Наши новости

6 ноября 2018
6 СПОСОБОВ МОТИВИРОВАТЬ СОТРУДНИКА БЕЗ ДЕНЕГ
"Только два стимула заставляют работать людей: жажда заработной платы и боязнь ее потерять", — сказал когда-то легендарный "отец" автомобилей Ford Генри Форд. И тогда он, возможно, был абсолютно прав, но времена меняются, и сегодня я возьму на себя смелость с ним поспорить. В современном мире физический труд отошел на второй план и в большинстве компаний трудятся бойцы интеллектуального фронта. Деньги и страх больше не мотивируют этих людей. Ведь дефицита предложений на рынке вакансий давно нет, а финансовая сторона стала чем-то самим собой разумеющимся. К тому же любая финансовая мотивация может заставить сотрудника безукоризненно выполнять задачи, но вряд ли поможет культивировать в нем креатив и желание проявлять инициативу. Потому сегодня перед кадровиками стоит непростая задача — мотивировать персонал на великие свершения, не прибегая к банальным рычагам давления. Исходя из своего опыта, делюсь с вами шестью самыми эффективными, на мой взгляд, подходами мотивации сотрудников. №1 АКТИВНОСТИ И ЛИЧНОСТНЫЙ РОСТ Нет, речь сейчас пойдет вовсе не о корпоративных гуляниях. Из моей практики шумные посиделки обычно производят краткосрочный эффект, впечатлений и запала хватает ненадолго. То есть без корпоративов сегодня дело не обходится, конечно, но вы должны дать своему сотруднику что-то большее, что он захочет вернуть компании вдвойне. Мой рецепт — предложить выбрать любые мастер-классы или курсы, которые работник давно хотел пройти. Одно единственное условие — чтобы полученные знания прямо или косвенно можно было применить в работе. Например, мои подопечные юристы захотели интенсивный тренинг по продажам. И результат не заставил себя долго ждать: плюс один клиент сразу по окончанию первой лекции. Другой пример: если ваш копирайтер хочет освоить искусство обработки фото — смело отправляйте его на эти курсы. Впоследствии он сможет не только писать вам хорошие тексты, но и самостоятельно подбирать и обрабатывать визуальный контент к ним. №2 ПОДДЕРЖКА СО СТОРОНЫ НЕПОСРЕДСТВЕННОГО РУКОВОДИТЕЛЯ Какой бы гонорар человек не получал, насколько бы интересным не было содержание его работы, если отношения с руководством не выстроены, человек вскоре покинет компанию. Начальник, который не дает качественной обратной связи, не способствует профессиональному росту сотрудника, ведет беседы исключительно в демотивирующем тоне, является одной из главных причин, по которой бизнес теряет ценных специалистов и тратит затем внушительные ресурсы на привлечение новых. Неопытные руководители полагают, что путь к мотивации сотрудников лежит через угрозы вроде "если не закроешь проект вовремя, лишу тебя премии". По их мнению, это жестокий, но быстрый и эффективный способ повысить вовлеченность. Обычно к таким приемам прибегают руководители, которые не уверены в себе или боятся, что компанию ждет упадок. Поэтому они вымещают негатив на подчиненных. Угрозы уволить, лишить премии или сократить зарплату лишь передают этот страх сотрудникам, что вряд ли положительно скажется на эффективности. Станьте образцом и примером для сотрудников, мотивируйте их к росту, возвращайтесь с качественной и полезной для сотрудников обратной связью, будьте корректны и учтивы, мыслите стратегически, находите к каждому индивидуальный подход. Только тогда ваши подчиненные пойдут за вами, а продуктивность их работы, как командной, так и личной, увеличится в разы. №3 ГЛУБОКАЯ КОММУНИКАЦИЯ Тут я вам Америку не открою — максимально продуктивная работа на результат может быть только при условии комфортной обстановки внутри коллектива. Сотрудники должны не только быть лояльны друг к другу, но и быть по-настоящему дружны. И тут задача HR-экспертов заключается в том, чтобы познакомить людей друг с другом поближе. Чтобы коллеги были не только эфемерными членами команды, но также отдельными личностями с эмоциональной привязкой. Для этого нужно проводить как можно больше совместных неформальных встреч. А еще лучше — сделать их традицией. Например, пятничный боулинг или игры в мафию по четвергам. Еще одна маленькая хитрость — сделать в офисе побольше совместных пространств. Это должны быть места, где сотрудники пересекаются ненамеренно и могут пообщаться на отвлеченные темы. Например, комфортные диваны в комнате для отдыха или стойка с кофемашиной в укромном месте. №4 АЗАРТ И ДУХ СОРЕВНОВАНИЯ Еще один прием для нефинансовой мотивации сотрудников — учреждение легких рабочих конкурсов. Хороший кейс для отдела продаж: менеджер, который первым закроет месяц, получит, к примеру, прогулку на яхте с семьей по Днепру. В зависимости от вида бизнеса, возраста и семейного положения сотрудников условия и призы могут меняться. Но! Очень важно с этим не переборщить, ведь от рабочего азарта до жесткой конкуренции — один шаг. Потому поощрение должно быть не слишком "заоблачным", чтобы проигравшие не расстраивались. При этом оно должно быть достаточно приятным бонусом, чтобы ради него стоило постараться. Еще один нюанс — конкурсы и подходы нужно постоянно менять, чтобы не превращать их в рутинную работу и у сотрудников не пропадал запал. №5 ЧЕЛОВЕЧЕСКИЙ ФАКТОР Этот блок рекомендаций придется кстати руководителям. И первая из них — используйте систему неожиданных поощрений. Это вознаграждение без каких-либо условий и обещаний. Ведь, согласитесь, приятно, когда за хоть и качественную, но рутинную работу ты получаешь неожиданный бонус? Это повышает мотивацию работать еще лучше и оправдать доверие, а также лояльность к компании в целом. Тут тоже есть три условия — сотрудники не должны повторяться, их работа должна быть выполнена на высоком уровне, а сами поощрения не должны происходить очень часто. Следующий совет руководителю — уделяйте подчиненным достаточно внимания. В крайнем случае, используйте правило "30 секунд" из психологии — при встрече уделите это время коллеге целиком. Похвалите его за что-то, подбодрите или просто сделайте комплимент. Это тоже мотивирует его на лояльное отношение к начальству и даст понимание, что его ценят и уважают. №6 ИГРОВАЯ ФОРМА ТРУДА Да, да, да порой это как с детьми! Сотрудников нужно заинтересовать и держать их внимание во что бы то ни стало. Для этого необходимо создать на рабочем месте такие условия, чтобы человеку хотелось там находиться, а не сбежать поскорее домой. Мировые корпорации давно уже это смекнули и сделали свои штаб-квартиры похожими на парк развлечений: например, все офисы Google напичканы игровыми автоматами, приставками, кабинами для сна и прочим. Там можно во время рабочего дня отвлечься на занятие йогой, а на работу приходить в чем вздумается. Подобный опыт перенимали и другие отраслевые гиганты: были кейсы, где на работу разрешалось приходить в пижамах или даже гулять по офису босиком. У всех этих приемов одна благая цель: чтобы человек не относился к работе как к неизбежной тягости, а чувствовал себя непринужденно и "как дома". Тогда продуктивность его труда возрастает в несколько десятков раз. От себя добавлю: все это хорошо, но с маленькой оговоркой. Такие системы мотивации хороши, но только не для сотрудников, которым приходится ходить на деловые встречи и посещать по долгу службы официальные мероприятия. В таком случае, исходя из своего опыта, могу посоветовать обойтись хотя бы минимальными мерами: вкусная и разнообразная еда, комната отдыха в офисе, несколько настольных игр, например, и уютные рабочие места. Подытожить все вышесказанное хотелось бы цитатой еще одного известного автомобильного магната и основателя компании Honda Соичиро Хонда: "Люди работают напряженнее и более инновационно, если их не принуждают". И вот с ним я, пожалуй, соглашусь, потому что активная, эффективная и креативная команда — это львиная доля успеха любого проекта. Шантаж деньгами и увольнением, как показала практика, такую команду выстроить совсем не помогает. Потому золотой ресурс любого бизнеса — это лояльные, свободные и высокомотивированные сотрудники. Источник: ТСН.Блоги
Подробнее
29 октября 2018
С приветом из Европы: готовы ли наши бизнесмены к штрафам по GDPR
