно неумеренным погружением в Internet, отпадают сами собой. Компании, которые не ведут борьбу с вредными привычками своих сотрудников, рискуют заметно осложнить свою работу с кадрами. Когда выяснилось, что сотрудники New York Times занимаются рассылкой и получением грязных шуток и картинок, это закончилось увольнением 10% персонала.
Мониторинг вызовет у сотрудников гораздо менее негативную реакцию, если удастся объяснить им, что эти меры помогают защитить их от всех перечисленных выше осложнений. Дэвид Маклеод, директор по информационной безопасности компании Regence Group в составе Blue Cross and Blue Shield, выдвинув соответствующие аргументы, смог убедить своих сотрудников в необходимости проведения таких мероприятий.
«Мы считаем, что все эти меры являются средством их собственной защиты, — подчеркнул он. — Если работника обвиняют в нелегитимных действиях, всегда можно удостовериться, было ли это на самом деле».
КАК осуществлять контроль: применять ли меры принуждения?
Четкая формулировка требований и письменное уведомление сотрудников о том, как и когда будет осуществляться мониторинг, имеют очень важное значение, но еще важнее последовательно проводить принятую политику на практике. Флинн рекомендует придерживаться так называемого «подхода трех О»: определите свою политику, обучите персонал, обеспечьте последовательное выполнение ранее сформулированной политики. Все это предполагает сочетание технологии сканирования коммуникаций с письменным изложением политики и последующим воплощением принятых положений в жизнь на основе четкой программы обучения, призванной закрепить изложенные требования в сознании сотрудников.
Во многих компаниях — даже в тех, где политика расписана исключительно подробно, все же не проводится активное обучение сотрудников тому, что понимается под допустимым поведением в повседневной трудовой жизни. В Regence Group средства наглядной агитации — плакаты и бюллетени о принятой политике мониторинга — служат постоянным напоминанием работникам. Маклеод требует, чтобы каждый работник ознакомился с программой требований к безопасности, которая отделена от процедуры его первоначального ввода в курс дела. Новый девиз — «Безопасность — дело каждого» — известен каждому сотруднику Regence. В компании создан комитет по надзору, составленный из представителей топ-менеджмента. При утверждении новой инициативы в области безопасности руководители отвечают за выполнение принятых решений в своих подразделениях.
«В результате, когда работник приходит к своему начальнику с жалобой на то, что политика безопасности требует от него выполнения тех или иных действий, руководитель готов ответить: ‘Да, я лично принимал участие в выработке этого решения, и вот почему его нужно выполнять’, — пояснил Маклеод. — Мы не должны быть единственными проповедниками требований безопасности».
В какой-то степени процедура обучения гарантирует понимание сотрудниками всех пагубных последствий, к которым может привести невыполнение положений политики, причем последствия эти отражаются не только на них лично. Рассказы о тех бедствиях, которые были вызваны несоблюдением политики, являются мощным пропагандистским оружием в руках директора по безопасности. Большая часть сотрудников службы безопасности, естественно, отрицательно относится к идее насаждения страха, но работники должны понимать, что между их поступками и историями, попавшими в программы новостей, существует самая непосредственная связь. Если в СМИ появляется сообщение о размещении сотрудником секретных корпоративных сведений на досках объявлений Internet, имеет смысл еще раз повторить, что подобные действия представляют собой нарушение корпоративной политики, и в отношении виновных будет проведено расследование.
«Самая серьезная ошибка заключается в том, что никаких мер к нарушителям не принимается», — заметила юрисконсульт компании Morrison & Foerster по вопросам трудового законодательства Мириам Вагмайстер.
Если компания сформулировала политику, но не следит за ее соблюдением, это также может повлечь за собой отрицательные последствия. Когда работника поймают на серьезном нарушении и будет принято решение его уволить, тот вполне может ответить иском с обвинением в дискриминации. К тому же несоблюдение политики порождает у сотрудников ощущение полной безнаказанности.
