Мониторинг сотрудников: оруэлловское будущее или реальность сегодняшнего дня?

Опубликовано: 30 Марта, 2023
Мониторинг сотрудников: оруэлловское будущее или реальность сегодняшнего дня?

Мониторинг сотрудников и многое другое

Когда Митч спросил: «Сколько наших читателей, работающих в корпоративной среде, испытывают (или внедряют, если вы менеджер) ту или иную меру наблюдения на рабочем месте?» в его информационном бюллетене я сначала подумал, что почти компания проводит мониторинг сотрудников. Как я расскажу, большая часть мониторинга якобы делается из соображений безопасности, но некоторые компании делают это по другим причинам.

В большинстве случаев, на мой взгляд, компании не заинтересованы в контроле большинства сотрудников и подрядчиков или других лиц на своих объектах в отношении того, чем они там занимаются. Они заинтересованы в наблюдении за ними на предмет вещей, выходящих за рамки их работы или обязанностей. В нашем нынешнем сверхчувствительном климате действия сотрудников и подрядчиков могут привести к ущербу для репутации, финансовым потерям (которые могут исчисляться миллиардами долларов) и нормативным штрафам, включая потерю деловых отношений с правительствами.

Эта статья в основном посвящена Соединенным Штатам, но, вероятно, в большей степени применима к канадским компаниям, в меньшей степени к компаниям и организациям в других регионах, таких как Европейский союз.

В этой статье я расскажу о трех типах мониторинга:

  • Физический мониторинг сотрудников: определение, когда люди приходят и уходят с объектов компании, и осуществление наблюдения за людьми, когда они находятся на объектах компании.
  • Мониторинг доступа/событий сотрудников: регистрация того, что люди делают в корпоративных сетях или с корпоративным оборудованием, например телефонами, и к чему они имеют доступ.
  • Мониторинг других сотрудников: поведенческая аналитика и не только.

Физический мониторинг

Начнем с физического мониторинга. Физический мониторинг, вероятно, так же стар, как и сами компании! Даже в средние века кузнец или торговец всегда проверял, приходят ли его ученики и работники на работу, и следил за тем, чтобы они усердно работали над поставленными им задачами. До компьютерной эры и даже в некоторых компаниях сегодня сотрудники входили и уходили, используя своего рода часы. В предыдущие десятилетия сотрудник буквально вставлял карту в машину, которая записывала отметку даты / времени, чтобы показать, когда сотрудник начал и закончил день, а карта в конце недели использовалась для расчета заработной платы сотрудника.. Теперь вместо перфокарт сотрудникам выдаются значки, которыми махают под часами, чтобы они делали то же самое. Если вы знаете кого-то, кто работает в Walmart или другом розничном магазине, попросите его показать вам свой значок для входа и выхода.

Значки используются не только для регистрации прихода и ухода. У большинства компаний есть пропуска для физического входа/выхода из помещений, что позволяет уполномоченному персоналу получить доступ к различным местам внутри помещений (электрощитки, центры обработки данных и даже спортивные залы на месте для пользователей, которые платят за посещение тренажерного зала). Карты доступа и связанные с ними системы лично определяют, когда сотрудники, подрядчики и посетители находятся в компании (или правительстве; многие из этих же средств контроля применяются к государственным) объектам и когда они уходят. Они могут отслеживать, когда сотрудники пытаются получить доступ к областям, которым они не авторизованы. Как правило, они не могут отследить, где человек находится в учреждении в любой момент времени.

Изображение 4337
Шаттерсток

Значки доступа служат нескольким целям:

  • Они позволяют уполномоченному персоналу входить или выходить из помещений без необходимости регистрироваться с охранником или через контролируемые точки выхода, разрешенные для доступа персонала без присутствия охранника.
  • При необходимости их можно быстро деактивировать из центральных систем.
  • Информация о том, кто находится в учреждении, может быть использована в целях безопасности, если происходит местное событие, такое как пожар или действующий стрелок, и персонал учреждения должен обеспечить учет всех в учреждении, даже посетителей из-за пределов этого района, которые обычно не находятся в учреждении.

