Zob. Prezentacja Jakuba Bojanowskiego (Deloitte)

Przegląd przykładowych
rozwiązań technicznych
stosowanych przez pracodawców
do inwigilacji pracowników
Jakub Bojanowski
Partner
Agenda.
1
1
Wprowadzenie
2
Metody inwigilacji technicznej
3
Podsumowanie
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Wprowadzenie.
2
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Wprowadzenie
Relacja pracodawca-pracownik
• Pracodawca udostępnia pracownikowi narzędzia (komputer, telefon, łącze internetowe)
przeznaczone do wykonywania obowiązków słuŜbowych i uzasadnia tym swoje „prawo” do
inwigilacji pracowników
• Typowo: pracodawca uwaŜa, Ŝe wykorzystanie tych narzędzi do celów prywatnych obniŜa
efektywność pracy
• Typowo: pracodawca uzasadnia prowadzenie nadzoru nad pracownikami potrzebą ochrony
informacji słuŜbowych
• Ostatnio: pracownicy zgłaszają roszczenia w przypadku gdy pracodawca ogranicza im
dostęp do niektórych stron internetowych (np. nasza-klasa)
• Najczęściej: pracownicy nie są świadomi zagroŜeń wynikających z udostępnienia
informacji, które posiadają
• Zazwyczaj: pracownicy mogą nie być świadomi, Ŝe ich działalność w Internecie moŜe
wpływać na wizerunek pracodawcy
• Praktycznie powszechnie: pracownicy nie zdają sobie sprawy z tego, Ŝe w większości
przypadków informacje przesyłane za pośrednictwem Internetu nie są chronione przed
nieuprawnionym dostępem
• Co pracodawca zrobił aby wyedukować pracowników w zakresie zagroŜeń ?
• Czy określił i zakomunikował pracownikom zasady, których zachowania się
domaga ?
3
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Wprowadzenie
Gdzie postawić granicę?
• Czy (i jakim zakresie) dozwolone jest wykorzystywanie infrastruktury
informatycznej do celów prywatnych:
– korespondencja prywatna,
– planowanie wakacji,
– zakupy przez Internet,
– poszukiwanie nowej pracy,
– dystrybucja materiałów o charakterze pornograficznym.
• Czy pracownikom wolno uczestniczyć w Internetowych listach
dyskusyjnych
– o jakiej tematyce?
– w jakim charakterze?
– ile czasu pracy mogą na to poświęcić?
• Trudne decyzje:
– Kto i w jakim przypadku moŜe podjąć decyzję o „podsłuchu” informacji?
– W jaki sposób naleŜy informować o tym pracowników?
– W jaki sposób eskalować ewentualne incydenty?
4
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Wprowadzenie
ZagroŜenia
• Ujawnienie informacji:
– Świadome (szpiegostwo przemysłowe, działanie na niekorzyść
przedsiębiorstwa),
– Nieświadome:
•
•
•
•
•
•
Wysłanie wraŜliwych danych pocztą elektroniczną do innej instytucji
Portale społecznościowe (np. Nasza-Klasa.pl),
Ściąganie prywatnej poczty z firmowego komputera
Fora internetowe,
Listy dyskusyjne,
Czaty, itp..
• Przestępstwa popełniane przez pracowników:
– W miejscu pracy,
– Z wykorzystaniem informacji lub narzędzi uzyskanych w miejscu pracy.
• ZagroŜenia związane z niską efektywnością pracowników.
5
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Metody inwigilacji
technicznej.
6
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Metody inwigilacji technicznej
Wprowadzenie
• Podsłuch telefoniczny,
• Nadzór przy pomocy kamer
przemysłowych,
• Systemy rejestracji czasu pracy,
• Środki nadzoru nad komputerami,
• Inne:
– Tradycyjny podsłuch,
– Moduły GPS,
– Systemy RFID.
7
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Metody inwigilacji technicznej
Podsłuch telefoniczny
• UmoŜliwia nadzór nad telefonią analogową i cyfrową,
• Kosztowny i złoŜony,
• DuŜo łatwiejszy w implementacji dla nowoczesnej telefonii cyfrowej
(VoIP),
• Utrudniona jest odpowiednia analiza duŜej ilości danych (na przykład
na podstawie słów kluczowych),
• MoŜliwa jest lokalizacja telefonów komórkowych,
• Stosowany przewaŜnie w sytuacjach wyjątkowych (podejrzenie
popełnienia przestępstwa, działania na szkodę przedsiębiorstwa).
8
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Metody inwigilacji technicznej
Nadzór przy pomocy kamer przemysłowych
• Tradycyjna metoda kontroli,
• Rzadko wykorzystywana
bezpośrednio w pomieszczeniach
biurowych,
• Utrudnione szybkie wyszukiwanie
interesujących zdarzeń,
• Wymaga bezpośredniego nadzoru.
• Trendy:
– Automatyczna identyfikacja twarzy,
– Automatyczne reagowanie na incydenty.
• MoŜliwe zastosowanie mikrokamer
(kosztowne, wykorzystywane w
wypadku podejrzenia popełnienia
przestępstwa).