GDPR — это, наверное, самая громкая законодательная мера в области защиты данных человека в новом тысячелетии. 25 мая соответствующий регламент вступил в силу в странах ЕС и ЕЭЗ. В Украине были слышны лишь отголоски этого события. Например, когда основатель Facebook Марк Цукерберг “отчитывался” перед европарламентариями за проколы по сохранению информации о своих пользователях, его тоже спрашивали про GDPR. А гуру соцтеха недоумевал и убеждал, что все будет окей. Поэтому GDPR (EU General Data Protection Regulation) воспринималась нашими согражданами как некая правовая заморская диковинка, за которой можно понаблюдать, уютно устроившись у себя в кабинете в кресле. Как будто ты смотришь в аквариум, где маленькие, но юркие рыбки накинулись на живой корм. Но, как оказалось, своеобразное местное затишье может выйти боком. Призрак или реальная опасность? В первые месяцы большинство европейских структур по защите данных дали лицам, которые обрабатывают и хранят чужие данные, время на подготовку. Жара началась лишь осенью, когда появились новости о принятии решений по первым штрафам. Как заявил недавно Наблюдатель в сфере защиты данных в Европе Джованни Буттарелли, он ожидает, что о первых штрафах (или других дисциплинарных санкциях) будет слышно лишь к концу года.  Правда, уже есть и первые ласточки. Например, европейцы уже подсчитали, что могут оштрафовать Facebook на $1,6 млрд за недавнюю утечку данных 50 млн аккаунтов, 10% из которых могут быть из ЕС. Так вот, пока европейские компании готовятся соответствовать новой политике по защите данных или придумывают, как уберечь себя от штрафов, в украинском бизнесе в этой сфере мало что происходит. А зачем? Бытует мнение, что только IT-компании, работающие на европейских рынках, сейчас должны суетиться, так как имеют дело с большим количеством пользовательских данных и иностранными заказами. И IT-шники действительно суетятся. Но практически никто не осознает, что GDPR коснется огромного количества украинских бизнесов, которые, казалось бы, вообще никакого отношения к европейцам не имеют. Кого касается? Елена Колченогова, специалист в сфере защиты персональных данных и юрист консалтинговой компании Nota Group, описывает бизнесы, которых могут затронуть санкции, очень лаконично: “Нормы распространяются в Украине на компании, которые предлагают товары и услуги субъектам данных в Европе, неважно на платной или бесплатной основе”. Кто такие субъекты данных? Это физические лица, которые там проживают: резиденты и граждане ЕС. “В зоне риска оказываются достаточно большое количество бизнесов, которые касаются транспорта, медицины, страхования, туризма, IT, банковских сервисов, торговли и прочие”, - подчеркивает Колченогова. Также новые нормы распространяются на компании, которые осуществляют мониторинг данных этих людей в интернете, т.е. отслеживание в сети через онлайн-идентификаторы (cookies-файлы, IP-адрес пользователя - что, кстати, тоже относится к персональным данным в соответствии с регламентом). Скажем, европеец зашел на страничку интернет-магазина, где есть определенный перечень услуг. Информация о том, что он посещал этот сайт у онлайн-площадки сохраняется. Следовательно, у процессора (оператора) этой онлайн-площадки возникают требования по соблюдению обработки данных, предусмотренные регламентом. Понятное дело, что таким сайтом, собирающим информацию, может быть не только интернет-магазин, но и, к примеру, местный украинский онлайн-сервис по продаже билетов Укрзалізниці, которым решил воспользоваться гражданин какой-нибудь западной страны. Помимо данных о посещении у государственного предприятия окажутся в распоряжении его дополнительные личные данные - фамилия и имя. Если это будет авиабилет, купленный у украинской авиакомпании онлайн, то к этим личным данным может еще добавиться номер паспорта, возможно, предпочтения в еде на борту, родственниках, номерах карт и так далее. Финансовый процессинг операции по покупке этого же билета будет осуществлять украинский банк, который тоже обязан будет обрабатывать и хранить персональные данные об этой транзакции в соответствии с требованиями регламента. Иными словами, в сети может сохраняться довольно большое количество предпочтений и особенностей поведения пользователей. “SEO-специалисты и маркетологи отслеживают, с какого сайта клиент пришел, трассу его поведения на своем сайте и на какой ресурс он отправился дальше. Это помогает создавать портрет пользователя - ценные данные для любого маркетолога”, - рассказывает R&D директор компании ИТ-Интегратор Владимир Кург. Поэтому интернет-маркетологам сейчас есть над чем подумать, чтобы не потерять свой любимый инструмент. Также регламент GDPR распространяется на те компании, которые имеют представительства в странах ЕС. Это может быть и отдельное юридическое лицо, и филиал, и просто департамент. Или даже просто физическое лицо, которое является агентом, предоставляющим услуги. Какая ответственность? Штрафы в размере 2% от общего глобального годового оборота или 10 млн евро(в зависимости от того, что больше) за необеспечение защиты, нарушение сроков уведомления/неуведомление наблюдательного органа или субъектов данных, не назначение DPO в случаях, требующих обязательного назначения, нарушение обработки данных детей как субъекта данных. Штрафы в размере 4% от годового оборота или 20 млн евро (в зависимости от того, что больше) в случае нарушения основных принципов обработки данных, прав субъектов, передачи данных в третьи страны. Такую санкцию можно получить, например, за допущение утечки данных или необеспечение защиты. Кстати, Facebook европейцы сейчас хотят подвести именно под эту норму. Как подчеркивает Елена Колченогова, в Европе законодательство в сфере защиты персональных данных не ново - ему уже более десятка лет. В Украине у нас тоже есть профильное законодательство. Но из-за маленьких штрафов никто сейчас не обращает внимание на обработку персональных данных и тем более их защиту. У нас это максимум тысячи гривен. Как европейская санкция может быть применима к Украине? Сначала судебное разбирательство проходит на территории ЕС. “В Украине еще не было такой практики, и поэтому мы не можем точно описать, как это будет работать”, - говорит Елена Колченогова. Но, скорее всего, в нашей стране разбирательство будет “приземляться” с привлечением Уполномоченного ВР Украины по правам человека, поскольку данное должностное лицо осуществляет функции контроля по защите прав человека, в том числе персональных данных. Если в европейских судах уже будет вынесено решение, то через стандартную процедуру признания решения международных судов, утвержденную процессуальным законодательством Украины и двусторонними международными договорами, она будет осуществляться у нас. Что делать, если есть такие риски? С чего начать, чтобы обезопасить себя от претензий со стороны европейских потребителей? Сам регламент GDPR определяет организационную и техническую составляющую. Как раз к организационной части относится больше юридических аспектов. Шаг первый. Для начала нужно определить, подпадает ли бизнес под GDPR или нет. Для этого в компании резонно провести специальный аудит. Шаг второй. Если ответ утвердительный, то предстоит поработать как с бумажками, так и внедрить через технические средства защиты требования GDPR.Сначала нужно назначить в компании ответственного за соблюдение его норм или нанять такого человека на аутсорс. Это так называемый Data Protection Officer (DPO). Он будет обучать персонал, давать рекомендации и контролировать соблюдение требований регламента в компании. “Регламент не устанавливает четкие требования к квалификации DPO. Подчеркивается, что такой специалист должен иметь опыт работы и соответствующие знания. Как правило, такой специалист (Data Protection Officer) обязателен, если бизнес масштабно и регулярно обрабатывает персональные данные. DPO может быть как в штате, так и на аутсорсе. Однако, чем больше опыта работы, тем более квалифицированную помощь специалист способен оказать. В связи с чем функции DPO может выполнять правовой и технический консультант на аутсорсинге”, - подчеркивает юрист Nota Group. Шаг третий. Внедряются и соблюдаются основные принципы обработки данных (принцип законности, точности, прозрачности, минимизация данных, хранение данных не более срока, необходимого для обработки данных). Рекомендуется вести реестр (записи) обработки данных. Это тоже ключевой критерий, когда в компании определяется, какие и чьи данные она обрабатывает, кому их передает. Если в компании более 250 сотрудников, такой реестр является обязательным. “Если субъект - гражданин или резидент стран ЕС - обратился к вам относительно данных, которые вы обрабатываете, вам будет проще и быстрее предоставить такую информацию при ведении подобного реестра данных”, - подчеркивает юрист. Шаг четвертый. Далее необходимо назначить представителя в европейских странах. Если компания в Украине осуществляет услуги или предоставляет товары европейцам, но у нее нет представительства в Европе (например, это украинский интернет-магазин), она должна назначить такого представителя. Это может быть как физическое, так и юридическое лицо. Например, юрфирма, которая имеет контактное лицо в ЕС. Шаг пятый. Для компании в целом разрабатываются специальные политики конфиденциальности, условия использования данных, договорные положения с контрагентами, уведомления для субъектов данных об обработке их данных, корпоративные правила. По своей сути корпоративные правила являются пошаговой инструкцией по работе с данными. В таких документах должно быть также четко прописано, какими правами владеют граждане и резиденты Европы. Среди них право на доступ к своим персональным данным, право запретить обработку персональных данных, приостановить, удалить их. Особенностью обязывающих корпоративных правил является то, что они удобны для холдинговых компаний, если структура состоит из нескольких юрлиц под зонтиком одного акционера. При этом один может находиться в Польше, другой в Украине, третий в Испании, но все соблюдают одни и те же правила. Кодексы и правила можно утверждать самостоятельно. Но чтобы подтвердить, что они соответствуют регламенту, нужно