Renunțarea la angajați este întotdeauna dureroasă, dar faptul că trebuie facut acest lucru atunci când sunt complet îndepărtați adaugă o nouă problema: Ce ar trebui să facă angajatorii pentru a proteja datele companiei de pe laptopuri și alte dispozitive atunci când concediaza lucrătorii la distanță?
Brian Schrader, președinte și CEO al BIA, o firmă de investigare electronică și criminalistică digitală din New York, a vorbit cu SHRM Online despre acest subiect dificil.
SHRM Online: Care sunt pașii pe care trebuie să-i întreprindă angajatorii pentru a proteja datele companiei atunci când concediaza angajați la distanță?
Schrader: Primul pas începe înainte ca angajatul să plece. Compania ar trebui să aibă în aplicare politici clare care conturează datele pe care organizația le deține și modalitățile în care protejează și securizează datele respective. Pentru a vă asigura că angajații sunt conștienți de politicile respective și de rolul lor în protejarea datelor companiei în general, ar trebui să faceți ca fiecare angajat să semneze un acord, de preferință atunci când este angajat, care stabilește practicile și politicile de securitate a datelor ale organizației, precum și ceea ce așteaptă compania. ale angajaților înșiși. Acordul ar trebui să clarifice faptul că datele companiei nu pot fi luate sau partajate în timpul angajării sau la plecarea unui angajat și, de asemenea, că compania are dreptul să monitorizeze și să șteargă orice dispozitiv personal al datelor companiei.
Chiar dacă aceste politici nu au fost stabilite anterior, puteți solicita angajatului să semneze un contract la plecare, care să precizeze că datele nu au fost preluate de la companie și toate dispozitivele deținute de companie au fost returnate ca parte a procesului angajat care iese. Utilizați un chestionar sau un interviu de ieșire pentru a întreba angajatul unde ar putea să fi stocat datele companiei pentru a vă asigura că toate acestea au fost identificate și remediate. Puteți utiliza același proces pentru a aduna toate parolele pe care angajatul le-a folosit pentru fișierele și sistemele criptate, precum și orice servicii terțe care ar fi putut fi utilizate în scopuri comerciale, chiar dacă nu sunt aprobate oficial, unde datele companiei pot avea rezidență.
La sau înainte de ora de ieșire, asigurați-vă că dezactivați conturile angajaților și accesați toate sistemele, echipamentele și resursele terțe administrate de companie, indiferent dacă lucrătorul lucrează de acasă sau la birou. Angajatul nu ar trebui să mai poată vizualiza sau lucra cu fișierele companiei, e-mail, software sau platforme online. Accesul fizic ar trebui, de asemenea, eliminat, ceea ce înseamnă că angajatul ar trebui să returneze orice chei, foburi, pachete de parcare, etc. Orice echipament al companiei, inclusiv laptopuri, hard disk-uri externe și unități thumb, ar trebui să fie returnat la birou în ultima zi sau expediate înapoi. În plus, toate datele companiei care pot apărea pe dispozitivele personale ale angajatului, cum ar fi un smartphone sau o tabletă, ar trebui șterse. Majoritatea sistemelor de gestionare a dispozitivelor mobile pot viza date pentru a se asigura că numai datele companiei, nu și informațiile personale.
SHRM Online: Care este cea mai bună practică privind returnarea hardware-ului, cum ar fi laptopurile și smartphone-urile și tabletele companiei în această perioadă de blocare?
Schrader: Trimiteți angajatului o cutie de transport plat, materiale de ambalare și o etichetă de transport preplătit. Acest lucru le face mai ușor să trimită imediat lucrurile înapoi. Spune-i că data navei ar trebui să fie ultima zi a persoanei sau orice dată este stabilită de companie.
După ce dispozitivele sunt returnate, țineți-le timp de cel puțin 90 de zile înainte de a le elibera unui alt utilizator. Acest lucru vă oferă timp pentru a stabili dacă trebuie să vă imaginați în mod criminal datele pentru orice utilizare legală sau investigativă ulterior. De obicei, orice furt de angajat sau o altă problemă se va arăta în câteva luni. În plus, perioada de reținere vă ajută să știți că nu ați pierdut date necesare din cauza ștergerii premature a dispozitivului companiei. În cazul angajaților extrem de sensibili, cum ar fi directorii superiori, vânzătorii cu performanțe și altele asemenea, este posibil să doriți să vă imaginați dispozitivele înainte de a le reedita după această perioadă de 90 de zile, indiferent dacă aveți sau nu o problemă cunoscută, la fel cum o precauție suplimentară.
SHRM Online: Care sunt considerentele legale privind datele angajaților de pe dispozitivele deținute de companie?
Schrader: Deși Uniunea Europeană și alte jurisdicții au legile de confidențialitate privind datele cu caracter personal semnificativ mai restrictive și punitive , în Statele Unite, în general, angajatul nu are dreptul de confidențialitate la datele pe care le-au pus pe un sistem deținut de companie. Acestea fiind spuse, cea mai bună practică ar fi instruirea angajatului pentru a elimina orice informații personale de pe dispozitivele deținute de companie înainte de a pleca. De asemenea, ar trebui să existe modificări în politicile de date ale companiei și în acordurile cu salariații care să menționeze faptul că orice date personale rămase la companie la plecare devin proprietatea companiei și pot fi distruse la discreția companiei.
