Мнения экспертов

Михаил Богданов
Председатель правления консалтинговой группы "КОНСОРТ" Генеральный представитель в России/СНГ Международной федерации Executive Search (IESF)

С большим интересом ознакомился с концепцией журнала HR Management и, не раздумывая, принял предложение войти в его Экспертный Совет...
Подробнее...

Марина Мелия
Генеральный директор психологической консультативной компании ММ-Класс

 Я уверена, что люди - это основной ресурс любой компании, а грамотная и эффективная политика управления персоналом - непременное условие успеха...
Подробнее...

Улан Илишкин
Директор административного департамента АКБ "Росбанк"

 В ситуации, сложившейся сейчас на рынке труда России, сложно не признать достоинств журнала "HR Менеджмент". Журналов, содержащих полезную информацию...
Подробнее...

Интернет-угрозы, с которыми сталкиваются департаменты HR

v215h841564j85415fКак правило, сотрудники HR подразделений имеют доступ к наиболее секретной информации компании - это, с одной стороны, частные подробности об отдельных работниках, от персональной информации до сведений о финансовом состоянии, и планы по кадрам, строящиеся для того, чтобы управлять бизнесом в дальнейшем, с другой. Такое хранилище взаимосвязанных файлов - золотая жила для злоумышленников, паразитирующих на обмене и эксплуатации персональных данных.

Ключевую роль HR специалистов в деле обеспечения безопасности компании трудно переоценить. Действительно, во многих случаях они оказываются на первой линии обороны, под прицелом кибер-преступников.

Рекрутеры, использующие групповые почтовые ящики (например, Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.) должны знать, что письма, полученные на такие адреса, могут быть вредоносными. Нежелательный контент от "потенциальных кандидатов" на трудоустройство, под видом невинного вложения (резюме или рекомендации с прошлых работ) с большей вероятностью прорвется через департамент HR. В результате шанс на случайное открытие вредоносного документа, который затем заражает сеть компании, увеличивается. Пользуясь случаем, преступники вставляют во вложения код, способный навредить системе, или, возможно, даже вернуть данные хакеру, который, в свою очередь, применит их для корпоративного шпионажа.

Социальные сети тоже часто становятся плодотворной почвой для преступных намерений и обмана, с их помощью распространяются опасные файлы. Подобно тому, как HR менеджеры просматривают социальные сети, чтобы узнать побольше о соискателях вакансий, кибер-преступники наводят справки о своей цели. Рекрутеры должны быть осторожны при обращении к документам или внешним ссылкам, связанным с интересующими их лицами, так как злоумышленник, возможно, уже побывал там и поставил ловушку для любознательных кадровиков.

Впрочем, бдительность важно сохранять не только внутренней команде HR. Достаточно популярная сегодня услуга рекрутингового аутсорсинга неотделима от ответственности и понимания того, что независимым консультантам по подбору персонала следует прилагать все возможные усилия по ограждению клиентов от кибер-атаки. Например, преступники узнают, что рекрутинговое агентство использует автоматизированную систему, сопоставляющую кандидатов и вакансии, и начинают "подсовывать" поддельные заявки на трудоустройство с документами, содержащими вредоносный код, который может в конечном итоге найти путь к работодателю. В таких случаях, чтобы получить доступ к сети, предварительно проводится анализ вакансий намеченной жертвы и вычисляется партнер по рекрутингу.

Не стоит заблуждаться и причислять эту угрозу исключительно к прерогативам крупных организаций с их очевидной ценностью для преступников. Наше исследование показало, что доля виртуальных нападений на малый и средний бизнес в 2012 году возросла с 18 до 31% по ряду причин: задействованность в цепочке поставок, владение ценной интеллектуальной собственностью, и, к сожалению, менее строгие меры безопасности.

Какие шаги рекомендуется предпринимать компаниями и их HR командам для борьбы с угрозой проникновения хакеров? Начните с обучения. Подробно рассмотрите возможные риски и убедитесь, что сотрудники осведомлены о приемах, которые могут быть применены к ним, и способны дать отпор. Для поддержки стратегии информационной безопасности следует рассмотреть вопрос о принятии политики, предписывающей четкий порядок действий при получении подозрительных сообщений, а также обеспечивающей понимание ответственности по отношению к последствиям возможных атак.

Наконец, в качестве последней линии обороны должны выступить технологии безопасности. Учитывая специфику профессии HR и масштабы рассылок нежелательных писем, важно защититься от тех немногих, которые могут все же "проскочить" через первую линию. Лучшие технологии безопасности в состоянии нейтрализовать вредоносный код, предотвращая хаос в корпоративной сети.

Традиционная максима - не открывать корреспонденцию от неизвестных отправителей, не всегда применима к работе HR-команды. Благодаря специфике свой работы подразделения по работе с персоналом открываются для атаки каждый раз, когда просматривают электронную почту. Большинство писем, конечно же, опасными не являются. Тем не менее, может оказаться, что обычное на вид, но на самом деле вирусное, послание соискателя не насторожит менеджера по персоналу, и организация подвергнется атаке. Осознание значимости такой угрозы и готовность к борьбе необходимы фирме любого размера.

Пол Вуд (Paul Wood), менеджер информационной кибер-безопасности компании онлайн-защиты Symantec

Комментарии:

Популярные статьи