Соцсети в офисе: написали политику, пока HR с этим ещё не разобрался
ВКонтакте и Facebook растут быстрее, чем корпоративные регламенты. Написали клиенту политику допустимого использования соцсетей и отдельные правила для личных устройств в сети.
ВКонтакте и Facebook становятся массовыми - корпоративные политики безопасности не успевают описать правила работы сотрудников в соцсетях
Месяц назад к нам обратился клиент - средний ритейлер, около ста пятидесяти человек, несколько офисов. Служба безопасности хотела закрыть один конкретный вопрос: что делать с тем, что сотрудники всё активнее сидят ВКонтакте прямо с рабочих мест. Задача звучала как «ну заблокируйте вы их уже». Мы объяснили, что блокировка - это один из возможных ответов, но не замена политике. И в итоге нас попросили написать политику.
Спойлер: работа оказалась интереснее, чем мы рассчитывали.
Зачем вообще политика, а не просто блок на файрволе
Заблокировать ВКонтакте на периметре - дело пяти минут. Но несколько вопросов сразу усложняют картину. Начнём с того, что простой файрвол здесь не спасает.
Первое - мобильники. Сотрудник открывает соцсеть с телефона через 3G - никакой корпоративный файрвол это не поймает. Писать что угодно о клиентах, проектах и коллегах можно и без офисного Wi-Fi.
Второе - рабочие аккаунты. Менеджеры по продажам уже используют ВКонтакте как канал общения с клиентами - это реально работает. Глухой блок означает «запретить и то, что полезно».
Третье - юридическая сторона. Если сотрудник публично напишет что-нибудь неприятное про клиента компании, а потом скажет «я не знал, что нельзя» - компании будет трудно что-либо предъявить без документа, где это явно запрещено.
Так что переключились с «закрыть всё» на «написать правила».
Что вошло в политику
Документ получился на пять страниц - без воды, только конкретные правила и примеры нарушений. Ключевые разделы:
Категорически запрещено - список с пояснениями, без размытых формулировок:
- публикации, упоминающие клиентов компании, их названия, проекты или любые детали сделок - даже в положительном ключе и даже «без имён»;
- сведения о внутренних проектах, разработках, тендерах, переговорах;
- данные о коллегах без их явного согласия;
- что-либо, что может быть воспринято как официальная позиция компании - если у тебя нет прямых полномочий её выражать.
Клиент поначалу хотел дописать «и вообще никаких соцсетей в рабочее время». Мы объяснили, что это невозможно контролировать на личных устройствах и создаёт ощущение слежки там, где она не работает. Лучше - чёткий запрет на конкретные типы контента, который применим вне зависимости от устройства и времени суток.
Разрешено с оговорками - для тех, у кого соцсети входят в рабочие обязанности: отдельный раздел с требованием использовать корпоративный аккаунт или хотя бы явно разграничивать «я как сотрудник компании» от «я как частное лицо».
Ответственность - здесь юрист клиента добавил ссылки на трудовой договор и обязательство о неразглашении. Наша задача была убедиться, что текст политики им не противоречит.
Отдельный блок: личные устройства в офисной сети
Это оказалось второй самостоятельной темой. В офисе клиента уже был гостевой Wi-Fi - формально. На практике его паролем пользовались все подряд, включая личные ноутбуки сотрудников, планшеты, телефоны. Никакой изоляции от корпоративного сегмента не было.
Мы провели короткий осмотр сети - по аналогии с аудитом коммутаторов, который делали раньше для другого клиента. Картина предсказуемая: личные устройства оказались в одном широковещательном домене с рабочими станциями. ARP-сегментации нет, трафик видят все.
В политику для личных устройств вошло следующее:
- подключение личных девайсов разрешено только к изолированному гостевому сегменту;
- корпоративные ресурсы (файловый сервер, почта через внутренний клиент, 1С) с личных устройств недоступны - только через VPN и только для сотрудников, у которых это явно разрешено;
- на гостевом сегменте - ограничение по полосе и блокировка торрентов через QoS, чтобы не влияло на рабочий трафик;
- IT-отдел не обслуживает личные устройства и не несёт ответственности за их безопасность.
Последний пункт HR попросил смягчить. Мы объяснили, что он как раз защищает компанию: если сотрудник подключит заражённый телефон и что-то случится, ответственность не должна быть размытой.
Что в итоге
Политику подписали, провели короткий инструктаж для всего персонала - буквально двадцать минут с разбором конкретных примеров «можно / нельзя». Никаких обидных интонаций в духе «мы вам не доверяем»: просто объяснили, почему утечка информации о клиенте через публичный пост - это проблема для всей компании, включая самого сотрудника.
Гостевую сеть изолировали физически - отдельный VLAN, никаких маршрутов в корпоративный сегмент. Технически это заняло полдня.
Блокировать ВКонтакте в итоге не стали. Ограничение по полосе на гостевом сегменте де-факто делает его медленным, но это побочный эффект, а не политика. Разница важна: «медленно» - это технический факт, «запрещено» - это документ с подписью.
Главное наблюдение по итогам: большинство компаний вообще не думали об этой теме. Соцсети выросли быстро, а регламенты пишутся долго. Если у вас нет аудита корпоративных политик - скорее всего, в документах у вас дыра, которую вы просто не видите.
- ARP-спуфинг в LAN: закрываем дыру на коммутаторе, а не на хостах · 26 февраля 2009
- 152-ФЗ и приказ ФСТЭК №58: проверяем клиента из торговли до дедлайна · 29 января 2009