В современной культуре “обмена информацией” ваши сотрудники привыкли публиковать в социальных сетях информацию о мелочах своей жизни, а это может означать плохие новости для вашей компании. Здесь Джеймс Пули делится шестью советами, которые помогут вам убедиться, что конфиденциальные данные вашей компании, служебная информация и коммерческие секреты не попали случайно в ленту социальных сетей.
Вы можете быть уверены, что большинство ваших сотрудников активны в социальных сетях. На самом деле, для молодых людей фейсбукинг, инстаграмм и твиттинг так же естественны, как дыхание. Но предположим, что сотрудник поделился фотографиями прототипа вашего продукта? Разместил проект заявки на патент, которую ваша компания собиралась подать? Отправил ссылку на Dropbox с конфиденциальной информацией (даже если только коллеге по работе) по небезопасному соединению? Краудсорсинг задал вопрос о деликатном вопросе, которым она занималась для клиента?
Подобные сценарии не дают вам спать по ночам? Должны. По словам Джеймса Пули, социальные сети и культура “совместного использования”, которую они породили, представляют собой вполне реальные угрозы для вашей организации.
“Интернет, породивший социальные сети, изменил способ нашей работы и общения”, — говорит Пули, автор книги «Секреты: Управление информационными активами в эпоху кибершпионажа» (Verus Press, 2015, ISBN 978-0-9963910-0-9, $ 24,97). “Это изменение имеет глубокие последствия для системы коммерческой тайны, которая в значительной степени зависит от доверия людей.
“Я не говорю, что открытость по своей сути плоха”, — уточняет он. “Очевидно, что для сотрудничества в области инноваций необходима определенная сумма. И все же есть темная сторона уровня комфорта, который сложился вокруг всего этого обмена информацией. Компаниям необходимо признать риски, связанные с социальными сетями, и работать над предотвращением утечек, повышая уровень знаний и здравого смысла своих сотрудников ”.
Недавно завершив пятилетний срок полномочий в качестве заместителя генерального директора Всемирной организации интеллектуальной собственности в Женеве, где он отвечал за управление международной патентной системой (PCT), Пули является экспертом в области интеллектуальной собственности, коммерческой тайны и безопасности данных. Книга «Секреты», в которой подробно объясняется, как распознать и снизить риск потери информации в современном электронном бизнесе, является обязательным руководством для руководителей, работников умственного труда, консультантов, специалистов по безопасности, предпринимателей, инвесторов, юристов и бухгалтеров — всех, кто работает с информацией.
Шесть способов сохранить коммерческую тайну и конфиденциальную информацию о компании в автономном режиме
Здесь Пули делится шестью советами, которые помогут вам не раскрывать конфиденциальную информацию вашей компании в социальных сетях:
Поймите, что вы просите сотрудников идти против их “цифровых инстинктов”.
По самой своей природе платформы социальных сетей поощряют пользователей публично раскрывать подробности своей жизни (обычно чем больше, тем лучше). Так называемое поколение Facebook приучено к небрежному общению, обмену файлами и использованию облака для хранения фотографий, музыки и многого другого. Они являются экспертами в раскрытии многого, используя всего 140 символов.
“Убедиться, что социальные сети не превратились в дыру, через которую просачиваются секреты вашей компании, — особенно сложная задача, потому что вы, по сути, просите сотрудников проверять свои привычки на входе”, — отмечает Пули. “Им нужно научиться действовать на основе другого набора стандартов, которые часто противоречат тому, как они обращаются с информацией в своей частной жизни”.
Изложите политику в отношении социальных сетей в письменном виде.
Не думайте, что несколько неофициальных предупреждений и поучительных историй удержат всех ваших сотрудников от твитов и публикаций того, чего им не следует делать. Если в вашей компании уже действуют общие правила раскрытия информационных ресурсов, убедитесь, что они стали частью официального свода правил, регулирующих использование сотрудниками социальных сетей. Эти правила усилят необходимость разделять личные и рабочие вопросы и не публиковать информацию о том, что происходит внутри компании.
Пули предупреждает, что более крупным компаниям необходимо, чтобы с этими политиками ознакомился юрисконсульт, поскольку, как правило, широкие ограничения конфиденциальности могут нарушать трудовое законодательство, гарантирующее сотрудникам право обсуждать условия своего труда.
“Кроме того, компаниям необходимо решить, принадлежат ли деловые контакты в социальных сетях им самим или их сотрудникам”, — продолжает он. “Согласно недавним решениям суда, если это четко не указано в политике компании, эти контакты и сама учетная запись в социальной сети могут быть востребованы сотрудником при увольнении”.
Тренируйся, тренируйся и потом тренируйся еще немного.
Во многих организациях после первоначального ознакомления с политикой защиты данных ее откладывают на полку и более или менее игнорируют. Это опасно, потому что сотрудники могут легко забыть о правилах или потерять уважение к опасностям несоблюдения. Тем временем они могут работать над совместными проектами, изучать возможности приобретения, получать предложения по развитию и многое другое. Все эти ситуации могут привести к личным связям в социальных сетях, где вы будете полагаться на знания и здравый смысл ваших сотрудников для контроля рисков.
