Zob. Prezentacja Jakuba Bojanowskiego (Deloitte)
Transkrypt
Zob. Prezentacja Jakuba Bojanowskiego (Deloitte)
Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników Jakub Bojanowski Partner Agenda. 1 1 Wprowadzenie 2 Metody inwigilacji technicznej 3 Podsumowanie Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Wprowadzenie. 2 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Wprowadzenie Relacja pracodawca-pracownik • Pracodawca udostępnia pracownikowi narzędzia (komputer, telefon, łącze internetowe) przeznaczone do wykonywania obowiązków słuŜbowych i uzasadnia tym swoje „prawo” do inwigilacji pracowników • Typowo: pracodawca uwaŜa, Ŝe wykorzystanie tych narzędzi do celów prywatnych obniŜa efektywność pracy • Typowo: pracodawca uzasadnia prowadzenie nadzoru nad pracownikami potrzebą ochrony informacji słuŜbowych • Ostatnio: pracownicy zgłaszają roszczenia w przypadku gdy pracodawca ogranicza im dostęp do niektórych stron internetowych (np. nasza-klasa) • Najczęściej: pracownicy nie są świadomi zagroŜeń wynikających z udostępnienia informacji, które posiadają • Zazwyczaj: pracownicy mogą nie być świadomi, Ŝe ich działalność w Internecie moŜe wpływać na wizerunek pracodawcy • Praktycznie powszechnie: pracownicy nie zdają sobie sprawy z tego, Ŝe w większości przypadków informacje przesyłane za pośrednictwem Internetu nie są chronione przed nieuprawnionym dostępem • Co pracodawca zrobił aby wyedukować pracowników w zakresie zagroŜeń ? • Czy określił i zakomunikował pracownikom zasady, których zachowania się domaga ? 3 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Wprowadzenie Gdzie postawić granicę? • Czy (i jakim zakresie) dozwolone jest wykorzystywanie infrastruktury informatycznej do celów prywatnych: – korespondencja prywatna, – planowanie wakacji, – zakupy przez Internet, – poszukiwanie nowej pracy, – dystrybucja materiałów o charakterze pornograficznym. • Czy pracownikom wolno uczestniczyć w Internetowych listach dyskusyjnych – o jakiej tematyce? – w jakim charakterze? – ile czasu pracy mogą na to poświęcić? • Trudne decyzje: – Kto i w jakim przypadku moŜe podjąć decyzję o „podsłuchu” informacji? – W jaki sposób naleŜy informować o tym pracowników? – W jaki sposób eskalować ewentualne incydenty? 4 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Wprowadzenie ZagroŜenia • Ujawnienie informacji: – Świadome (szpiegostwo przemysłowe, działanie na niekorzyść przedsiębiorstwa), – Nieświadome: • • • • • • Wysłanie wraŜliwych danych pocztą elektroniczną do innej instytucji Portale społecznościowe (np. Nasza-Klasa.pl), Ściąganie prywatnej poczty z firmowego komputera Fora internetowe, Listy dyskusyjne, Czaty, itp.. • Przestępstwa popełniane przez pracowników: – W miejscu pracy, – Z wykorzystaniem informacji lub narzędzi uzyskanych w miejscu pracy. • ZagroŜenia związane z niską efektywnością pracowników. 5 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Metody inwigilacji technicznej. 6 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Metody inwigilacji technicznej Wprowadzenie • Podsłuch telefoniczny, • Nadzór przy pomocy kamer przemysłowych, • Systemy rejestracji czasu pracy, • Środki nadzoru nad komputerami, • Inne: – Tradycyjny podsłuch, – Moduły GPS, – Systemy RFID. 7 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Metody inwigilacji technicznej Podsłuch telefoniczny • UmoŜliwia nadzór nad telefonią analogową i cyfrową, • Kosztowny i złoŜony, • DuŜo łatwiejszy w implementacji dla nowoczesnej telefonii cyfrowej (VoIP), • Utrudniona jest odpowiednia analiza duŜej ilości danych (na przykład na podstawie słów kluczowych), • MoŜliwa jest lokalizacja telefonów komórkowych, • Stosowany przewaŜnie w sytuacjach wyjątkowych (podejrzenie popełnienia przestępstwa, działania na szkodę przedsiębiorstwa). 8 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Metody inwigilacji technicznej Nadzór przy pomocy kamer przemysłowych • Tradycyjna metoda kontroli, • Rzadko wykorzystywana bezpośrednio w pomieszczeniach biurowych, • Utrudnione szybkie wyszukiwanie interesujących zdarzeń, • Wymaga bezpośredniego nadzoru. • Trendy: – Automatyczna identyfikacja twarzy, – Automatyczne reagowanie na incydenty. • MoŜliwe zastosowanie mikrokamer (kosztowne, wykorzystywane w wypadku podejrzenia popełnienia przestępstwa). 