BlueOcean: Обеспечение безопасности коммерческой информации при внедрении и обслуживании корпоративного портала с привлечением подрядчиков

Внедрение корпоративного портала (КП Битрикс24) на определенном этапе развития компании – не только целесообразно, но явно необходимо в нынешний век сверхконкурентной борьбы. Корпоративный портал сегодня – не просто доска объявлений, это:

  • хранитель документальной базы и всей истории деятельности компании;
  • глобальный планировщик и контролер выполнения задач;
  • универсальный коммуникатор, сборщик информации и PR-пропагандист;
  • управленческий монитор за состоянием  бизнес-системы.

В дополнение на него можно довесить системы CRM, CALL-центр и пр.

Возможности и преимущества корпоративных порталов – это отдельный разговор. В этой статье речь пойдет об одном из рисков, сдерживающих в некоторых компаниях принятие решений о внедрении и/или развитии КП: страх за безопасность коммерческой информации, особенно, когда к работе привлекаются сторонние подрядчики.

Процесс внедрения на предприятии современного корпоративного портала сегодня в принципе уже трудно представить без привлечения сторонних подрядчиков – вопрос только в степени их вовлеченности. Некоторые руководители видят в этом риски для своего бизнеса.  Для многих служб безопасности компаний мысль о том, что к «святая святых» придется допустить посторонних, просто невыносима, и даже готовность подрядчика подписать любой договор о неразглашении полученной информации успокаивает как-то не сильно. (Хотя в серьезных, заботящихся о своей репутации консалтинговых и «внедренческих» конторах, договоры о неразглашении информации клиентов сотрудники подписывают еще при заключении кадровых контрактов.)

Но есть не только юридические, но и организационно технологический меры, обеспечивающие защиту коммерческой информации.

При грамотно выстроенной системе защиты информации,  сотрудники подрядчика вынесут после внедрения портала в разы меньше информации, чем самый рядовой сотрудник компании.

Рекомендации от BlueOcean всем компаниям, внедряющим и обслуживающим свои корпоративные порталы с привлечением подрядчиков:

Для начала изложим основные принципы организации работы с подрядчиками по внедрению и обслуживанию корпоративного портала, минимизирующие риски утечки коммерческой информации.

Принцип 1: Выбирай надежного подрядчика. Разумеется, степень информационной безопасности не зависит прямо пропорционально от величины компании-подрядчика и времени ее присутствия на рынке, однако контора, внедрившая несколько десятков КП и не испортившая свою репутацию, заботится о защите информации своих клиентов сильнее, чем иногда сами клиенты.

Принцип 2: Меньше подрядчику – больше своим сотрудникам. Многие операции на стадии внедрения КП могут выполнить сотрудники компании-клиента после небольшого обучения. Чем на более ранней стадии процессов внедрения КП будет запланировано привлечение к работе сотрудников компании-клиента, тем меньше будет вовлеченность сотрудников подрядчика и, как следствие, меньше доступа к коммерческой информации.

Принцип 3. Визуальный и технический мониторинг работы операторов подрядчика. На любой экаунт и операторское место возможно поставить программу, протоколирующую все действия оператора или даже записывающую все происходящее на мониторе в медиа-файл, который потом можно просматривать хоть в покадровом режиме. Контроль за действием подрядчиков в своей информационной системе можно установить тотальный. При работе с наиболее ценной информацией вполне уместен визуальный контроль за работой оператора со стороны сотрудников службы безопасности (или сотрудника IT) компании-клиента.

Здесь еще надо понимать, что операторы подрядчика – это «технари», которые точно не могут «на лету» разобраться в открывшейся им управленческой или маркетинговой информации (да им это и не нужно, они «втыкают» в свое). Они не смогут эту информацию вынести «наружу» в сколько-нибудь связном виде (если, конечно, они не прошли специальную диверсионную школу и не обладают фотографической памятью).