Давайте поговорим о некоторых других применениях физического мониторинга. Компании доставки и фулфилмент-компании (например, Amazon, Walmart, UPS) могут отслеживать, насколько быстро посылки доставляются или обрабатываются для доставки, а также время, которое сотрудники или подрядчики тратят на доставку посылок. Walmart и другие ритейлеры также отслеживают, насколько быстро кассиры рассчитываются с покупателями. В некоторых случаях, в основном в службах доставки, этот мониторинг просто делается для того, чтобы попытаться сократить расходы, например, чтобы уменьшить пробег или расход топлива при доставке посылок между любыми двумя точками — знаменитая проблема коммивояжера. В других случаях их можно использовать для выявления симулянтов и плохо работающих сотрудников — либо для дополнительного обучения, чтобы попытаться улучшить производительность, либо для увольнения.

Наконец, мы подошли к вездесущей камере. У большинства предприятий есть камеры в разных местах, особенно в центрах обработки данных, для записи того, что пользователи делают на объектах. Опять же, они могут использоваться в целях безопасности или правоохранительных органов, не связанных с поведением сотрудников, или просто для предотвращения преступного поведения. Их также можно использовать для минимизации симуляции сотрудников.

Мониторинг доступа/событий

Теперь давайте обсудим доступ и мониторинг событий. Это данные, собранные об использовании персоналом компьютеров или телефонов в рабочих целях. Каждая компания собирает события, связанные с действиями пользователя на компьютере/телефоном, во многих случаях для выполнения требований аудита или соответствия, предъявляемых отраслью или правительством. Например, некоторые компании должны показать, что после увольнения доступ сотрудника был удален, и после даты увольнения не было успешных входов в систему. Другим компаниям необходимо иметь запись о каждом изменении, внесенном в систему управления финансами, содержащую основную финансовую отчетность компании, чтобы показать, что все изменения были санкционированы.

Некоторые из различных типов собираемых событий включают в себя:

  • Локальный вход/выход в сеть (для пользователей в компании/учреждении организации).
  • VPN-подключения или отключения (для пользователей, подключающихся извне к сети компании/организации).
  • Действия пользователей (вход/выход из различных внутренних приложений, изменение данных в каталогах или базах данных), подключения пользователей к другим компьютерам или файловым ресурсам, а также операции чтения и записи. Как правило, они собираются для удовлетворения различных требований аудита, подобных описанной выше системе управления финансами, или для устранения неполадок («Почему должность X возвращается к старой должности в Outlook после того, как она была изменена в HR?»).
  • То, что я буду называть «краевым управлением». Большинство компаний отслеживают и ограничивают доступ в Интернет в той или иной степени на основании отношения к авторизованной работе. Сайты азартных игр, сайты с контентом для взрослых, сайты социальных сетей, сайты личной электронной почты (Yahoo, Google, Hotmail) и даже сайты конкурентов могут быть заблокированы, чтобы защитить компанию от исков сотрудников или внешних исков. («Компания X подала в суд после неоднократных попыток доступа к конфиденциальным данным в сети компании Y»). персоналом, пытающимся сделать что-то злонамеренное, или самим сайтом, пытающимся атаковать систему пользователя). Кроме того, в списках разрешенных/заблокированных веб-сайтов по всему миру любой внешний доступ с использованием необычных портов (таких как TOR) обычно блокируется, а любые попытки доступа к сайтам с использованием этих портов регистрируются для выявления модели поведения, которая может идентифицировать вредоносную активность. попытки пользователя обойти средства управления или просто случайные подключения.

В то время как приведенный выше список в первую очередь предназначен для обеспечения безопасности или предотвращения ущерба компании, этот последний тип мониторинга в большей степени ориентирован на производительность. Компании, занимающиеся обслуживанием клиентов, собирают метрики о представителях службы поддержки клиентов и сделанных им звонках — время звонков в службу поддержки, время ожидания для разговора с агентом, количество обратных вызовов и удовлетворенность клиентов (сколько раз представители службы поддержки просили « 5” в опросе об удовлетворенности клиентов, хотя они этого не должны?). Часто они предназначены для повышения качества обслуживания, но также могут использоваться для побуждения агентов по обслуживанию клиентов к желаемому поведению (например, обслуживать как можно больше клиентов в час или получать большое количество 5). В редких случаях отслеживание и запись звонков в службу поддержки клиентов могут использоваться в юридических и правоохранительных целях, когда звонящий угрожает или беспокоит агента службы поддержки.

