Так получилось, что за годы работы я наблюдал множество попыток создания угроз для бизнеса. Это касалось и вопросов безопасности клиентской базы и вопросов сохранения и удержания персонала. Самый мягкий вариант — это работа на двух табуретках. Самый жесткий вариант — это откровенное воровство накопленных ресурсов. Собственник и управленец бизнеса несут как материальный ущерб (недополученная прибыль, упущенные/уведенные клиенты), так и нематериальный ущерб (потеря ценных сотрудников, репутационные риски).
Прием 1. Разделение информации по уровням
Стандартный прием, который применяется при построении процессов накопления и обработки информации.
Применения данного приема работает на трех уровнях:
База данных
С этим сегодня проблем не возникает. Современные базы данных решают эту проблему достаточно четко. Есть готовые решения, но есть также и программируемые решения. Смысл простой.
Доступ к информации о клиентах разделяется по логике:
- Собственник бизнеса и ТОП-Управленцы видят все
- Руководители среднего звена видят только операционную информацию по своему направлению
- Руководители низового звена видят информацию по своему сектору
- Исполнители видят информацию только по своей базе
Получается простой принцип: каждый сотрудник видит только то, за что он отвечает. Таким образом снижается риск потери больших объемов информации.
Существуют разные методики отсечения информации. Многое зависит от специфики бизнеса и от того, с каким объемом информации должен работать конечный исполнитель.
Реализация данного приема достаточно проста:
Чем больше ограничений по доступу может поставить база данных, тем лучше. Не стремитесь к простому и удобному доступу. Он должен быть надежным.
Удобство для сотрудников — это не главное. Главное — возможность вводить ограничения для доступа к различной информации.
Что следует отсекать в обязательном порядке:
Разумнее всего вводить сложную процедуру открытия доступа к различным частям базы. Вплоть до письменных приказов директора и длительных процедур согласований.
Идеальный вариант — работа сострудника в формате клавиатура — экран. Без печати досье. Можно конечно и здесь схитрить. Скриншоты никто не отменял.
Но об этом поговорим попозже.
Рекомендации здесь просты:
- Идеальный вариант — база данных на локальном сервере, доступ к которому имеют только специалисты компании (проверенные специалисты). Все конечно зависит от размера бизнеса. Иногда и облако может нормально решить проблему.
- Идеальный вариант — отдельный специалист по работе базы данных. Настройки, программирование, доработка.
- Идеальный вариант — ограничение доступа по секторам + ограничение по функционалу при работе с базой.
- Постоянно проводите анализ карты доступа к базе. Выборочно проверяйте работоспособность системы отсечения. Не реже 1 раза в месяц.
- Регулярно делайте резервные копии базы
- Минимум раз в квартал ставьте вопрос модернизации базы на повестку обсуждений. Привлекайте спецов по безопасности данных.
- Усложняйте алгоритмы получения доступа к различным частям информации. Чем меньше Ваши сотрудники видят, тем лучше для них самих. Меньше соблазна.
Мои наблюдения
Игнорирование принципов хранения информации, экономия и упрощение процессов, излишнее доверие — это основные причины, при которых происходит утечка данных.
Верить можно только самому себе. Все остально необходимо проверять.
Это одна большая игра, где рано или поздно у сотрудника возникнет соблазн. Сделайте так, чтобы этот соблазн не привел к реальным действиям. На 100% Вы себя не обезопасите, но значительно увеличите шанс сохранения информации.
Отправляя данные вы подтверждаете пользовательское соглашение