Кибербезопасность для рекрутера: что нужно знать при работе с персональными данными

Twitter
Linkedin
Facebook
Telegram

Чтобы не говорили, но самое слабое звено в кибербезопасности — это человек. Ведь именно он решает, где и как хранить информацию, кому ее расшаривать, шифровать данные или нет и пр

Развитие Менеджмент

Чтобы не говорили, но самое слабое звено в кибербезопасности — это человек. Ведь именно он решает, где и как хранить информацию, кому ее расшаривать, шифровать данные или нет и пр. И именно из-за человека время от времени появляются новости наподобие «в выдачу попали тысячи файлов Google Docs». Но что поделать?! Такие уж мы — люди-человеки.
Давайте рассмотрим важные для рекрутера (для кого-то очевидные, а для кого-то и нет) моменты по обеспечению кибербезопасности, чтобы не быть тем самым слабым звеном.

Облако — хорошо или плохо?

Сейчас стало модно (да чего уж там — и удобно) хранить всевозможные данные в облаке, обеспечивая к ним доступ для клиентов и партнеров по паролям, подпискам и пр. И многие рекрутинговые агентства также пользуются этим IT-благом. А вот вам и свежий пример, когда облако может быть не во благо. В начале лета 2018 года крупное рекрутинговое агентство PageUp из Австралии (ее услугами пользуются компании со всего мира) было атаковано хакерами. В итоге в руки злоумышленников утекли тысячи анкет соискателей. А все благодаря тому, что компания организовала хранение данных в облаке с удобным доступом для клиентов и возможность интеграции в свои сервисы по API.


Еще один пример — утечка личных данных тысяч американских военных в сеть в сентябре 2017 года. И опять (простите) виноваты рекрутеры. Компания собирала данные о военных и хранила их угадайте где? Правильно, в облаке. Понятно, что от этого (в смысле от облака) никуда не уйти, особенно, если в вашей компании есть удаленные сотрудники. Поэтому, если вы используете такой вариант хранения персональных данных об android, ios разработчиках и других специалистах, будьте добры обеспечить безопасность информации облака на должном уровне.


Сформулировать минимум требований, необходимых для обеспечения защиты данных из облачных хранилищ, можно, например, проанализировав материал, написанный еще в 2014 году (и сейчас он на 100% актуален) главным евангелистом по безопасности известной компании Alert Logic Стивеном Коти. Хотите, можете сами изучить его, а хотите — пробегитесь глазами (и примите к сведенью, естественно) следующие тезисы, сформулированные нами на основе анализа этого материала:

  • Точно разберитесь с областями ответственности за безопасность данных — вашей и вашего поставщика услуг (провайдера). На вас — мониторинг, обнаружение вероятных угроз и оповещение об этом провайдера, управление доступом к данным, хранящимся в облаке, работа с используемыми приложениями (обновление, латание дыр в них и пр. ). На провайдере — защита от DDoS-атак, работоспособность типовых средств защиты и пр. Если нету четкого понимания, кто за что отвечает, о нормальной защите персональных данных ios разработчиков и иных IT-специалистов, с анкетами которых вы работаете, и речи быть не может.
  • Не пренебрегайте обновлениями ПО, плагинов и прочего инструментария. Лучше всего установить, если есть возможность автоматические обновления. Нормальные разработчики следят за своими «детищами» и вовремя реагируют на все вероятные угрозы.
  • Следите за логами. С их помощью вы получите ценную информацию об активности на ваших серверах и в облаках. Кстати, именно благодаря тому, что специалисты упомянутой выше компании PageUp обнаружили незарегистрированную активность, и была обнаружена утечка персональных данных.
  • Интересуйтесь вопросами безопасности и новостями в этой сфере. В качестве полезных ресурсов можно привести, например, SecurityFocus, Exploit Database и русскоязычный сайт securitylab.ru.

GDRP и прочие штуки

Помимо национальных документов, регламентирующих работу с персональными данными (это ведь тоже составная часть кибербезопасности), с мая 2018 года рекрутерам приходится учитывать и положения Общего регламента по защите данных GDPR (Regulation (EU) 2016/679). Документ весьма сложный и страшный (но только на первый взгляд).

И вас он касается, если среди клиентов (тех, кто ищет работу, или работодателя), чьи персональные вы обрабатываете, есть компании или физ. лица из ЕС.
Стоит ли бояться этого нововведения? Нет, не нужно. Просто уделите время (но готовьтесь к тому, что его потребуется немало) изучению положений регламента и введению их в обиход своей компании. Если не вдаваться в подробности (но это делать вам все же в вам последующем придется), то основные направления, в которых придется поработать, следующие:

  • Разработка внутренних политик защиты данных.
  • Обучение персонала работе в соответствии GDPR.
  • Организация проверок деятельности по обработке данных.
  • Внедрение и ведение документации по процессам обработки персональных данных в соответствии с регламентом.
  • Внедрение мер по встроенной системе конфиденциальности.