пройти процедуру согласования в наблюдательных европейских органах. Это длительный процесс. Крупные мировые компании уже его проходили. И на сайте ЕС даже есть перечень таких компаний, чьи корпоративные правила утверждены европейским наблюдательным советом. Шаг шестой. Проведение IТ-аудита, устранение брешей в системе информационной безопасности, разработка правил в этой сфере. Во сколько обойдутся услуги компании, которая будет сопровождать бизнес по GDPR? Как объясняет юрист Nota Group Елена Колченогова, бизнес-процессы у каждого предприятия свои. Поэтому сложно сказать, какой объем данных обрабатывает компания. Для этого-то сначала и требуется аудит. Нужно быть готовым потратить где-то $100 в час на группу юристов, которые будут внедрять GDPR в ваш бизнес. Если компания занимается обработкой данных масштабно и регулярно, то цифры могут быть другими. Владимир Кург добавляет, что параллельно запрашивается информация об обрабатываемых данных в юридическом отделе и у IT-шников (либо службе IT-безопасности). К последним вопрос следующий: какой у нас объем персональных данных, подпадающих под данную регуляцию? А именно: сколько в системе записей о физлицах из ЕС, какой объем информации связан с этими людьми? Дальше уже принимается решение. “Смотрим, сколько записей. Сравниваем максимальную санкцию со стоимостью услуг, которые может предоставить юрист”, - уточняет Кург. Цель - не потратить больше. Как реализуется техническая часть? Помимо бумажной юридической части, при подготовке к GDPR невозможно обойтись без ряда процедур в IT-системах. Здесь тоже нужно навести марафет. Главное - знать, с чего начать. Как отмечает Владимир Кург, у данных в любом бизнесе есть три состояния. 1. Data in rest - хранимые, неактивные данные. Это бэкапы, в которых хранятся все данные. Они могут находиться на локальной системе или в облаке. Дальше вопросы. Могут ли утечь такие бэкапы из облака? Прецеденты бывают. Что в этом случае делать? Самое простое - шифрование при создании бэкапов. Бэкапы - приоритет №1, потому что в них содержится весь набор корпоративных данных, включая персональные. И цена одного единственного инцидента максимальна. 2. Data in use - данные в обработке. Должно быть понимание, какой доступ к данным есть у сотрудников и клиентов. Нужно проаудировать систему на предмет того, какой объем данных может получить сотрудник, если предположить, что он недобросовестный. На уровне администратора баз данных в компании можно реализовать принцип “наименьшее необходимое знание” или “наименьший необходимый доступ”, объясняет Владимир Кург. Типичный пример: в большинстве систем управления базами данных можно включить маскировку полей для определенной пользовательской группы. “Людям из колл-центра, которые принимают звонки, надо знать имя обращающегося, откуда он звонит, какой продукт он купил или каким уже владеет. Поэтому достаточно замаскировать поля фамилии, даты рождения, точного адреса, номеров кредиток и т.д. И для данной роли пользователя обеспечивается безопасность персональных данных”, - рассказывает R&D директор ИТ-Интегратор. Еще одни “страшные” люди для data in use - аналитики и маркетологи. Они хотят иметь массивные отчеты, полный набор “исторических” данных. Чтобы снизить риски работы с персональной информацией о клиентах, есть два варианта. Первый - маскировка, как в примере выше. Второй - псевдоанонимизация, когда конкретные имена и адреса замещаются псевдонимами. Увидеть связь псевдонима с реальными данными могут только уполномоченные лица. Все это должно расписываться в протоколах и процедурах обработки. 3. Data in motion – это данные в процессе передачи. Здесь есть угроза прослушивания трафика. Риски здесь значительно меньше, так как технически это сделать труднее: в первую очередь – идентифицировать нужный поток. Но если, к примеру, резервное копирование идет в облако в незашифрованном виде, то на уровне провайдера можно скопировать большую часть сессии. Или, приложив дополнительные усилия, даже всю. То же касается и “прослушки” web-сессий пользователя по http. Но не по https, поскольку в этом случае сессия шифруется. Резюме Смысл не только в том, чтобы обезопасить себя документарно. Нужно еще это внедрить и соблюдать. “Фаза №1 и самая главная - просчитайте риски. Если они небольшие, не заморачивайтесь. Стоимость защиты данных должна сопоставляться с рисками нарушения их защиты”, - подчеркивает Владимир Кург. Идеальная модель для многих бизнесов после проведения аудита и осознания, что они в группе риска, - отдать GDPR на аутсорсинг. Это сродни тому, когда человек покупает страховку для поездки в Европу. Как известно, ее можно и не покупать. Но лучше подложить соломы на всякий случай. Ведь за медицинские услуги в западных странах потом не рассчитаешься, точно так же как и не отвертишься от штрафа в 2-4% от оборота, когда местные суды уже “приземлят” европейское решение по какой-нибудь незначительной, по нашим меркам, кляузе европейца. Источник: ЛИГА 
Подробнее
2 октября 2018
КОРПОРАТИВНАЯ БЕЗОПАСНОСТЬ: ИНСТРУКЦИЯ ПО ВНЕДРЕНИЮ В БИЗНЕС
Что для вас корпоративная безопасность? Это охранники на входе? Система видеонаблюдения? Штатный юрист или генерал-майор, охраняющий ваш покой? Я, как специалист в данной сфере, могу сказать, что все это – давно устаревшие инструменты, которые уже не могут обеспечить ваш спокойный сон и уверенность в завтрашнем дне. Сегодня построение корпоративной безопасности на предприятии – процесс сложный, длительный, структурный и комплексный. И в первую очередь — это прогнозирование и идентификация проблем. Важность в том, чтобы заранее понимать, что надвигается буря, точно знать куда может ударить молния и не допустить возникновение кризиса. Правильно, чтобы функцию корпоративной безопасности внедряла группа профессионалов.  В нее входят и финансисты, и юристы, и работники служб безопасности. Процесс этот начинается с аудита – фундамента, а потом по кирпичику выстраивается не один день. Описать в этом тексте каждый шаг – невозможно, но я постараюсь рассказать про самые доступные инструменты внедрения корпоративной безопасности, которыми можно воспользоваться уже сегодня. Это не означает, что теперь ваш бизнес в безопасности, но лишними они точно не будут! ВИДЫ УГРОЗ. Все угрозы можно поделить на внешние и внутренние. Как бы не было печально, но часто самое большое зло извне для украинского бизнеса - это государство в лице правоохранителей, фискалов и контролеров. Еще одна не менее серьезная внешняя угроза - криминальные структуры, конкуренты и «промышленные шпионы». Если вы считаете, что «братки» из 90-х канули в лету, то, к сожалению, это не так. Вот вам свежий кейс: к нам обратился собственник бизнеса, к которому пришла группа лиц с требованием переоформить одну из своих структур на их аффилированную компанию. Вы думаете, что такие сценки остались только в фильмах, а это – все еще наша с вами реальность. Единственная разница – малиновые пиджаки заменили дорогими костюмами. Пример еще одной внешней угрозы - уволенные или недовольные сотрудники. Надо всегда помнить, что работник уходит с определенным объёмом информации. А если к этому добавить гнев и жажду мести – ситуация представляет собой серьезный источник угроз. Также риски существуют всегда, когда есть открытые обязательства перед кредиторами или поставщиками. Внутренними угрозами является все, что происходит внутри бизнеса. Это осознанные или неосознанные действия сотрудников, которые могут нанести ущерб, повлечь за собой утечку конфиденциальной информации или подорвать деловую репутацию. При построении функции корпоративной безопасности на предприятии важно охватить три направления: информационная безопасность, юридическая и физическая. Только так можно полностью обезопасить себя и предприятие от возможных угроз. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. Она подразумевает защиту конфиденциальной информации и коммерческой тайны. И первое, что мы делаем в этом блоке – определяем, какая именно информация является конфиденциальной для нашего бизнеса. Каждый сотрудник должен иметь доступ только к тем данным, которые необходимы ему для выполнения служебных обязанностей.  