Другой мониторинг сотрудников

Более обширный (экстремальный?) мониторинг — компании не очень хотят знать, чем занимаются сотрудники в рамках своей занятости. Они хотят знать, что сотрудники (и подрядчики) делают за рамками своей работы, особенно если у них есть привилегированный доступ к ресурсам компании, что означает, что они могут обойти или отключить элементы управления безопасностью, которые не смогли бы сделать большинство пользователей. Они также хотят как можно скорее узнать, что делают сотрудники и подрядчики, чтобы предотвратить или ограничить ущерб от злонамеренных действий (будь то настоящие внутренние атаки или вредоносное программное обеспечение, каким-то образом внедренное извне).

Есть два основных способа сделать это. Активный мониторинг включает в себя установку в системах того, что обычно считается шпионским программным обеспечением для записи действий пользователя, нажатий клавиш, движений мыши и снимков экрана. Тем не менее, активный мониторинг не обязательно дает какое-либо представление о том, имеет ли место ненадлежащее поведение, если только кто-то или что-то не отслеживает потоки данных от этих инструментов и не принимает решения о том, что означают данные, и он не будет собирать действия, выполняемые вредоносным программным обеспечением, работающим в фон. Пассивный мониторинг включает в себя инструменты «поведенческой аналитики», которые собирают журналы из различных систем и используют методы больших данных для определения базового уровня поведения пользователей. Например, конкретный пользователь может работать с 8 утра до 5 вечера, подключаться к двум файловым ресурсам в день и не проводить время в Интернете. Если поведение пользователя меняется, это может быть связано с изменением должностных обязанностей, вредоносным ПО, выдающим себя за пользователя, или действиями пользователя подозрительного характера (например, пользователь просматривает Интернет в поисках новой работы или отправляет или пытается отправить конфиденциальные данные). вне компании). Эти системы обычно могут отправлять предупреждения соответствующему персоналу для проверки поведения и определения следующих шагов.

Другой формой пассивного мониторинга является использование инструментов управления привилегированными сеансами (доступных от различных компаний), которые автоматически подключают авторизованных пользователей к системам, для которых разрешен привилегированный доступ (без обмена паролями с пользователем), например, открывая сеансы протокола удаленного рабочего стола для Серверы Windows или безопасные сеансы оболочки для серверов Linux. Затем эти инструменты могут записывать все действия пользователя во время этого сеанса. Опять же, для выявления вредоносного или несанкционированного поведения потребуются дополнительные инструменты или ручная проверка, но эти инструменты могут дополнить любой активный или пассивный мониторинг, описанный выше.

Возможно, есть и другие механизмы, которые я не упомянул (например, физический обыск персонала, входящего или выходящего из помещений), но это наиболее распространенные, о которых я знаю.

В Соединенных Штатах (и, возможно, в Канаде) все это совершенно законно для сотрудников и подрядчиков, которые поддерживают компанию в качестве условия найма, и до тех пор, пока есть соответствующие уведомления о том, что соединения отслеживаются. Юридически в Соединенных Штатах это известно как «не ожидание конфиденциальности». По закону сотрудники и подрядчики не обязаны быть уведомлены о типах проводимого мониторинга, кроме как уведомлять их о том, что соединения отслеживаются. В большинстве случаев сотрудники и подрядчики знают о более явных методах мониторинга (значки доступа, камеры, ведение журналов), но не обязательно о более тонких методах, таких как поведенческая аналитика или сбор данных об активности пользователей на компьютере.

Если кто-то спросит, внедряют ли корпорации (и правительства) наблюдение на рабочем месте, это неправильный вопрос. Правильный вопрос - в какой степени. Предприятия всегда в той или иной степени осуществляли наблюдение на рабочем месте, а современные технологии позволяют предприятиям внедрять наблюдение в такой степени, которая ранее была невозможна, и она будет продолжать расширяться по мере развития технологий, потому что ни одна компания не хочет стать жертвой атаки или поведения сотрудников. это могло предотвратить или смягчить.

Предостережение: это обсуждение законности наблюдения на рабочем месте является моим общим пониманием закона. Для получения конкретной юридической консультации по правам сотрудников или подрядчиков обратитесь к адвокату, специализирующемуся в области трудового права, имеющему лицензию на практику в вашей местной юрисдикции. Некоторые технологии, которые можно использовать для слежки (например, распознавание лиц, о котором я не говорил выше), могут быть запрещены или ограничены в определенных юрисдикциях.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023