The saddest aspect of life right now is that science gathers knowledge faster than society gathers wisdom. - Isaac Asimov, scientist and writer (1920-1992)

17 iunie 2010

Protejati-va afacerea! Sfaturi simple pentru intreprinzatori.

Doua conversatii diferite cu vizitatorii de ieri ai blogului au adus in discutie o tema importanta pentru toate afacerile din Romania si anume: "cum imi protejez afacerea de riscurile informatice?". Nu este vorba de masuri tehnice costisitoare, audituri de securitate, investitii in tehnologie, sau altele asemenea, ci de cateva lucruri banal de simple si extrem de necesare in ziua de astazi tuturor afacerilor care au macar un angajat si un computer in dotare. Neluarea acestor masuri cauzeaza insumat pierderi enorme anual chiar in Romania.



Dar sa incepem cu cateva scenarii despre care va intrebam daca va suna cunoscute:
  1. o firma care are ca principal avantaj in fata concurentei baza de date de clienti sau un anumit know-how, iar unul din angajati fura datele respective din computerul firmei si isi deschide o firma concurenta sau le vinde concurentei
  2. angajati carora nu li se interzice sa ia acasa pe disketa, stick usb sau prin email date importante sau evidente ale firmei si care pierd apoi datele sau le incurca din neatentie sau voit - cauzand prejudicii firmei
  3. angajat nemultumit care paraseste firma si cunoscand parolele de acces la conturile email sau la alte servicii web ale firmei (site, server, etc), le acceseaza si se razbuna sabotand firma, stergand sau modificand date
  4. tineti contabilitatea, stocurile si alte date importante ale firmei pe acelasi computer la care au acces si alte persoane/angajati in afara persoanei care are in grija acele date, iar computerul are eventual si probleme de tipul: da permanent erori, aplicatiile se deschid greu, se pierd date si timp cu restartarile - fiind utilizat si in afara atributiilor de serviciu desfasurandu-se pe el activitati de cele mai multe ori pe Internet (de tipul: messenger, facebook, vizitare de diverse pagini, descarcare si rulare de diverse programe si fisiere)
  5. la angajarea unei persoane care va opera si pe computer in firma utilizati o fisa a postului standard, eventual xerocopiata dupa un model generic si intocmita doar de frica organelor de control?
Lista de scenarii poate continua si va invitam sa ne sugerati in comentarii si alte asemenea situatii.

Un adevar de cele mai multe ori ignorat sau necunoscut de catre antreprenori la noi: pentru marea majoritate a companiilor si intreprinzatorilor, pornind de la firme mici si urcand chiar si pana la unele mari, un risc informatic foarte important il reprezinta utilizarea neadecvata, gresita (fie din eroare fie din necunoastere) dar uneori si cu rea vointa de catre angajati a tehnologiei informatice a companiei.

Stim ca poate nu sunt bani pentru a recurge la metode tehnice sofisticate de protejare sau pentru a supraveghea tehnic angajatii. Si pana la urma, interesul este sa faceti afaceri si nu politie. Este tot atat de posibil ca firma sa nu aiba decat un computer si acela utilizat secundar pentru a procesa date relativ importante - nefiind in aceste conditii pe deplin justificata investitia in tehnica sofisticata.

Dar pana la a face aceste investitii, prima masura de protectie in fata riscurilor informatice pentru firma trebuie sa fie protectia juridica - care are doua componente:
  • aducerea la cunostinta angajatilor a conduitei ce se impune in lucrul cu computerul in firma
  • angajamentul semnat al acestora ca vor urma conduita

Aceasta va poate pune la adapost de o serie destul de mare de probleme extrem de frecvent intalnite in ziua de azi si datorate utilizarii si manipularii cu rea vointa a datelor informatice si sistemelor informatice ale firmelor de catre angajati.