Также важен режим их хранения. Как вы обычно храните информацию на бумажных носителях? На столе? В тумбочке? В сейфе? Моя рекомендация - документы, особенно правоустанавливающие на материальные активы, должны быть на сбережении у адвокатов. Это блокирует несанкционированное проникновение при заходе контролеров-фискалов и защищает от злоупотреблений сотрудников. Также каждый сотрудник при приеме на работу должен подписывать обязательство о неразглашении конфиденциальной информации. По закону за нарушение такого договора полагается уголовное наказание, плюс каждый работодатель может определить денежный штраф за утечку. Не лишним будет прописать и правила рабочего места для сотрудников. Да,  для многих это банальные вещи. Я знаю случай, когда при появлении «маски-шоу» в помещение финслужбы, у всех сотрудников на мониторах оказались приклеены листочки с паролем и логином. Второе правило – правило чистого стола. Это касается как электронных носителей, так и бумажных. По-хорошему, я рекомендую исключить возможность использования «флешек» рядовыми сотрудниками, только с согласия руководителя либо сисадмина. Обратить внимание нужно и на порядок использования электронной корпоративной почты. Первое правило, которое должны знать сотрудники – корпоративная почта является собственностью компании. У нас в практике был пример: сотрудник, находясь на рабочем месте, высказался негативно на форуме об одном высокопоставленном чиновнике. И через месяц в компанию поступил иск о защите чести и достоинства деловой репутации с компенсацией в несколько миллионов гривен. Пренебрегать нельзя и антивирусной защитой. Это касается по большей части сисадминов, однако рядовые сотрудники тоже должны знать, как реагировать при первых признаках заражения системы. ЮРИДИЧЕСКАЯ БЕЗОПАСНОСТЬ. Помимо вышеупомянутого режима хранения документов, важно вести паспорт активов. Если на предприятии их много, то вероятнее всего постоянно происходят какие-то обновления статусов. Мой совет – актуализацией данных должен заниматься отдельный человек. В юридическую безопасность входит и проверка людей при приеме на работу. А это крайне важный аспект в построении функции корпоративной безопасности. Особенно это касается ответственных позиций и тех, кто будет иметь дело с финансовыми ресурсами. Потому что резюме может быть неполным, недостоверным и вообще неизвестно с каким «шлейфом». И еще: не забывайте вести реестр судебных решений и уголовных производств. Сегодня это абсолютно открытая информация и лучше мониторить ее регулярно. Чтобы вдруг не оказалось, что ваш бизнес вовсе уже и не ваш, а принадлежит каким-то другим лицам. В это же направление я включаю, конечно же, работу с дебиторской задолженностью. Тут все просто: важно не пропускать просрочки такой задолженности и на этапе преддоговорной работы проверять контрагентов на предмет их платёжеспособности и надежности. АДМИНИСТРАТИВНАЯ БЕЗОПАСНОСТЬ. Банально, но вы должны быть уверены, что ваши материальные ценности находятся в целостности и сохранности. Есть офисные, и есть складские помещения, режим доступа к ним должен быть строго определен. Да, комплексное внедрение всех перечисленных мной мер - недешёвое удовольствие. Да, оно влетит вашей компании в копеечку. Да, на первый взгляд это может показаться необоснованной тратой средств. Но скупой, как известно, платит дважды. Поверьте, как показывает практика, затраты на построение функции корпоративной безопасности окупаются при первой же проверке. Не рискуйте своим бизнесом, обратитесь к специалистам! Источник: ЛІГА.Блоги
Подробнее
21 августа 2018
Учим детей английскому: советы от бизнес-мам
Успешные бизнесвумен и по совместительству заботливые мамы рассказали, как сделать так, чтобы языковой барьер не стал ограничением в карьере нашего будущего лидера. Каждый родитель мечтает, чтобы его малыш покорил мир и стал настоящим лидером. И в этом без знания английского ему не обойтись. Так с какого возраста лучше начинать заниматься с ребенком иностранным языком и как развить интерес к его изучению? САМЫМ МАЛЕНЬКИМ. По словам вице-президента компании «ИТ-Интегратор» Надежды Омельченко, формирующая среда для ребенка начинается с самого рождения: «До словесной основы языка закладывается сначала слуховая. Потому очень важно, чтобы малыш слышал английскую речь, пусть даже пока и не понимал. И важный первый этап - выучить язык самим родителям. Тогда они смогут разговаривать с дитем, петь ему песни и колыбельные на английском. Если же язык вы еще не выучили, можно время от времени ставить ребенку английские песенки в записи или включать мультики на английском. В любом случае с этим советую поторопиться, потому что более серьезное изучение языка можно начинать уже с трех лет и лучше не ограничивать обучение ребенка только кружками или репетитором». Генеральный директор Nota Group Татьяна Андрианова советует переводить обучение в игровую форму, когда ребенок немного подрастает: "Например, мы собирали английские слова из кубиков. А еще придумали сказку про кота, который приехал из Англии и говорил только на английском. И постоянно попадал в разные ситуации, а ребенок подсказывал, что должен сказать котик, чтобы их решить. Потом у нас появилась игрушка – она выглядит как шар, который можно друг другу бросать. Говоришь в него английское слово, бросаешь ребенку, он слушает слово и повторяет его вслух, ну а дальше уже его очередь сделать то же самое и кинуть шар маме или папе". Согласна с ней и Надежда Омельченко: "Если родители говорят на английском хотя бы минимально, то любая игровая ситуация становится обучающей. Например, можно устраивать английское чаепитие с куклами или поиграть в «Формулу-1». Но тут нужно учитывать, что у дошкольников лимит внимания – не более 10 минут. Это значит, что вид развлечений придется менять очень часто. Также мы с дочкой поем вместе песни или слушаем английские курсы пока едем в машине. А с детьми постарше можно разрабатывать лексику, играя в Элиос или Показуху на английском". МОТИВАЦИЯ. Чем старше становится ребенок, тем сложнее родителям находить правильные аргументы в пользу дополнительных уроков. И тут наши бизнес-мамы сошлись во мнении, что важно чуток мотивировать и вдохновлять свое чадо. Надежда Омельченко говорит: "Важно показать малышу, что английский – это не какой-то непрактичный предмет, а очень даже применимый. Он должен понимать, что язык пригодится не когда-нибудь в будущем, когда мы поедем в другую страну, а на нем говорят прямо здесь и сейчас. Тогда для него станет естественным разговаривать на английском, пусть даже с ошибками. Методика заучить-написать с детьми не работает, язык должен быть легче и проще. Вот вам один из эффективных приемов: в зависимости от возраста и интересов выбираем лексику определенного места или вида деятельности. Например, сначала учим все об аквапарке, канатном парке или танцах, а потом идем с ребенком в это место пробовать все на практике. Отличная мотивация!" Такого же мнения придерживается и Татьяна Андрианова: "У нас в семье разработана система мотивации. Например, если ребенок просил купить шоколадку – он должен был сказать название сладости на английском языке. В более старшем возрасте отлично работает погружение в среду. Есть поездки, где ребенок живет в английской семье и, естественно, общается с ними только на английском. Такая поездка за месяц дает больше, чем год изучения языка в стране. Еще дома мы сейчас играем в монополию на английском языке. То есть учимся не только считать, вести бюджет, но и параллельно изучаем язык. А с недавних пор мы делаем всей семьей по утрам зарядку и названия всех упражнений говорим на английском". Источник: Ivona
Подробнее
17 августа 2018
А ось і перші порушники GDPR
20 липня CNIL, орган, відповідальний за GDPR-страшилки у Франції, видав перші 2 попередження за порушення GDPR. Перші 2 в історії за перші в історії (виявлені) порушення. Прилетіли такі попередження стартапам — Fidzup та Teemo. Компаніям із непоганим портфелем венчурних інвестицій, призначеними посадовими особами із захисту персональних даних та пафосними релізами про GDPR-комплаєнс. Ці попередження — чудова можливість для юристів озброїтися раціонально-практичними аргументами: для чого готувати тонну документів та рекомендацій, пов’язаних з GDPR. Кому першому не пощастило Давайте чесно, ми всі чекали, коли хтось попадеться. Багато хто тримав пальці схрещеними “тільки не нас, тільки не нас”. І ось перші попалися. Обидві компанії — не випадкові мішені невблаганного фатуму. Погодьтеся, регулятору було важко пройти повз гучні маркетингові заяви, на кшталт “4 долари за тисячу користувачів для вашого сайту” або “4 тисячі доларів за мільйон користувачів”. Чи то така політика, чи то попередній скандал з Cambridge Analytica привернули увагу до обох стартапів. Але обидва стартапи, описані як схеми “заплати-за-дані” (pay-for-data), уже давно були в полі зору медіа. Про них писали BuzzFeed, обидві компанії потрапили до Звіту Yale Privacy Lab — Єльського гуртка за інтересами, пов’язаними з персональними даними. Де, крім цих компаній, також згадувалися DoubleClick, Braze, Millennial Media та інші. Крім цього, у травні Apple прибрав із App Store усі додатки, які використовували послуги Teemo та Fidzup. Цього було замало. Здається, хлопці гадали, що кожен учасник компанії має абсолютний дипломатичний імунітет і прививку від GDPR. Однак, таке викривлене тлумачення Віденської конвенції про дипломатичні зносини та неправильне розуміння основ вакцинації не сподобалося CNIL. Який і дав кожній із них 3 місяці, аби взятися за розум. Що було не так? Обидві компанії займалися геотаргентингом. Для цього вони збирали геолокаційні дані осіб — користувачів мобільних додатків, які належали B2B-партнерам Fidzup та Teemo. Обробка персональних даних починалася одразу після завантаження додатку партнера. Працювало це так: завантажується додаток – збираються дані – обробляються дані - приходять pop-up windows таргетингової реклами – здійснюється авторизація в додатку (можливо) і нарешті –> надається згода на певну обробку (можливо). Що у цій схемці не комільфо? Те, що останні 2 елементи цього