Виртуальное безделье. Работодатели расплачиваются за интернет-серфинг сотрудников
Интернет с его безграничными возможностями стал для бизнеса хорошим подспорьем в отладке рабочих процессов и получении прибыли. Однако вместе с благами принес и новые проблемы. Cyberloafing — использование компьютера на рабочем месте не в служебных целях, — только одна из них.
Обозначу далеко неполный пул вопросов информационной безопасности, с необходимостью решения которых рано или поздно сталкивается любая компания, где есть хотя бы два компьютера с выходом в интернет. Первый риск для работодателя — это нецелевое использование интернета, когда некоторую часть своего рабочего времени сотрудники проводят в любимых соцсетях, интернет-магазинах, общаются в мессенджерах. Разумеется, это отвлекает от рабочих задач и становится незримой, но вполне реальной статьей расходов и другого рода потерь компании. Второй риск возникает при использование сотрудниками приложений и сайтов, которые скачкообразно увеличивают сетевой трафик (например, видеохостинги и торренты). В результате падает скорость работы интернета на других компьютерах в сети. Третий риск — зараженные интернет-ресурсы.
Замечу, все эти проблемы вытекают именно из ничем не ограниченного доступа персонала компании к интернету через корпоративную сеть. Прочие угрозы, связанные с возможностью взлома вашей сети извне, а также злым умыслом внутреннего пользователя пока даже не будем рассматривать. Все знают, что профилактика всегда дешевле лечения. И, хотя многие предприниматели выступают противниками системного контроля над действиями своей команды, я расскажу о реальных потерях, которые понесли компании.
Посчитаем убытки
Согласно статистике hh.ru, до 64% сотрудников тратят на личные дела от 15 минут до часа рабочего времени. Из этого количества просмотром личной почты и новостей занимаются 46%, более трети опрошенных общаются в мессенджерах по вопросам, далеким от профессиональных, а 26% бесцельно просиживают в социальных сетях. При этом более половины не считает, что подобные потери времени сказываются на их производительности, а рабочее время «убивает» скорее выполнение неожиданных распоряжений начальства и исправление ошибок за коллегами.
Как владелец бизнеса и работодатель я предпочитаю оценивать ситуацию с точки зрения окупаемости и отдачи. В первую очередь учитываю экономическую дестабилизацию собственного предприятия и объем упущенной выгоды. Проведем простой расчет, где средняя зарплата работника в России равна 38 083 рублей (данные Росстата, сентябрь 2017 года). При 40-часовой рабочей неделе в сентябре выходит 168 рабочих часов. Таким образом, часовая ставка равна 227 рублей.
Средний показатель нецелевого расхода рабочего времени в день — 55,4 минут. Выходит, каждому сотруднику компания ежедневно переплачивает по 209 рублей, а за год набегает около 52 000 рублей. Нецелевое просиживание в сети 100 человек персонала обойдется компании в 520 000 рублей в год, что немало.
Есть и еще несколько моментов в отношении политики безопасности предприятия, баз данных, личных данных и конфиденциальной информации персонала, клиентов и партнеров. Угроза в данном случае может исходить и снаружи, и изнутри. По данным IBM Security, ущерб от потери данных за последние годы достиг $4 млн за один инцидент, и тенденция к росту все еще сохраняется. Ликвидация последствий обходится для крупной фирмы примерно в 11 млн рублей, а для среднего и малого бизнеса — в 1,6 млн. Специалисты «Лаборатории Касперского» подсчитали, что в 2016 году 42% российских компаний теряли информацию из-за хакерских атак. Добавим сюда внушительные суммы ущерба от халатности сотрудников, проносящих на неучтенных флешках вирусы, заходящих на запрещенные сайты и просто сливающих конфиденциальную информацию конкурентам. Выгода системной профилактики перед исправлением последствий становится еще более очевидной.
Что можно предпринять?
— Тайм-менеджмент. Тренинги научат сотрудников эффективно использовать свое время, а Google Keep, Tasker или Things могут повысить организованность, но помните, что никто не гарантирует, что часы и минуты будут использоваться в пользу компании.
— Административные меры. Можно ввести систему наказаний, лишать премий и даже увольнять сотрудников, слишком много времени проводящих в соцсетях. Правда, будут ли новые члены команды работать лучше, сказать сложно. Сейчас многие испытывают нездоровую тягу к бесцельному пролистыванию интернет-страниц, и если рабочий компьютер недоступен, тянутся к другим гаджетам каждые десять минут.
— Тотальный контроль. Это фактически откровенная слежка за сотрудниками, в случае установления которой будьте готовы к саботажу со стороны недовольных. Даже не сомневайтесь в изобретательности их ума — обязательно найдут лазейку. А еще вам придется нанять новых сотрудников для слежки за старыми. Вы же не можете один за всеми уследить.
С учетом всего перечисленного наиболее оптимальным вариантом становится гибкая политика в отношении веб-доступа. К примеру, можно разрешить посещение соцсетей во время обеденного перерыва или кофебрейка, можно применить индивидуальную настройку для разных категорий пользователей в сети — кому-то разрешить, а кому-то закрыть доступ к определенному сайту. Межсетевые экраны нового поколения позволяют блокировать даже отдельные разделы или страницы сайта, оставляя возможность общего доступа к самому ресурсу. С их помощью можно заблокировать и программы, установленные на компьютеры или в браузерах. Приятным бонусом для руководителя станут отчеты по использованию интернета, позволяющие посмотреть историю посещений сайтов любым сотрудником.
В одном из торговых центров Москвы нужно было ограничить доступ в интернет обслуживающему персоналу (около 90 человек). Заказчика интересовала прежде всего блокировка черного списка сайтов и ненужных в работе ресурсов, а также четкий учет трафика. Использование программного средства позволило решить эту задачу — у каждого пользователя в сети компании на основе его функциональных обязанностей были настроены свои ограничения работы в онлайне.
Перед столичной дирекцией железнодорожных вокзалов стояла схожая задача — ограничить работы в интернете. На 300 сотрудников было выделено всего в 100 Мбит/сек, и важно было равномерно распределить трафик между работниками и сбалансировать нагрузку на канал. Ограничение доступа на посторонние сайты способствовало снятию остроты основной проблемы — раньше сотрудники расходовали трафик на развлекательные сайты и скачивание постороннего контента.
Актуален вопрос безопасности и в госструктурах, и учреждениях образования и здравоохранения. Здесь он, помимо прочего, регулируется еще и множеством законодательных актов, которые необходимо соблюдать. Например, в школах требуется ограждать детей от запрещенных Роскомнадзором ресурсов, и помочь в этом может именно гибкая контентная фильтрация, позволяющая разделить доступ для сотрудников учебного заведения и учеников.
Развитие телемедицины также диктует руководителям медицинских учреждений необходимость усиленной защиты персональных данных пациентов, а наличие развернутой филиальной сети определяет задачу централизованного контроля и установки общих правил сетевого доступа и выхода в интернет для сотрудников всех филиалов.
Один из показательных примеров — прокуратуре одного российского мегаполиса потребовалось технологическое решение, которое помогло бы разграничить права доступа сотрудников к интернету, в том числе разграничить поступающий трафик от провайдера до пользователей. Сотрудники прокуратуры должны были иметь строго лимитированный доступ. Также в целях сетевой безопасности необходимо было ограничить прохождение трафика по определенным сетевым портам, что и было сделано.