La modul practic:
va sunt necesare minimal 3 documente referitoare la postul de lucru la computer pe care sa le aveti redactate de catre un jurist sau chiar si de dvs. daca aveti idee ce este necesar (recomandam totusi sa apelati la o persoana sau firma specializata in drept si IT pentru o mai mare eficienta juridica a documentelor):
  • o fisa a postului care sa contina si prevederi specifice pentru postul de lucru la computer - enuntand obligatiile si atributiile specifice ale angajatului atunci cand va utiliza computerul - si care sa prevada specific ce are voie sa faca in cadrul postului
  • un acord de confidentialitate - in care angajatul se obliga sa pastreze secretul datelor, inclusiv cele informatice, cu care intra in contact in atributiile de serviciu si se angajeaza sa nu le utilizeze in cazul in care paraseste postul. Documentul defineste totodata ce date sunt confidentiale.
  • un regulament de utilizare a computerelor - care sa prevada ce au si ce nu au voie la modul general sa faca angajatii in timpul orelor de program de la computere, cine si la ce computer are voie sa opereze, daca au voie sa transmita date in afara firmei sau sa le ia cu ei, daca au sau nu voie sa navigheze pe internet, daca au voie sa instaleze programe altele decat cele necesare muncii, daca este permis messengerul, comunicarea de date importante apartinand firmei pe adresa email privata a angajatului, etc.
Toate acestea aduse la cunostinta angajatului care le va si semna.

Daca ar exista aceste prevederi si s-ar respecta in cadrul companiilor, mai mult de jumatate din riscurile informatice ar fi eliminate.

Daca ele exista dar nu sunt respectate, aveti deschisa prin insasi existenta lor, calea tragerii la raspundere in justitie.

Daca sunteti inca sceptici privind utilitatea lor, intrebati juristul firmei sau pe o cunostinta avocat ce sanse aveti sa va indreptati impotriva unui angajat buclucas in oricare din scenariile de la 1 la 5 de mai sus daca nu a semnat prealabil astfel de documente.

Romania are definite infractiuni care sa protejeze datele informatice si sistemele informatice ca valori sociale si incrimineaza fapte precum furtul de date sau transferul ilegal, accesul fara drept la un sistem informatic, deteriorarea sau modificarea datelor informatice, perturbarea functionarii unui sistem informatic, etc. Toate acestea trebuiesc cunoscute de angajati iar daca aveti cele 3 documente semnate, aveti si temeiul juridic pentru a cere ajutorul statului in caz de probleme.

Primul rol al acestor documente este cel preventiv, sa le atraga atentia angajatilor asupra conduitei adecvate postului - si abia apoi cel de temei juridic efectiv pentru situatii limita.

Fie ca vor avea rol preventiv, fie ca le veti utiliza efectiv, avandu-le definite si semnate impreuna cu angajatul, aveti reale sanse sa eliminati mai multe probleme decat daca aceste documente sunt redactate ambiguu sau nu exista deloc.

Va invitam ca exercitiu sa ne spuneti in comentarii cum anume ar putea fi contracarate problemele enuntate in scenariile de mai sus prin prevederi introduse in cele 3 documente pomenite. Iar daca nu aveti in firma cele 3 documente redactate specific, va asteptam cu intebari despre cum trebuie sa procedati, pe adresa noastra de email.

3 comentarii:

  1. Foarte interesanta afirmatia dvs "Daca ar exista aceste prevederi si s-ar respecta in cadrul companiilor, mai mult de jumatate din riscurile informatice ar fi eliminate.". Consider ca, indiferent de masurile de securitate, politicile care sunt (sau ar trebui sa existe in organizatii), tot va fi cineva care sa le intreaca, pentru ca, in destule, s-a dovedit ca mintea umana este cea mai puternica, si in mod special daca respectivele persoana se asociaza pentru a cauza prejudicii si tocmai din aceasta cauza va sustin afirmatia "jumatate".
    Eu totusi am o curiozitate si anume, cate firme au juristi care sa ii indrume? Probabil doar cele de dimensiuni mari si cu multi angajati, pentru ca de cele mai multe ori cele mici nu isi permit sa angajeze.
    Am intocmit 2 chestionare, pentru a afla de ce sunt in stare angajatii. Daca doriti si aveti timp, puteti sa va uitati pe acesta si chiar va rog sa il completati (ma adresez cititorilor) numai daca sunteti angajat al unei companii. Adresa la care se regasesc chestionarele: http://infractionalitateinformatica.blogspot.com

    RăspundețiȘtergere
  2. Foarte bun topicul!

    Eu cred ca este necesar ca o firma sa aiba, in primul rand, o politica minimala de securitate IT&C si, in al doilea rand, sa elaboreze si implementeze un Sistem de Management al Securitatii Informatiilor conform familiei de standarde ISO/IEC 27000.

    Este arhisuficient!

    RăspundețiȘtergere
  3. @Dana: gasesc extrem de util studiul tau si de aceea incurajez cititorii care sunt angajati in firme sa participe raspunzand la chestionare. Chestionarele se gasesc aici....

    @Max: multumesc! Intr-adevar aceasta ar fi calea de dorit.

    RăspundețiȘtergere