ланцюжка стоять наприкінці, а не 2- чи 3-ми відповідно. А хіба це не проблема власників додатків, що вони не одержали згоду? Не зовсім. У цьому ланцюжку Fidzup та Teemo збирали дані та визначали мету їхньої обробки. Мова йде про дані, одержані внаслідок факту завантаження певних аплікашок. За це — заслужений титул контролера (володільця) даних. І в частині збору геолокаційних даних саме дует Teemo-Fidzup повинен нести відповідальність за порушення GDPR. Детальніше про кожну з компаній Teemo використовувавSDK(такий собі інструмент), за допомогою якого оброблялися дані геолокації користувачів додатку (точніше — завантажувачів додатку) та унікальний рекламний ID. Це відбувалося без відома юзерів і ще до того моменту, коли певний додаток був запущений. Якщо партнери вже давно випустили додаток на ринок і мали своїх користувачів, Teemo’s SDK починав збирати дані користувачів після першого оновлення додатку (авжеж, без повідомлення юзерів). З урахуванням даних, які накладалися на обрані клієнтами points of interest, користувачам відправлялася таргетингова реклама. Схожим чином, Fidzup із використанням іншого SDK обробляв рекламний ID та технічну інформацію гаджета (MAC-адресу). Ці дані передавалися бізнес-клієнтам, які (за рахунок утиліти Fidbox) могли також запускати таргетингову рекламу, коли юзери наближалися до обраних бізнесами точок продажів. В обох випадках публічні документи додатків не могли надати користувачам інформацію, звідки ця реклама береться. Повідомлення про обробку даних також не вказувало на особу контролера даних — Fidzup чи Teemo відповідно. Ще трохи про вимоги до згоди, або урок для прийдешніх поколінь GDPR каже: згода повинна полягати у вільному, конкретному, поінформованому та однозначному бажанні особи, щоб її персональні дані оброблялися. Така згода повинна стосуватися однієї або кількох цілей обробки. Згода повинна надаватися до початку обробки даних. Щодо обох випадків CNIL сказав, що не дотримано жодної з умов GDPR-сумісної згоди. Насамперед згода не була надана до початку обробки, а це ж просто канонічна вимога! Згода, яку дав користувач, не була вільною. Вона стосувалась усіх випадків обробки і була вбудована в сам факт авторизації в додаток (по-іншому не запустиш). Крім того, завантаження додатку було нерозривно пов’язано із завантаженням SDK. Згода не була конкретизована. Юзер не міг обрати конкретні види обробки, із якими він погоджується, а з якими — ні. Насправді, мало хто робить це нормально (дорогувато, кажуть, а ще частіший аргумент — страшнувато на вигляд на сайті потім), але все ж така диференціація згоди makes sense. Не всі хочуть маркетингові розсилки та включення даних до CRM-системи. Згода не було інформованою. адже не містила інформації про використання даних для таргетингової реклами третіми особами. До моменту завантаження додатку не було жодного повідомлення, що дані почнуть оброблятися вже і зараз. Здавалося б, у нашому випадку уже достатньо порушень. Та проблеми були не лише зі згодою, принаймні в Teemo. Строк зберігання або золоте правило “Не перетримай” Teemo обробляло дані впродовж строку, який не виправданий метою такої обробки. Це другий висновок CNIL, що стосується активного використання геолокаційних даних протягом (а тепер слухайте, поборники 10-річних строків!) 13 місяців. CNIL провів тест на пропорційність (а юристи це роблять в “Оцінці легітимних інтересів контролера”) і зазначив: право на повагу до приватності тут точно переважає. Чому? Тому що використання таких тулкітів, які допомагають таргетувати особу 13 місяців поспіль, є серйозним втручанням у приватність. Також така обробка допомагає також стежити за людьми у великих масштабах. А раптом ще така інформація, наприклад, внаслідок витоку даних (data breach), потрапить до рук зловмисників? Тепер увесь цей аналіз потрібно добряче обдумати стартапам. Надано їм для цього 3 місяці, достатньо, щоб тричі зняти фільм “Три білборди під Еббінгом, Міссурі”. Ми ж також подумали. І задалися питанням: Що стає очевидно необхідним для тих організацій, які не хочуть стати Teemo-Fidzup? Розберіться з потоками даних в межах організації. Вистачить банальних запитань та excel-таблички: звідки, від кого, куди, для чого і як довго? Перші запитання, на які треба відповісти. Можна залучити і юриста. Перевірте, на що ви покладаєтеся, збираючи дані (дипломатичний імунітет володільця даних чи все ж на згоду користувача). Якщо на згоду, тоді перегляньте, що передбачає така згода та що ви при цьому повідомляєте користувачу. Можливо, вам підійде взагалі інша підстава для обробки, зокрема, ваші легітимні інтереси. Подбайте про строки зберігання і, за можливості, підготуйте retention policy. Не зберігайте довше, ніж потрібно. Можливо, вам узагалі не потрібні персональні дані користувачів. Цього повинно вистачити для початку. Принаймні, щоб не опинитися на шпальтах Le Monde. Якщо ж ви просто користувач різних додатків, знаєте французьку і не хочете, щоб вашу локацію знали в недобросовісних компаніях, скористайтеся порадами CNIL, які мали б допомогти зберегти вашу приватність. А поки компанії-ньюзмейкери обіцяють все виправити набагато швидше, ніж протягом наданих 3 місяців, ми ще раз дивимося на типові запитання, які чують юристи “Ви порадили технічні заходи, підготували для нас внутрішні політики. Ми розмістили публічні документи у футтері, зробили pop-up вікно. Для чого це все, якщо нікого не штрафують?”. “Ви радите обмежити строк зберігання даних. Невже не можна просто зберігати маркетингові дані, допустимо, 10 років? Або стільки ж, скільки розкладається поліетилен. Хто це взагалі перевірить?”. “Хіба GDPR не лише для того, щоб притиснути до стіни Google, Facebook і інших прислужників Великого брата? Ми ж маленькі, ми в хатці”. Короткі відповіді для запам’ятовування: треба, орган, не лише для того.   Наостанок Нещодавно Associated Press разом із Прінстонським університетом провели розслідування щодо Google. Із результатами можна ознайомитися, зокрема, на the Guardian. Відповідно до цього розслідування, Google, не заперечуючи цього, збирає геолокаційні дані в процесі користування продуктами Google. Навіть якщо користувач змінив налаштування так, щоб такі дані не збиралися. Щось нагадує? 20 млн. євро. Істочник:   
Подробнее
14 августа 2018
GDPR: как внедрить новые стандарты в Ваш бизнес
Несколько последних месяцев умы украинских предпринимателей будоражит одна короткая аббревиатура из четырех букв, в которой затаились многомиллионные штрафы. GDPR или General Data Protection Regulation – новый регламент Евросоюза по защите данных, который вступил в силу в конце апреля. Теперь он нагоняет ужас не только на западные компании, но и на украинский бизнес, работающий с персональными данными европейцев. Хоть первый шок уже прошел, наши предприниматели судорожно пытаются понять, как не попасть под штрафные санкции и при этом отделаться «малой кровью». Сценарии внедрения GDPR можно обсуждать очень долго, но я все же сторонник практических советов. Давайте разберем кейс, где вы уже знаете, что такое стандарты GDPR и уверены, что их нужно внедрять в свой бизнес. Дальше у Вас есть два варианта действий. Можно попытаться имплементировать регламент самостоятельно и тут Вам в помощь знание специализированного английского, юриспруденции и технических наук. Второй вариант менее сложный, но более затратный – нанять специалиста Data Protection Officer (DPO) и делегировать ему внедрение стандартов GDPR. Я, например, обеими руками за второй вариант, потому что умение грамотно делегировать полномочия - признак эффективного лидера. И тут хочу поставить акцент на слове «грамотно». Потому давайте проясним для себя несколько важных вопросов: кто такие DPO, что входит в круг их компетенций и как выбрать настоящего профессионала. Начнем с азов. DPO – это человек в вашей компании, которому предстоит не только внедрить стандарты GDPR, но и регулярно следить за их соблюдением. Своим клиентам я советую обязательно обзавестись таким специалистом в трех случаях: если основные виды деятельности включают регулярный и масштабный мониторинг персональных данных граждан Евросоюза, если компания обрабатывает «чувствительные данные» (данные о состоянии здоровья, расовой принадлежности, судимости), а также всем государственным органам. Во всех остальных случаях нанять на работу DPO заставить вас никто не может – его присутствие идет с приставками «желательное» и «рекомендовано». Но на практике цена такой беспечности, в случае возникновения проблем, - штраф в $20 млн евро. Из своего опыта могу сказать, что для успеха любого кадрового решения руководитель должен четко понимать, зачем ему нужен новый сотрудник и какие конкретно функции он должен на себя взять. А поскольку фигура DPO для украинского рынка труда пока новая и загадочная, не лишним будет расставить все точки над «і». В идеале Data Protection Officer должен взять на себя три основные задачи. И первая из них контроль: помимо внедрения стандартов GDPR и мониторинга их соблюдения, в случае возникновения проблем DPO должен быть контактным лицом с европейскими органами надзора. Во-вторых, этот сотрудник должен выступать в роли