9 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Metody inwigilacji technicznej Systemy rejestracji czasu pracy • Tradycyjna metoda kontroli, • Często łączona z systemem kontroli dostępu fizycznego, • UmoŜliwia ograniczoną kontrolę nad poruszaniem się po obiekcie, • Efektywna tylko w połączeniu z innymi metodami nadzoru (na przykład kamerami przemysłowymi), • Łatwe do oszukania (wykorzystanie innej karty/hasła). 10 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Metody inwigilacji technicznej Środki nadzoru nad komputerami • UmoŜliwiają pełny oraz trudny do wykrycia nadzór nad aktywnością pracowników (na przykład kopiowanie wraŜliwych danych na nośniki typu pen-drive), • Pozwalają na kontrolę: – Poczty elektronicznej, komunikatorów internetowych, – Przeglądanych stron internetowych, – Tworzonych lub modyfikowanych plików, – Wpisywanych danych, – Innej aktywności (na przykład przez zdalny dostęp do „pulpitu”). • Istnieje wiele popularnych narzędzi (często darmowych), • Występuje problem efektywnej analizy duŜej ilości danych napływających z systemów nadzoru. • UWAGA: narzędzia tego typu pozwalają takŜe na śledzenie dostępu pracowników do ich kont bankowych o ile korzystają oni z firmowego komputera 11 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Metody inwigilacji technicznej Inne • Tradycyjny podsłuch: – UmoŜliwia rejestrowanie rozmów w nadzorowanych pomieszczeniach. • Systemy GPS: – UmoŜliwiają lokalizowanie pojazdów wykorzystywanych przez pracowników, – Wykorzystywane przez firmy logistyczne lub spółki posiadające duŜe floty pojazdów, – Istnieją firmy dostarczające usługi nadzoru nad flotą (moŜliwy out-sourcing nadzoru). • Systemy RFID: – Pozwalają na śledzenie poruszania się pracowników w obrębie monitorowanego terenu (budynku biurowego, magazynu, etc), – MoŜliwość łatwego ukrycia się (przez zakrycie modułu RFID) oraz mały zasięg to podstawowe problemy, – Jeden z trendów w nadzorze nad aktywnością pracowników (pierwsze próby stosowania wszczepianych w ciało ludzkie modułów RFID). 12 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Podsumowanie. 13 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Podsumowanie Narzędzia inwigilacji pracowników • Istnieją rozwijane i wspierane przez dostawców kompleksowe narzędzia słuŜące nadzorowi nad aktywnością pracowników • MoŜliwe jest ukrycie narzędzi nadzorujących przed pracownikami • Nie istnieją techniczne moŜliwości efektywnego ukrycia się przed inwigilacją ze strony pracodawcy • WdroŜenie efektywnych i kompleksowych metod nadzoru nad pracownikami moŜe być bardzo kosztowne i wymagać łączenia wielu narzędzi nadzoru technicznego • Prawdziwym problemem nie są jednak koszty, a efektywna analiza duŜych ilości informacji o aktywności pracowników • Decyzje dotyczące rodzaju i zakres nadzoru pracowników powinny być poprzedzone analizą rzeczywistych zagroŜeń 14 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Podsumowanie Inwigilacja teŜ jest zagroŜeniem dla pracodawcy • Pamiętajmy, Ŝe de facto „inwigilującym” nie jest pracodawca tylko konkretna osoba – administrator systemu/centrali/itp. • Stosowane środki techniczne dają tej osobie dostęp do BARDZO wraŜliwych informacjami. Ewentualne naduŜycia mogą być bardziej groźne od samych incydentów przed którymi chcemy chronić firmę. • Oprócz wykorzystania właściwych narzędzi technicznych równie istotne jest wprowadzenie odpowiednich procedur umoŜliwiających kontrolę nad uzyskiwanymi w czasie inwigilacji informacjami. • PROPONOWANA ZASADA: – Gromadzenie i „statystyczne” (automatyczne) analizowanie informacji jest dopuszczalne. Pracownicy mają świadomość, Ŝe tego typu środki mogą być stosowane – Zabronione jest „rutynowe” analizowanie danych dotyczących konkretnej osoby bez uruchomienia stosownej procedury (np. związanej z podejrzeniem popełnienia naduŜycia, itp.). 15 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników ©2008 Deloitte Audyt Sp. z o.o. Nazwa Deloitte odnosi się do Deloitte Touche Tohmatsu, podmiotu prawa szwajcarskiego, jego firm członkowskich, a takŜe ich właściwych spółek zaleŜnych i stowarzyszonych. Jako podmiot prawa szwajcarskiego (stowarzyszenie), Deloitte Touche Tohmatsu ani Ŝadna z firm członkowskich Deloitte Touche Tohmatsu nie ponosi odpowiedzialności wzajemnej za jakiekolwiek czyny lub zaniedbania. KaŜda firma członkowska jest oddzielnym i niezaleŜnym podmiotem prawnym działającym pod nazwą „Deloitte”, „Deloitte & Touche”, „Deloitte Touche Tohmatsu” lub inną podobną nazwą. Usługi opisane w niniejszym dokumencie świadczą dane firmy członkowskie, ich właściwe spółki zaleŜne i stowarzyszone, a nie podmiot prawny Deloitte Touche Tohmatsu. Member of Deloitte Touche Tohmatsu