“Вы можете снизить значительную часть этого риска, создав качественную программу обучения, которая вовлекает ваших сотрудников в состав команды по защите безопасности”, — говорит он. “Они сами будут совершать меньше ошибок в социальных сетях (и где-либо еще), а также будут следить за ошибками других. Помните, что лучшее обучение — непрерывное, тщательное, оптимистичное и профессиональное, не основанное на угрозах. И обязательно привлекайте всех, а не только ключевых работников умственного труда, к обучению по безопасности в социальных сетях. Сюда входят подрядчики, временные сотрудники и стажеры.”
Знайте, какие устройства могут представлять опасность.
Растущая популярность политик “BYOD” означает, что многие из ваших сотрудников вполне могут хранить конфиденциальную информацию на тех же ноутбуках, смартфонах и планшетах, которые они используют для просмотра обновлений статуса по вечерам. Это вызывает беспокойство, поскольку киберпреступники могут получить доступ к содержимому этих устройств и системам вашей компании с помощью относительно простых для взлома аккаунтов и приложений в социальных сетях.
“В дополнение к установлению четкой политики использования социальных сетей и обеспечению непрерывного обучения, рассмотрите технические меры по смягчению последствий”, — рекомендует Пули. “Инструменты управления мобильными устройствами (MDM) позволяют удаленно настраивать устройства, отслеживать, что на них находится, и даже стирать их данные в случае потери. Методы MDM также могут включать шифрование данных, хранящихся на устройстве или передаваемых с него ”.
Научите сотрудников распознавать мошенничество в социальных сетях.
Помимо использования инструментов MDM, обучение сотрудников методам, которые часто используют похитители информации, может помочь им не попасть в ловушки в социальных сетях. Например, профили в социальных сетях предоставляют хакерам много информации, которую они могут использовать для составления реалистично выглядящих персонализированных фишинговых сообщений электронной почты.
“Помимо этого, сами веб-сайты могут использоваться напрямую, чтобы обманом заставить людей присоединиться к поддельной группе, опросу или мероприятию, иногда используя денежный купон в качестве приманки”, — рассказывает Пули. “Другие ловушки включают поддельные кнопки ‘мне нравится», расширения браузера, предлагаемые для скачивания, или привлекательные предложения, призванные вызвать у зрителя желание поделиться ими с друзьями. Все эти аферы в социальных сетях основаны на идее, что все мы настолько привыкли быстро подключаться, делиться и разоблачать, что будем делать это более или менее автоматически со всем, что выглядит привлекательно. Обучение сотрудников дважды подумать, прежде чем нажимать кнопку, может помочь сохранить секреты в секрете.”
Будьте в курсе своего официального присутствия в социальных сетях.
Хотя вы, возможно, не сможете полностью контролировать то, что ваши сотрудники публикуют в своих личных аккаунтах в социальных сетях, вы, безусловно, можете внимательно следить за официальными страницами компании в Twitter, Facebook и других социальных сетях.
“Обеспечьте систему безопасности из доверенных сотрудников, отслеживающих и поддерживающих присутствие вашей компании в социальных сетях, чтобы потенциально разоблачающие посты никогда не стали достоянием общественности”, — советует Пули. “Кроме того, регулярно меняйте пароли, чтобы не допустить взломщиков учетных записей, которые, возможно, успешно получили регистрационную информацию вашей компании”.
“Социальные сети стали неотъемлемой частью современной личной и профессиональной жизни, поэтому воспользуйтесь их многочисленными преимуществами”, — заключает Пули. “Просто помните о проблемах безопасности, которые представляют социальные сети, и активно работайте над предотвращением утечек, будь то из-за использования сотрудниками или официальной деятельности компании”.
Об авторе
Джеймс Пули — автор книги Секреты: управление информационными активами в эпоху кибершпионажа. Он предоставляет международные стратегические и управленческие консультации по вопросам патентов и коммерческой тайны, проводит досудебное расследование и анализ, а также консультирует по программам информационной безопасности.
Г-н Пули недавно завершил пятилетний срок полномочий в качестве заместителя генерального директора Всемирной организации интеллектуальной собственности в Женеве, где он отвечал за управление международной патентной системой (PCT). До своей работы в ВОИС г-н Пули более 35 лет был успешным судебным юристом в Кремниевой долине, представляя интересы клиентов в судебных спорах по патентам, коммерческой тайне и технологиям. Он также преподавал закон о коммерческой тайне в Калифорнийском университете в Беркли и занимал пост президента Американской ассоциации юристов интеллектуальной собственности и Национального зала славы изобретателей, где в настоящее время является председателем правления.
Г-н Пули является автором или соавтором нескольких крупных работ в области интеллектуальной собственности, в том числе его трактата «Коммерческая тайна» (Law Journal Press) и Судебного руководства по управлению патентными делами (Федеральный судебный центр). В 1973 году он окончил юридический факультет Колумбийского университета в качестве стипендиата Харлана Фиске Стоуна и с отличием получил степень бакалавра искусств в колледже Лафайет.