внутреннего консультанта и давать свои рекомендации по оценке влияния разных факторов риска на защиту данных. Ну и третья, не менее важная задача – обучить персонал работе в рамках GDPR, потому что соблюдение даже минимальных протоколов безопасности в рутине может сыграть решающую роль. Но, как известно, хороший урожай взрастает только на благодатной почве. Чтобы DPO справился со своими задачами максимально эффективно, рекомендую организовать ему работу на «особых условиях». К примеру, тако鬬 сотрудник должен отчитываться только перед высшим руководством, а также быть максимально независим в принятии решений. Из всего вышеперечисленного напрашивается вполне очевидный вывод - в идеале пользоваться услугами DPO лучше на аутсорсе. Кстати, регламент GDPR даже предполагает, что такой специалист может обслуживать сразу несколько компаний. Ну и последний незакрытый вопрос - как выбрать компетентного DPO и не прогадать? Прежде всего, он должен быть экспертом в области европейского и украинского права, а также обладать опытом в сфере защиты данных. Думаете найти такого сверхчеловека практически невозможно? А вот и нет! Несмотря на то, что на данный момент в Евросоюзе пока нет обязательной сертификации DPO, некоторые украинские юристы уже проходят обучение за границей и расширяют перечень своих услуг GDPR-сопровождением. К примеру, в компании, где я являюсь генеральным директором, уже есть два сертифицированных DPO, и мы уже предоставляем услугу по внедрению GDPR. Верность такого движения подтверждает статистика: по последним оценкам Международной ассоциации профессионалов в области конфиденциальности в ближайшей перспективе минимум 25000 DPO понадобятся в Евросоюзе, а еще 75000 – по всему миру. В сухом остатке мы имеем практически шекспировскую дилемму – быть или не быть, а точнее нанимать или не нанимать специалистов по внедрению GDPR. Мой ответ – однозначно быть и обязательно нанимать! Хотя бы потому, что наша страна с каждым годом все стремительней приближается к европейскому законодательству, а значит, рано или поздно, соблюдать стандарты GDPR все же придется всем украинским компаниям. Потому работа с DPO сегодня – это инвестиция в будущее. Источник
Подробнее
20 июля 2018
ФОРЕНЗИК – MUST HAVE УКРАИНСКОГО БИЗНЕСА
Слово «форензик» происходит от латинского «forensic» – форум или публичные дискуссии. Первоначально оно использовалось в Древнем Риме и применялось к торговым площадям, где проходило множество сделок, кипела общественная жизнь, люди на дебатах доказывали свою правоту. Новый мир – новые реалии. Но если задуматься, современное значение слова «форензик» ушло не так далеко от истоков. В деловом мире оно используется для обозначения комплекса мер по выявлению мошеннических схем в компании как среди рядовых сотрудников, так и организованных топ-менеджерами. Это могут быть махинации в отчетностях или финансовых операциях, воровство при закупках, вовлечение в информационный шпионаж, взяточничество, присвоение активов и проч. Согласно статистике, корпоративное мошенничество – явление далеко не редкое. Чаще всего оно возникает в финансовых департаментах, в отделах закупок, продаж, порой попадаются и топ-менеджеры. И, как правило, чем выше на карьерной лестнице находится мошенник – тем больше убытков он может принести компании. Вывести на чистую воду В силу своей профессии не могу даже сосчитать, сколько раз в жизни слышала фразу: «Я знаю, что у меня воруют. Но не понимаю, кто и где». Это нередкая ситуация, ведь собственник просто не в состоянии отследить все процессы, происходящие на его предприятии, тем более проконтролировать всех сотрудников, особенно когда речь о штате в несколько сотен, а то и тысяч человек. И в таких случаях привлекают специалистов по форензику. Один человек провести аудит не в состоянии. Невозможно быть экспертом во всем, а данный анализ требует узких специализированных знаний во многих направлениях. Эффективная команда по форензику состоит из юристов, экономистов, бухгалтеров, возможно, бывших сотрудников полиции – оперативников и аналитиков, и даже психологов. Эти люди могут работать над одним предприятием несколько месяцев, чтобы в конце проверки предоставить владельцу полный отчет по всем процессам в его компании. Как происходит в действительности Теперь поговорим о наших реалиях. Услуги по проведению форензика – относительно новое явление на рынке консалтинга, даже для западного бизнеса. А понимание важности данных процедур для стабильного развития бизнеса приходит к украинским предпринимателям очень медленно. Специалистов по форензику нанимают неохотно и как-то с опаской. Чтобы понять причины такой настороженности, я получила мнениене одного бизнесмена. Оказалось, дело не в деньгах, а в страхе вынести сор из избы. На практике же могу сказать, что проведение независимого расследования аутсорсинговой компанией намного продуктивнее. Во-первых, это сохраняет здоровый климат в коллективе. Ведь во всем можно винить «того неизвестного дядю», а не коллегу, с которым пьешь кофе каждое утро. Во-вторых, нанятая команда имеет за спиной немалый опыт проведения подобных расследований, поэтому они сделают все более качественно и оперативно. И, в-третьих, ни одна компания, дорожащая своей репутацией, не станет выносить сор из избы клиента. Информация скорее выплывет через обиженных сотрудников. Ситуации из жизни Один владелец крупного бизнеса потерял миллионы из-за мошенничества своего топ-менеджера, который долгое время искажал финансовую отчетность, а собственник на основании этого принимал неверные управленческие решения. Другой крупный бизнесмен чуть было не лишился всего из-за регулярной передачи информации о компании конкурентам в течение многих лет. Ему удалось сохранить предприятие, но данная ситуация отбросила его бизнес на несколько лет назад. После увольнения коммерческого директора одной из компаний возникла проблема потери ею «золотого» статуса как агента по продаже товаров от одного из ключевых поставщиков. В результате проведенногофинансового расследования были вскрыты следующие факты: нецелевое использование денежных средств, полученных в качестве 100%-й предоплаты за товары, и использование их в качестве депозита; получение дополнительного дохода генеральным и финансовым директорами компании, что не было отражено в бухгалтерских операциях и отчетности; несвоевременная и искусственно отложенная на квартал покупка валют, необходимых для выполнения контрактов; нарушение сроков оплаты поставщикам за отгруженные товары c последующей оплатой штрафов; покупка валют на бирже по галопирующему курсу; использование директором личных валютных денежных средств как кредитных, оформленных по чрезвычайно завышенной процентной ставке через фиктивный договор финансовой помощи. Еще один кейс – по результатам годовых отчетов, предоставляемых менеджментом строительной компании, выявили ее постоянную потребность  в оборотных средствах, несмотря на достаточный объем кредитования. У финансово-аудиторского комитета холдинга и акционеров возникло подозрение, что контрактные оплаты за товары и услуги по предоплате используются менеджментом компании нецелевым образом. В ходе расследования выяснилось: контракты подписывались с завышенной стоимостью или были фиктивными по уже выполненным работам; количество расходуемых материалов значительно преувеличено; объемы работ «задваивались»; привлекался низкоквалифицированный дешевый персонал – компания была вынуждена постоянно проводить гарантийные работы. Доказательств было более чем достаточно, чтобы отстранить менеджеров  и возбудить в отношении них уголовные дела по факту доведения компании до банкротства. А ведь этого можно было бы избежать, если бы специалистов по форензику привлекли на ранних этапах. Тут вспоминается ставшая уже крылатой фраза  Уинстона Черчилля: «За безопасность стоит платить, а за ее отсутствие – расплачиваться». Татьяна Андрианова, адвокат, директор по правовым вопросам компании «Октава Капитал» Источник
Подробнее
19 июля 2018
НЕ ПРОНЕСЛО. ЧТО УГРОЖАЕТ УКРАИНСКОМУ БИЗНЕСУ ИЗ-ЗА ЕВРОПЕЙСКОГО ЗАКОНА О ПЕРСОНАЛЬНЫХ ДАННЫХ