Dacă compania este implicată vreodată într-o problemă juridică, este posibil ca datele angajatului să fie colectate ca parte a descoperirii. Deși nu este obligatoriu, pentru a fi mai atent, acordul angajaților ar putea include o declarație care menționează că compania nu este responsabilă pentru consecințele pe care datele personale ale angajatului le apar pe dispozitivele deținute de companie. În acest fel, dacă este vreodată amestecat într-un astfel de efort de descoperire, compania nu poate fi făcută responsabilă pentru nici o divulgare sau folosire greșită a acestor date.
SHRM Online: Ce fel de activitate ar justifica un audit medico-legal?
Schrader: Un audit criminal se garantează dacă există suspiciuni de furt de date [sau există] cereri de hărțuire, conduită penală sau alte fapte sau comportamente inadecvate suspectate sau cunoscute de către angajat înainte de plecare. Cu alte cuvinte, dacă există vreun motiv pentru a investiga acțiunile unui angajat dat – spre deosebire de culegerea de date doar pentru o descoperire legală generală sau pentru scopuri de reglementare, de exemplu – atunci poate fi adecvată o anchetă medico-legală.
În acel moment, vechile dispozitive ale angajatului și orice alte resurse digitale ar trebui păstrate peste perioada inițială de 90 de zile. Este esențial ca dispozitivele și datele să nu fie accesate de nimeni fără o instruire criminalistică pentru computer, deoarece chiar și profesioniștii IT bine intenționați ar putea modifica sau distruge informațiile critice. În timpul unui audit criminal, datele sunt colectate în mod criminal, ceea ce înseamnă, în general, că sunt imaginate sau colectate în alt mod într-un mod care menține fișierele de metadate, jurnal și sistem originale, spații nealocate și libere, unde pot rămâne încă elemente șterse și alte informații critice.
SHRM Online: Ce poate descoperi un audit criminalistic digital?
Schrader: O investigație criminalistică digitală implică analizarea tuturor datelor colectate pentru a determina dacă există indicii de infracțiune. Experții criminalisti analizează fișiere, inclusiv documente șterse și informații despre sistem, precum și jurnalele de sistem și alte informații. Acestea vor semnala un comportament rău posibil, inclusiv:
- Dacă fișierele confidențiale sau cantități mari de date au fost transferate către dispozitive externe non-companie, cum ar fi unitățile USB sau depozitele online precum Box sau Google Drive.
- Dacă utilizarea și transferurile de date au crescut în câteva zile înainte ca angajatul să plece sau să aibă loc în afara orelor de lucru obișnuite.
- Dacă software-ul a fost recent adăugat sau eliminat de pe un dispozitiv deținut de companie, mai ales dacă nu par să existe multe fișiere conexe pentru sistemul respectiv.
- Dacă a fost conectat un e-mail personal, un depozit online sau un cont similar de pe oricare dintre dispozitivele angajaților.
- În cazul în care utilizatorul a accesat surse de date ale companiei care nu se aflau în fișa postului și / sau în contradicție cu politica companiei.
- Dovada oricărei ștergere a datelor de pe dispozitive înainte de ieșire.
Pe măsură ce ancheta va continua, anchetatorul criminalist va încerca, de asemenea, să recupereze toate datele șterse, pierdute sau compromise, să verifice sistemele și fișierele de jurnal ale utilizatorilor pentru activități neobișnuite și multe altele. Rezultatele pot conduce apoi la creanțe legale și alte ramificări.
Șaptezeci și două la sută dintre angajați consideră că datele pe care le creează și le gestionează pe locul de muncă le aparțin. Am constatat că, în cazul în care există dovezi privind furtul de date ale angajaților , cel mai bun curs de acțiune este să îl abordăm direct cu angajatul. De obicei, atunci când angajatul va fi aflat, va returna sau șterge fișierele furate, cel mai adesea fără să-și dea seama că au încălcat o politică a companiei. Dacă totuși acest lucru nu funcționează, aceste procese asigură că firma dvs. va fi pregătită pentru litigii.
Roy Maurer acoperă achizițiile de talente, imigrația, tehnologia resurselor umane și piețele forței de muncă pentru SHRM Online . Înainte de a se alătura SHRM în 2008, el a fost redactor și reporter care acoperă de stat și de guvern oraș din Indiana, arta si cultura in Los Angeles si teatru din Washington, DC A lua legatura cu el la roy.maurer@shrm.org și să- l urmeze pe Twitter @SHRMRoy .
© 2020 SHRM. Acest articol este reeditat de pe https://www.shrm.org/ cu permisiunea SHRM. Toate drepturile rezervate.
Articol preluat de pe: ASISONLINE.
Securitate in Romania by VerifiES Security
Blogul nr 1 din industria de Securitate: Articole, noutati si tendinte din industria de Securitate, Solutii de Securitate, Locuri de munca din industria de Securitate, Resurse utile, topuri de Securitate, legislatie de Securitate, Club de Securitate, Promovare online pentru firme de securitate
VerifiES Security: Servicii pentru industria de securitate
VerifiES Efficiency– Eficienta in Securitate: Proiectare si Receptie sisteme de Securitate, Selectie, Evaluare si Audit furnizori de Securitate, Consultanta de securitate, Audit securitate, Solutii de securitate – optimizare buget de securitate, Externalizare management servicii de securitate, Analize, statistici de securitate, Instrumente utile pentru industria de securitate,
VerifiES Employees – Angajati in Securitate: Servicii de recrutare si training pentru industria de Securitate
VerifiES Evolution – Evolutie in Securitate: Servicii de consultanta in Securitate: dezvoltare companii de securitate, strategie, management, marketing, vanzari, consultanta financiara.