Флинн советует директору по безопасности сразу сделать жесткое заявление и уволить первого, кто нарушит политику после ее утверждения. Таким образом, в компании с самого начала будет создан прецедент: «Уволив первого нарушителя, впоследствии вы сможете избежать необходимости увольнения десятков других сотрудников».
«Сознательная утечка информации в такой ситуации сослужит хорошую службу, — заметил директор информационной службы National Cooperative Bank Расселл Шофилд. — Вы сразу услышите коллективные охи и ахи из уст других сотрудников, внезапно осознавших, что в компании действительно все под контролем».
Daintry Daffy. Watch this Way. CSO, February, 2003
-
Юридическая справка
Мониторинг в законе?
Существуют ли в нашей стране нормы, регулирующие возможности мониторинга деятельности сотрудников в организациях (установка камер наблюдения, проверка электронной почты сотрудников, отслеживание посещения сайтов в рабочее время и т. п.)?
На этот вопрос «Директора информационной службы» отвечает юрист «Студии Артемия Лебедева» Андрей Миронов, miron@design.ru
Российское законодательство нигде напрямую не предусматривает возможность предприятия подобным образом контролировать деятельность своих сотрудников. Однако, если рассматривать ситуацию шире, то в трудовом договоре, опираясь на статьи 91 и 232 Трудового кодекса, можно предусмотреть ответственность сотрудников за нецелевое использование телекоммуникационных средств, предоставленных предприятием в целях более эффективного выполнения работ. При установлении такой ответственности также можно указать и механизм контроля электронной почты сотрудников и учета потребляемого ими трафика, в том числе с распределением по ресурсам.
На практике это можно реализовать следующим способом. В договоре о найме сотрудника следует указать, что сотруднику предоставляется необходимое оборудование, подключенное к Internet, и служебный электронный почтовый адрес в домене предприятия (скажем, имя_сотрудника@firma.ru). Далее указать, что переписка, осуществляемая со служебных почтовых адресов, является служебной и подлежит учету наравне с бумажным документооборотом, а потому на подобную переписку распространяются те же правила, что и на корреспонденцию, получаемую обычным способом. Оговорив таким образом режим использования электронной почты, предприятие получает возможность перлюстрировать переписку сотрудников. Естественно, только служебные адреса электронной почты.
Приказом исполнительного органа предприятия можно установить запрет на пользование средствами мгновенного обмена сообщениями, кроме специально предназначенных для работы в локальной сети. К примеру, может быть издан приказ о запрете использования ICQ с возложением исполнения приказа на системного администратора. Или же общение по ICQ приравнивается к служебной корреспонденции, что, как и в случае с электронной почтой, дает полное право просматривать архивы сообщений.
Теперь о мониторинге использования Internet. Сама по себе организация доступа в Internet в компаниях разнится, но, как правило, это локальная сеть предприятия, подключенная к Сети через сервер, — следовательно, ведется регистрационный журнал и учет трафика. В данном случае ситуацию тоже можно урегулировать приказом по предприятию, где указать, что при превышении сотрудником лимита, например, в 100 Мбайт трафика, предприятие вправе изучить сетевую статистику по конкретному пользователю.
Таким образом все проблемы, которые теоретически могут возникнуть у предприятия в связи с нарушением частной жизни, снимаются.
Почему не применяются нормы «прайвеси»? Предприятие заключает с сотрудником договор найма, по которому предприятие обязуется создать условия для работы и платить сотруднику жалованье, а сотрудник, напротив, принимает на себя обязательства пользоваться предоставленными условиями и выполнять возложенные на него функции наиболее эффективно. Сама по себе природа трудового договора не предусматривает наличие какой бы то ни было частной жизни, отдельной от функционирования предприятия, а потому предприятие вправе осуществлять контроль за использованием предоставленных сотрудникам ресурсов, а также сохранять сведения, которые, по мнению исполнительного органа предприятия, могут представлять собой коммерческую тайну или торговый секрет.