Как проверить, распространяется ли на ваш бизнес действие европейской директиве о защите персональных данных (GDPR) и как быть с данными, чтобы не попасть под санкции. Перед европейским регламентом о защите персональных данных (General Data Protection Relations), которая вступила в действие 25 мая 2018 года, не устоят даже сильные мира сего. На днях огромный штраф за обращение с персональными данными получил заокеанский Facebook. Известны случаи огромных штрафов с собственных европейских бизнесов, в частности, максимум получил сервис Ticketmaster. Украинского бизнеса регламент в определенных случаях тоже касается. В каких и каким образом, что нужно сделать, чтобы не заработать штраф и обсуждалось на конференции «GDPR в Украине». НВ приводит ключевые пункты из выступлений докладчиков. Когда GDPR может применяться к украинским компаниям Как объясняет Юлия Нечепуренко, ведущий специалист Nota Group, под действие регламента попадают все, кто имеет компанию или представительство в Евросоюзе. Если таковых нет, то все равно под действие регламента подпадают бизнесы, которые используют персональные данные граждан ЕС, если обработка данных связана с предложением товаров и услуг или мониторингом их поведения. По словам Дарины Сидоренко, координатора группы IT и кибербезопасности Sayenko, самая большая потенциальная проблема для украинского бизнеса в случае нарушения GDPR – это репутационные риски. После этого строить партнерские отношения в Европе будет сложнее. Также есть риски криминальной и административной ответственности. Что такое персональные данные Согласно директиве, персональные данные – это любая информация, которая позволяет идентифицировать физическое лицо. Субъект данных в данном случае – это идентифицированное или пригодное к идентификации физическое лицо. В частности, люди, граждане Евросоюза. У данных есть контролер и оператор, первый – дает инструкции по работе с ними (сбор, применение, обработка), второй – обрабатывает. Оператор не имеет права обрабатывать данные без инструкции контролера. Если такового нет, считается, что он сам для себя контролер. Как можно работать с персональными данными Контролер должен запрашивать у субъекта разрешение на обработку данных, при этом – четко обозначать цель, для которой он это делает. Если данные были собраны для одной цели, но обрабатываются для других – это нарушает регламент. Исключение составляет аффилирование или обработка для статистики. В отношении данных действует несколько принципов. Минимизация. Могут собираться минимальные данные, соответствующие цели сбора. Например, если авиакомпания продает билеты, она может обрабатывать паспортные данные, электронный адрес. Но данные о политических взглядах пассажира ей точно не нужны, поэтому она не может их собирать и обрабатывать. Персональные данные – это любая информация, которая позволяет идентифицировать физическое лицо. Фото: pixabay.com Точность. Данные должны быть точными, полными и актуальными. Ограничение на хранение. Данные хранятся в течение определенного срока, адекватного цели хранения. Как только цель достигнута или потеряла актуальность, их нужно удалить. Целостность и конфиденциальность. Контролер обязан принять все меры для обеспечения безопасности данных. Подотчетность. Контролеры должны руководствоваться принципами GDPR и должны быть готовы доказать, что соответствуют им. Законная обработка данных Субъект данных должен дать согласие на обработку для конкретных целей. Запрос к нему должен быть изложен простым и понятным языком, согласие дано без принуждения, четко и понятно. Само согласие должно храниться вместе с данными, чтобы в случае чего у компании была возможность доказать, что субъект дал согласие на обработку. Из этого требования есть несколько исключений. Во-первых, если обработка необходима для выполнения контракта, в котором субъект является одной из сторон. Например, если речь идет о покупке в интернет-магазине, это могут быть электронный адрес, адрес доставки, данные банковской карты – то есть то, что необходимо для предоставления услуги. Получение таких данных не требует получения согласия субъекта, так как он сторона договора. Во-вторых, когда обработка необходима для соблюдения юридических обязательств контролера. Это может быть обработка данных новых сотрудников, так как в данном случае речь идет о трудовых отношениях. Кроме того, для защиты жизненных интересов субъекта или другого лица, для исполнения задач государственного органа (например, если гражданин пришел на голосование) и в случае преобладающего законного интереса контролера или третьих лиц. Но Нечепуренко поясняет, что GDPR не прописывает, что именно означает этот пункт. В преамбуле написано, что субъект может ожидать, что обработка данных на основании законного интереса может случиться, однако для этого между субъектом и контролером уже должны быть отношения. Например, субъект может ожидать сообщения о распродаже, хотя он как такового разрешения не давал. Но ссылаться на этот пункт стоит только тогда, когда контролер может доказать его. Права субъекта данных Доступ к данным о себе. Как правило, на подобные запросы нужно отвечать в течение 30 дней. Но если субъекты данных злоупотребляют своим правом и когда слишком много запросов, контролер имеет право или отказать, или установить плату. Право на забвение. Контролер обязан применить внутренние политики, предусматривающие действие в таких ситуациях. Получение отчетов. Субъект данных имеет право требовать отчеты о том, что его данные были удалены или изменены, если это не влечет слишком больших усилий или если это не является невозможным. Наиболее активно ищут нарушителей Франция, Германия и Великобритания. Изображение: pixabay.com Портативность данных. Субъекты данных имеют право получить у контролера собственные данные в машиносчитываемом формате и передать их другому контролеру (не скрывая этого от первого контролера). Такую возможность нужно предусмотреть. Право на возражение. Субъекты могут возражать против обработки их данных. Контролер должен иметь механизмы остановки сбора данных в таком случае. Право на жалобы, представительство и компенсацию. Субъекты имеют право подать жалобу, при этом могут представлять сами себя или обратиться в организацию, которая имеет в своих уставных документах эту функцию – защищать права субъектов данных. Право на исправление ошибок. Право не быть субъектом данных, которые обрабатываются в результате автоматических способов сбора. Вкусы, местонахождение, передвижение и т.д. (Facebook, привет!) Как внедрить стандарты GDPR Самая большая потенциальная проблема для украинского бизнеса в случае нарушения GDPR – это репутационные риски. Также есть риски криминальной и административной ответственности Как объясняет Елена Колченогова, глава Комитета по защите данных Ассоциации Digital Ukraine, регламент подразумевает два вида мер для защиты персональных данных: организационные и технические. Технические требуют privacy by default и privacy by design. Privacy by default – это конфиденциальность по умолчанию. То есть если компании нужно собирать какую-то информацию о субъекте, это можно делать в минимальных необходимых количествах. Под санкции попадают даже те компании, у которых произошла утечка данных, например, вследствие кибератаки Privacy by design – конфиденциальность, которая уже заложена в программное обеспечение. Организационных мер значительно больше. Например, говорится, что записи обработки данных должны включать всю информацию о субъекте, контролере и операторе, а также о самих данных, если данные передаются в третьи страны – эта информация также должна отображаться в записях. Исключение делается для предприятий, где работает менее 250 человек, но не делается, если обработка данных может привести к риску для субъекта данных. Также GDPR рекомендует назначить специалиста, владеющего знаниями о защите персональных данных, который сможет применить GDPR на предприятии – data protection officer. Он нужен, если в компании масштабно происходит обработка данных, если речь идет о государственных или особо чувствительных данных (здравоохранение, биометрия и т.д.). В задачи такого специалиста входит обучение, консультирование (для оценки рисков, например) и контроль. Именно это лицо отвечает за работу с данными перед контролирующими органами и субъектами, хотя в случае нарушений штрафуют не его. Это может быть один человек на несколько организаций, необязательно в штате. Также GDPR рекомендует прописывать политики конфиденциальности, проводить оценку риска используемых данных, если в компании имеет место систематическая масштабная оценка персональных данных, основанная на автоматизированной системе. Например, транспортная организация устанавливает видеонаблюдение или если больница обрабатывает данные пациентов, в том числе иностранцев. Если контролер или оператор находится за пределами ЕС, обработка связана с поставками товаров или услуг, или нужен постоянный мониторинг поведения субъектов данных, компании необходимо назначить представителя в ЕС. И это лицо может быть привлечено к судебным разбирательствам, связанным с обработкой персональных данных. Так ли страшен штраф, как его малюют Как рассказывает Сидоренко, под санкции попадают даже те компании, у которых произошла утечка данных, например, вследствие кибератаки, так как подразумевается, что они не приняли достаточные меры для их защиты. Санкции должны показать людям, что персональные данные – это важно. В каждой стране ЕС уже есть органы, которые отвечают за защиту персональных данных. И в некоторых государствах уже были громкие кейсы со штрафами. По словам Сидоренко, наиболее активно ищут нарушителей Франция, Германия и Великобритания, а Балканские страны, по ее инсайдерской информации, пока относительно лояльны и дают своим компаниям время на адаптацию. Первое, что учитывается в наказании – это природа нарушения, насколько масштабным оно было, какую информацию задело и сколько человек, было ли это целенаправленно или вследствие того, что компания что-то не сделала для защиты Первое, что учитывается в наказании – это природа нарушения, насколько масштабным оно было, какую информацию задело и сколько человек, было ли это целенаправленно или вследствие того, что компания что-то не сделала для защиты. Максимальный штраф – 20 млн евро или 4% годового оборота – налагается, только если компания нарушила несколько принципов, все это будет компилироваться и объединяться в одну сумму штрафа. Эксперт полагает, что после внедрения GDPR о кибератаках на персональные данные будут говорить чаще и приводит несколько примеров. Компания Ticketmaster, которая продает билеты, получила максимальный штраф. Она была взломана 25 июня, а предупредила людей 27-го. Это уже первая и важная характеристика для такого наказания. Вторая – их система ранее была подвержена аудиту, и компания-аудитор предупредила о потенциальной точке взлома. У компании Timeshop, которая анализирует пользовательские данные из соцсетей, тоже максимальный штраф. 