ADG Оставить заявку
Блог Информационная безопасность 4 мин чтения

Соцсети в офисе: написали политику, пока HR с этим ещё не разобрался

ВКонтакте и Facebook растут быстрее, чем корпоративные регламенты. Написали клиенту политику допустимого использования соцсетей и отдельные правила для личных устройств в сети.

Контекст момента

ВКонтакте и Facebook становятся массовыми - корпоративные политики безопасности не успевают описать правила работы сотрудников в соцсетях

Месяц назад к нам обратился клиент - средний ритейлер, около ста пятидесяти человек, несколько офисов. Служба безопасности хотела закрыть один конкретный вопрос: что делать с тем, что сотрудники всё активнее сидят ВКонтакте прямо с рабочих мест. Задача звучала как «ну заблокируйте вы их уже». Мы объяснили, что блокировка - это один из возможных ответов, но не замена политике. И в итоге нас попросили написать политику.

Спойлер: работа оказалась интереснее, чем мы рассчитывали.

Зачем вообще политика, а не просто блок на файрволе

Заблокировать ВКонтакте на периметре - дело пяти минут. Но несколько вопросов сразу усложняют картину. Начнём с того, что простой файрвол здесь не спасает.

Первое - мобильники. Сотрудник открывает соцсеть с телефона через 3G - никакой корпоративный файрвол это не поймает. Писать что угодно о клиентах, проектах и коллегах можно и без офисного Wi-Fi.

Второе - рабочие аккаунты. Менеджеры по продажам уже используют ВКонтакте как канал общения с клиентами - это реально работает. Глухой блок означает «запретить и то, что полезно».

Третье - юридическая сторона. Если сотрудник публично напишет что-нибудь неприятное про клиента компании, а потом скажет «я не знал, что нельзя» - компании будет трудно что-либо предъявить без документа, где это явно запрещено.

Так что переключились с «закрыть всё» на «написать правила».

Что вошло в политику

Документ получился на пять страниц - без воды, только конкретные правила и примеры нарушений. Ключевые разделы:

Категорически запрещено - список с пояснениями, без размытых формулировок:

  • публикации, упоминающие клиентов компании, их названия, проекты или любые детали сделок - даже в положительном ключе и даже «без имён»;
  • сведения о внутренних проектах, разработках, тендерах, переговорах;
  • данные о коллегах без их явного согласия;
  • что-либо, что может быть воспринято как официальная позиция компании - если у тебя нет прямых полномочий её выражать.

Клиент поначалу хотел дописать «и вообще никаких соцсетей в рабочее время». Мы объяснили, что это невозможно контролировать на личных устройствах и создаёт ощущение слежки там, где она не работает. Лучше - чёткий запрет на конкретные типы контента, который применим вне зависимости от устройства и времени суток.

Разрешено с оговорками - для тех, у кого соцсети входят в рабочие обязанности: отдельный раздел с требованием использовать корпоративный аккаунт или хотя бы явно разграничивать «я как сотрудник компании» от «я как частное лицо».

Ответственность - здесь юрист клиента добавил ссылки на трудовой договор и обязательство о неразглашении. Наша задача была убедиться, что текст политики им не противоречит.

Отдельный блок: личные устройства в офисной сети

Это оказалось второй самостоятельной темой. В офисе клиента уже был гостевой Wi-Fi - формально. На практике его паролем пользовались все подряд, включая личные ноутбуки сотрудников, планшеты, телефоны. Никакой изоляции от корпоративного сегмента не было.

Мы провели короткий осмотр сети - по аналогии с аудитом коммутаторов, который делали раньше для другого клиента. Картина предсказуемая: личные устройства оказались в одном широковещательном домене с рабочими станциями. ARP-сегментации нет, трафик видят все.

В политику для личных устройств вошло следующее:

  • подключение личных девайсов разрешено только к изолированному гостевому сегменту;
  • корпоративные ресурсы (файловый сервер, почта через внутренний клиент, 1С) с личных устройств недоступны - только через VPN и только для сотрудников, у которых это явно разрешено;
  • на гостевом сегменте - ограничение по полосе и блокировка торрентов через QoS, чтобы не влияло на рабочий трафик;
  • IT-отдел не обслуживает личные устройства и не несёт ответственности за их безопасность.

Последний пункт HR попросил смягчить. Мы объяснили, что он как раз защищает компанию: если сотрудник подключит заражённый телефон и что-то случится, ответственность не должна быть размытой.

Что в итоге

Политику подписали, провели короткий инструктаж для всего персонала - буквально двадцать минут с разбором конкретных примеров «можно / нельзя». Никаких обидных интонаций в духе «мы вам не доверяем»: просто объяснили, почему утечка информации о клиенте через публичный пост - это проблема для всей компании, включая самого сотрудника.

Гостевую сеть изолировали физически - отдельный VLAN, никаких маршрутов в корпоративный сегмент. Технически это заняло полдня.

Блокировать ВКонтакте в итоге не стали. Ограничение по полосе на гостевом сегменте де-факто делает его медленным, но это побочный эффект, а не политика. Разница важна: «медленно» - это технический факт, «запрещено» - это документ с подписью.

Главное наблюдение по итогам: большинство компаний вообще не думали об этой теме. Соцсети выросли быстро, а регламенты пишутся долго. Если у вас нет аудита корпоративных политик - скорее всего, в документах у вас дыра, которую вы просто не видите.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.