Между тем режим охраны коммерческой тайны сейчас только складывается — в связи с принятием соответствующего закона. Ранее к коммерческой тайне можно было отнести все, что угодно, кроме сведений, перечисленных в соответствующем постановлении правительства, которые априори не могли являться такой тайной.
Определение политики мониторинга
Первым шагом к определению политики мониторинга является базовый анализ тех действий, которые могут совершаться в пределах корпоративной сети. Его результатом должно стать выявление проблемных областей и четкое обоснование необходимости проведения мониторинга.
«Вы сможете сказать: посмотрите, что происходит при отсутствии всякой политики — в среднем 3,5 часа в течение рабочего дня люди тратят на решение личных проблем, — отметил Фредерик Лэйн, автор книги «The Naked Employee: How Technology Is Compromising Workplace Privacy» («Служащие без фиговых листков: компромисс между технологией и защитой частной жизни на рабочем месте»). — Осознав это, можно повернуться к людям и сказать: ‘Вот наши проблемы, а вот наши решения’».
К фундаментальным компонентам полноценной политики мониторинга относятся:
- Уведомление сотрудников о том, что вы будете контролировать характер использования имеющихся у них ресурсов.
- Разъяснение необоснованности ожиданий защиты тайны частной жизни в корпоративной сети.
- Подробный перечень всех видов недопустимого применения систем компании.
- Описание приемлемого использования этих систем.
- Обучение сотрудников работе с конфиденциальной информацией.
- Определение мер дисциплинарного воздействия.
- Сбор подписей сотрудников под документом о том, что они понимают всю меру своей ответственности и обязуются выполнять принятые правила.
Первые два элемента разъясняют работникам виды мониторинга и способы осуществления контроля.
«Компаниям необходимо сформулировать политику, которая бы на понятном языке объясняла всем, какие виды надзора будут применяться, и раздать всем соответствующие документы, с тем чтобы сотрудники знали, что их ждет, — пояснил Лэйн. — Подобная информация впоследствии избавит компанию от возможных осложнений, связанных с юридическими процедурами. Ведь многие судебные разбирательства обусловлены не столько самим фактом надзора, сколько тем, что сотрудники испытывают шок, внезапно узнавая, что находятся под наблюдением».
Политика должна ясно описывать характер правомочного (и неправомочного) использования компьютерных систем. Один из наиболее серьезных вопросов связан с тем, что директору по безопасности приходится контролировать время, в течение которого каждый из сотрудников имеет доступ к электронной почте и Internet. В некоторых компаниях любое использование электронной почты и Internet в личных целях запрещено, но подавляющее большинство руководителей признает, что в случае, когда рабочий день не нормирован, подобное обращение к почте и Internet необходимо. Нужно явно определить, что компания считает допустимым, — скажем, использование соответствующих средств только во время обеда или же применение их для вызова врача?
Директор информационной службы National Cooperative Bank Рассел Шофилд контролирует выход сотрудников в Internet с помощью программного продукта SurfControl. Эта программа блокирует все запрещенные сайты и следит за временем, в течение которого осуществлялся сеанс связи. Раз в месяц составляется отчет, в котором фигурируют сотрудники, чаще других выходившие в Internet. Если окажется, что работник провел в Internet больше времени, чем требуется обычно для выполнения его должностных обязанностей, соответствующая информация направляется его непосредственному начальнику.
«Многие сотрудники, однажды попавшие в этот отчет, не появляются в нем снова, а те, кого система все-таки регистрирует повторно, недолго держатся на верхних строчках, — отметил Шофилд. — Время, проводимое такими пользователями в Internet, очень быстро сокращается с 16 часов в неделю до обычного среднего уровня, составляющего около 5 часов. И устанавливаются такие сеансы, как правило, во время обеда».
Комментарии
1Цитата:
Крутой парень))"Установил недавно в офисе таймспайдер, пару человек поймал на рабочем месте за общением в одноклассниках. Сделал внушение, пока больше никто замечен не был )) "