9
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Metody inwigilacji technicznej
Systemy rejestracji czasu pracy
• Tradycyjna metoda kontroli,
• Często łączona z systemem kontroli
dostępu fizycznego,
• UmoŜliwia ograniczoną kontrolę nad
poruszaniem się po obiekcie,
• Efektywna tylko w połączeniu z
innymi metodami nadzoru (na
przykład kamerami przemysłowymi),
• Łatwe do oszukania (wykorzystanie
innej karty/hasła).
10
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Metody inwigilacji technicznej
Środki nadzoru nad komputerami
• UmoŜliwiają pełny oraz trudny do wykrycia nadzór
nad aktywnością pracowników (na przykład
kopiowanie wraŜliwych danych na nośniki typu
pen-drive),
• Pozwalają na kontrolę:
– Poczty elektronicznej, komunikatorów internetowych,
– Przeglądanych stron internetowych,
– Tworzonych lub modyfikowanych plików,
– Wpisywanych danych,
– Innej aktywności (na przykład przez zdalny dostęp do
„pulpitu”).
• Istnieje wiele popularnych narzędzi (często
darmowych),
• Występuje problem efektywnej analizy duŜej ilości
danych napływających z systemów nadzoru.
• UWAGA: narzędzia tego typu pozwalają takŜe na
śledzenie dostępu pracowników do ich kont
bankowych o ile korzystają oni z firmowego
komputera
11
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Metody inwigilacji technicznej
Inne
• Tradycyjny podsłuch:
– UmoŜliwia rejestrowanie rozmów w nadzorowanych pomieszczeniach.
• Systemy GPS:
– UmoŜliwiają lokalizowanie pojazdów wykorzystywanych przez pracowników,
– Wykorzystywane przez firmy logistyczne lub spółki posiadające duŜe floty
pojazdów,
– Istnieją firmy dostarczające usługi nadzoru nad flotą (moŜliwy out-sourcing
nadzoru).
• Systemy RFID:
– Pozwalają na śledzenie poruszania się pracowników w obrębie
monitorowanego terenu (budynku biurowego, magazynu, etc),
– MoŜliwość łatwego ukrycia się (przez zakrycie modułu RFID) oraz mały zasięg
to podstawowe problemy,
– Jeden z trendów w nadzorze nad aktywnością pracowników (pierwsze próby
stosowania wszczepianych w ciało ludzkie modułów RFID).
12
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Podsumowanie.
13
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Podsumowanie
Narzędzia inwigilacji pracowników
• Istnieją rozwijane i wspierane przez dostawców kompleksowe
narzędzia słuŜące nadzorowi nad aktywnością pracowników
• MoŜliwe jest ukrycie narzędzi nadzorujących przed
pracownikami
• Nie istnieją techniczne moŜliwości efektywnego ukrycia się
przed inwigilacją ze strony pracodawcy
• WdroŜenie efektywnych i kompleksowych metod nadzoru nad
pracownikami moŜe być bardzo kosztowne i wymagać łączenia
wielu narzędzi nadzoru technicznego
• Prawdziwym problemem nie są jednak koszty, a efektywna
analiza duŜych ilości informacji o aktywności pracowników
• Decyzje dotyczące rodzaju i zakres nadzoru pracowników
powinny być poprzedzone analizą rzeczywistych zagroŜeń
14
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Podsumowanie
Inwigilacja teŜ jest zagroŜeniem dla pracodawcy
• Pamiętajmy, Ŝe de facto „inwigilującym” nie jest pracodawca tylko
konkretna osoba – administrator systemu/centrali/itp.
• Stosowane środki techniczne dają tej osobie dostęp do BARDZO
wraŜliwych informacjami. Ewentualne naduŜycia mogą być bardziej
groźne od samych incydentów przed którymi chcemy chronić firmę.
• Oprócz wykorzystania właściwych narzędzi technicznych równie istotne
jest wprowadzenie odpowiednich procedur umoŜliwiających kontrolę
nad uzyskiwanymi w czasie inwigilacji informacjami.
• PROPONOWANA ZASADA:
– Gromadzenie i „statystyczne” (automatyczne) analizowanie informacji jest
dopuszczalne. Pracownicy mają świadomość, Ŝe tego typu środki mogą być
stosowane
– Zabronione jest „rutynowe” analizowanie danych dotyczących konkretnej
osoby bez uruchomienia stosownej procedury (np. związanej z podejrzeniem
popełnienia naduŜycia, itp.).
15
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników
©2008 Deloitte Audyt Sp. z o.o.
Nazwa Deloitte odnosi się do Deloitte Touche Tohmatsu, podmiotu prawa szwajcarskiego, jego
firm członkowskich, a takŜe ich właściwych spółek zaleŜnych i stowarzyszonych. Jako podmiot
prawa szwajcarskiego (stowarzyszenie), Deloitte Touche Tohmatsu ani Ŝadna z firm członkowskich
Deloitte Touche Tohmatsu nie ponosi odpowiedzialności wzajemnej za jakiekolwiek czyny lub
zaniedbania. KaŜda firma członkowska jest oddzielnym i niezaleŜnym podmiotem prawnym
działającym pod nazwą „Deloitte”, „Deloitte & Touche”, „Deloitte Touche Tohmatsu” lub inną
podobną nazwą. Usługi opisane w niniejszym dokumencie świadczą dane firmy członkowskie, ich
właściwe spółki zaleŜne i stowarzyszone, a nie podmiot prawny Deloitte Touche Tohmatsu.
Member of
Deloitte Touche Tohmatsu