Принцип 4. Удаленный доступ для подрядчика – только санкционный. Это значит, что у подрядчика не должно быть свободного бесконтрольного удаленного доступа к КП. При возникновении необходимости подключения подрядчика для обслуживания КП, представитель клиента санкционирует такой доступ, открывает канал входа, принимая все меры в соответствии с Принципом 3.

***

А теперь разберем более подробно обеспечение безопасности каждого вида коммерческой информации.

Документы. Оператор подрядчика работает здесь с массивами (списками, каталогами) документов. Необходимость открыть какой-нибудь документ может возникать только для тестовой проверки, читать документы для выполнения своих задач оператору некогда и незачем. Следовательно, технический или визуальный контроль со стороны клиента исключит утечку информации в этой части работ.

Данные о персоналиях (сотрудниках, контрагентах и пр.). На стадии внедрения КП можно практически на 100% исключить доступ подрядчика к этой информации. В этом случае портал внедряется с помощью тестовых персональных карточек, а реальные данные «заливают» потом свои сотрудники. Если же данные втягиваются из каких-то готовых баз (например, ActiveDirect), оператор здесь также, как и в Документах, работает с массивом информации, без необходимости изучать ее детально (для тестовых работ контролер со стороны клиента может выбрать и указать наименее «секретные» карточки).

Задачи и проекты. Эта информация заполняется сотрудниками компании после обучения. Оператор подрядчика, когда ему понадобиться входить в Процессы в рамках услуги по обслуживанию, в любом случае будет не в состоянии по фрагментам составить сколь-нибудь цельную картину о процессах компании. (Напоминаем, что оператор подрядчика – обладатель совсем других знаний и компетенций).

Финансовая информация, сделки. Портал – это не финансовый инструмент, так что бухгалтерской и управленческой финансовой информации подрядчик по внедрению корпоративного портала не получит. Максимально, что ему может быть доступно – это информация в сервисе CRM (отношения с клиентами), но защиту информации здесь возможно осуществить также, как и в «Задачах и проектах».

Сервисы коммуникаций («живая лента», почта, чат и пр.). Осуществить сбор информации по сервисам коммуникаций возможно только при наличии продолжительного бесконтрольного доступа. Как мы уже говорили выше, такую возможность для удаленного подрядчика можно и нужно исключить.

***

Что еще минимизирует риски утечки информации и сокращает присутствие подрядчика во внутрикорпоративном пространстве – это собственный обученный главный администратор портала в штате IT-службы. Как правило, до 90% требуемых исправлений и доработок может делать такой администратор при консультационной поддержке подрядчика.

Выводы. На основании всего вышесказанного можно с уверенностью утверждать, что при грамотном применении организационных и технических мероприятий вероятность утечки коммерческой информации при внедрении и обслуживании корпоративного портала с привлечением сторонних организаций-подрядчиков стремится к нулю. Поэтому руководству компаний нет никаких оснований затягивать вопрос с внедрением корпоративного портала в деятельность своего предприятия из-за подобных опасений. Также как и нет смысла набирать свой штат программистов для полностью закрытого внедрения и обслуживания КП, когда есть намного более эффективный, и при этом безопасный, аутсорсинг.

Из практики внедрений Битрикс24 компании BlueOcean. В одной крупной международной компании белорусского происхождения, служба безопасности запретила подрядчику удаленный доступ при внедрении и обслуживании внутрикорпоративного портала, мотивируя это тем, что IT-служба при таком доступе не сможет обеспечить защиту информации. Приходилось нашим сотрудникам по каждому случаю ездить к заказчику, что затягивало процесс. Удивление такому решению клиента не прошло до сих пор, всё задаемся вопросом: это такой уровень компетентности у службы безопасности, или же это желание СБ сократить себе работу в ущерб интересам компании?

===

Хотите узнать больше? – подписывайтесь на наших страницы в соцсетях: Facebook, VK, Яндекс.Дзен, где мы постоянно публикуем «новости с полей» внедрения Битрикс24 и других инструментов для продаж и управления.