4 июля на нее была совершена кибератака и были украдены данные 20 млн человек. IT-специалисты смогли остановить утечку, но она все равно была огромной. У Timeshop не было двойной авторизации для аутентификации в облаке, а это одно из требований GDPR. Защита от утечек персональных данных Как говорит Владимир Кург, R&D-директор компании «ИТ-Интегратор», в информационных системах большинства компаний работают системы защиты информации, которые можно должным образом настроить, чтобы выполнить требования GDPR. Контролер должен видеть, что происходит в системе, где обрабатываются данные, как они «ходят» и на каком этапе находятся. Персональные данные могут находиться в трех состояниях: в покое, в состоянии использования и передачи. Первыми пользуются в первую очередь администраторы, а находятся они обычно в архивах или резервных копиях. Данные в состоянии использования читают, дополняют и используют. На этом этапе у данных могут появляться новые пользователи. Серьезность потери данных пропорциональна числу затрагиваемых пользователей. С точки зрения масштаба утечки самый большой риск – резервные копии Данные в движении – это данные в момент, когда они передаются по локальным или глобальным сетям. В одном из пунктов статьи 83 говорится, что серьезность потери данных пропорциональна числу затрагиваемых пользователей. С точки зрения масштаба утечки самый большой риск, по словам Курга, – резервные копии. И именно на них большинство не обращает внимание. Хотя хищение и утечка резервных копий – это утечка всех данных компании. Минимизировать угрозу для этих данных помогает лицензия на шифрование резервных копий, борьба с «правами бога» администраторов (разделение тех, кто делает резервные копии, и хранителей ключей) и банальная изоляция рабочих мест администраторов, а также блокировка портов для съемных носителей. Так как резервные копии объемные, их утечку можно отследить. Если речь идет о данных в обработке, то как правило, у сотрудников или клиентов компании нет необходимости работать со всеми массивами записей. В данном случае фактор риска – это люди, которые могут инициировать масштабную утечку. Прежде всего администраторы и аналитики, которым для построения каких-то маркетинговых отчетов требуется извлечь очень большой массив пользовательских данных. Минимизировать угрозу позволяют такие классы приложений, как Database Firewall или Web Application Firewalls, а также блокировка прямых интерфейсов баз данных при помощи маскировки. Средства маскировки есть у большинства промышленных баз данных. Для защиты данных и в покое, и в обработке используется псевдоанонимизация, которую не стоит путать с анонимизацией. Анонимизированные данные, согласно директиве, защите не нуждаются. Они могут оставаться в системах, например, для анализа big data. Основное отличие псевдоанонимизированных данных от анонимизированных – это то, что их невозможно идентифицировать по каким-то критериям из внешнего мира. Кург приводит в пример кейс медицинской системы, в которой хранятся данные пациентов в открытом виде и которым нужна защита. Защитить их можно разными способами. Первый – пользователю открываются данные, которые нужны только для его работы. Например, регистратура видит только имя и номер телефона пациента, которому нужно напомнить о визите, а также время приема и специалиста. Это добавляет защищенности данным, но если произойдет утечка базы, то маски не помогут. Псевдоанонимизация – это замена ID физлица и его имени генерируемым кодом, к которому привязываются данные. Часть набора данных, которые однозначно идентифицируют пользователя – номер паспорта, кредитной карты, номер телефона – могут еще и шифроваться. Для данных в движении угрозы невелики, так как в каждый момент времени передается небольшой объем, однако это не отменяет угроз в принципе. Во-первых, в локальной сети это может быть инсайдерский перехват, такие случаи уже были. Администраторы должны шифровать трафик и блокировать съемные носители, потому что многие приложения, в том числе рабочие места систем, создают копии локальных данных. И эти копии можно скинуть на внешний носитель. Также есть системы контроля трафика в сети, которые позволяют отслеживать сеансы пользователей. То есть шифрование предотвращает утечку данных, мониторинг показывает ее и позволяет блокировать. Во-вторых, фишинг. Классика фишинга – рассылка с имитацией фирменного стиля сайта со ссылкой на копию, где невнимательный пользователь оставляет свои данные. Защита от фишинга лежит прежде всего в юридической плоскости. Но также стоит покупать правильные сертификаты безопасности для сайтов и не экономить на этом моменте. Например, есть более дорогие сертификаты, удостоверяющие организацию.
Подробнее
18 июля 2018
GDPR: НОВЫЕ СТАНДАРТЫ
Эксперты Nota Group рассказали о внедрении GDPR в бизнес. 10 июля в Киеве состоялась масштабная конференция «GDPR в Украине: инструкция по внедрению новых стандартов». Организовала мероприятие ассоциация Digital Ukraine, которая пригласила на мероприятие ведущих специалистов в сфере юриспруденции и кибербезопасности, а также сертифицированных офицеров по защите данных(DPO). Эксперты выступали в двух панелях – организационно-юридической и технической. Послушать доклады пришли около 200 человек – представители госструктур, IT-компаний, интернет-магазинов, турфирм, отелей, разработчики приложений для соцсетей, социологи и другие специалисты, сталкивающиеся с необходимостью сбора и обработки данных пользователей в своей работе. «В мае-июне мы слышали много теоретических изысканий на тему GDPR и вот сегодня реальные люди, обученные и сертифицированные офицеры по защите данных расскажут, как это практически внедряется», – сказал в своем приветственном слове глава наблюдательного совета «Октава Капитал» и основатель компании «Октава Киберзахист» Александр Кардаков. Как объяснила ведущий юрист Nota Group Юлия Нечепуренко, в контексте GDPR персональные данные — это любая информация, которая относится к физическому лицу, которое идентифицировано или может быть идентифицировано (имя, ИНН, данные о местоположении и прочее). Кроме них существуют «чувствительные данные», обработка которых несет в себе более высокие риски, а значит требует более строгих мер обеспечения безопасности (политические взгляды, этническая принадлежность, вероисповедание, генетические и биометрические данные и прочее). Также в регламенте прописано четыре основных действующих лица: субъект - гражданин ЕС, контролер - организация, которая определяет способ и цели обработки, оператор - обработчик данных и контролирующие органы, которые созданы в каждой стране ЕС. В целом же GDPR может применяться к тем, кто имеет компанию или официальное представительство в Евросоюзе. Также к украинским компаниям, чьи субъекты данных находятся в ЕС. Итак, за что же именно можно получить штраф и от чего зависит его размер? На эти вопросы ответила координатор группы IT и кибербезопасности юридической фирмы Sayenko Kharenko Дарина Сидоренко: «Санкции налагаются за нарушение защиты персональных данных, а именно – нарушение безопасности, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к персональным данным, переданным, сохраненным или иным образом обработанным компанией. При этом у имплементации GDPR помимо организационной стороны, есть не менее важная – техническая. Как защитить данные своих клиентов от утечки, какие технологии использовать для этого и чего компаниям требовать от своих служб ИТ-безопасности, рассказал R&D-директор компании «ИТ-Интегратор» Владимир Кург: «Хорошая новость в том, что в большинстве компаний работают системы защиты информации, которые можно просто правильно настроить для выполнения GDPR. С точки зрения масштаба разовой утечки самый большой риск – это резервная копия. Для минимизации угрозы нужно обязательно купить лицензию на шифрование резервных копий при создании». Также эксперт советует бороться с полными правами администраторов: «Нужно разделить роли на владельца, бекап-оператора (делает резервные копии) и хранителя ключей (выдает их для восстановления в нужное время). Также рабочие места администраторов должны быть изолированы, а съёмные носители - блокированы. Контроль потоков данных должен происходить через периметр корпоративной сети, поскольку резервные копии объёмны и их утечку легко отследить. Источник
Подробнее