Не кисло, да? Но никуда от этого не деться, если работаешь на Европейском рынке. Если попасть на GDPR, мало не покажется. Штрафы здесь предусмотрены просто космические — до 20 000 000 евро или 4% от годового глобального дохода.

Театр начинается с вешалки, а кибербезопасность — с вас

Можно говорить о составляющих кибербезопасности вечно. Но лучше же действовать! Давайте определим некий must have, который позволит вам быть уверенным (или хотя бы надеяться), что персональные (и не только) данные, с которыми вам приходиться работать, как рекрутеру, находятся в безопасности.

Работа с паролями

Многие специалисты не рекомендуют пользоваться генераторами паролей. Другие же — наоборот. И если вы прислушаетесь ко вторым, выбирайте ПО от проверенных разработчиков (например, от создателей антивирусов).


В результате многолетних споров (и даже NIST, который в свое время активно тролили из-за нелепых рекомендаций по созданию паролей, с этим согласился) специалисты пришли к выводу, что оптимальный вариант — не менее 8 символов в пароле. При этом важно, чтобы в нем было как можно больше видов символов: буквы в разных регистрах, цифры, специальные знаки и пр. И да, если вы записываете пароли на бумаге, потрудитесь спрятать ее так, чтобы никто не нашел.

Разграничение личного и рабочего

Многие компании практикуют запрет на использование личных смартфонов и компьютерной техники для рабочих целей (и наоборот). А ведь это решение вполне себе правильное. Мало ли по каким сайтам вы бродите в личное время, и какую заразу можете зацепить.

Использование нескольких факторов аутентификации

Помимо ввода пароля для доступа в рабочую систему или к БД можно параллельно внедрить и другие способы. Их сегодня масса — от ответа на контрольный вопрос, до SMS-авторизации и считывания отпечатка пальца. И большинство провайдеров и разработчиков ПО дают такие возможности.

Современное обновление ПО

Мы уже говорили об этом, рассматривая облака. Обновления нужны любому используемому вами ПО. Следите за этим.


И еще. Неплохо было бы сотрудничать с каким-нибудь «белым» хакером. Далеко не все специалисты, называемые этим страшным словом, являются злыми. Очень многие работают как раз во благо.

Инфо
Автор: INDIGO Tech Recruiters
2268 Просмотров
10.08.2018
Похожие статьи
6 способов сделать свою компанию максимально приятным местом для работы
По результатам опроса на ДОУ, IT-специалисты высоко ценят профессиональный рост. Именно ради него 54% опрошенных выбрали сферу IT..
Добро ли пожаловал: чек-лист для «правильной» адаптации новичков
Как помочь человеку пройти тернистый путь ньюкамера, быстрее влиться в команду и выйти на нужный уровень продуктивности? Рекрутинговое агентство Indigo подготовило удобны..
«Твоя личность сливается с твоим стартапом: если все хорошо – и тебя драйвит, если плохо – ты тоже “падаешь”»: интервью с Александром Дятловым, General Manager Ukraine в Very Good Security
Сфера защиты чувствительных данных становится все перспективнее. На каком участке этот «океан» пока голубой? На какие еще ниши обратить внимание стартаперам, чтобы улетет..
Прожить 6 месяцев без зарплаты: главный аналитик HUG’s рассказал о грамотном инвестировании
Финансовая грамотность — тот скилл, которого часто не хватает даже опытным профессионалам в своем деле. Мы поговорили о ней с главным аналитиком робоэдвайзера HUG'S Арте..
Обзор зарплат Product Roles в украинских IT компаниях
СЕО Екатерина Осадчук и команда INDIGO Tech Recruiters провели обзор заработных плат для Product Roles в IT. Напомним, что ежегодно мы выпускаем обзор заработных плат C-L..
ЗОЖ для офисного планктона: как поощрить заботу о здоровье в коллективе, и не облажаться
В СНГ отношение к проблемам со здоровьем - всегда “внезапно”. Рак, гипертонический криз и позвоночная грыжа наступают как снег для коммунальных служб зимой. Но все эти бо..
«Философия очень проста: не владей, а имей»: Максим Соловьев, основатель sharing economy сервисов Carbar и Apple4Teams
Команда Indigo Tech Recruiters узнала у фаундера – Максима Соловьева, чем выгодны такие решения, как оценить благонадежность потенциального клиента по его социальному кап..
«Не ждать «озарения» свыше, а делать шажки каждый день, собирать свою “инновационную фишку” из небольших, но эффективных составляющих»: Максим Слободянюк, основатель Nika Tech Family
Это интервью мы взяли у Максима до ситуации с пандемией и, кажется, наступает время, когда компании начинают возвращаться к прежнему режиму, а кто-то и расти..
НЕ СМЕШНО. Почему рекрутеры пишут плохие стихи
“В день чудесный, день пригожий постучалась к Вам сюда” (с), чтобы быстренько сказать пару слов о том, как креативит отечественный рекрутер. А креативит он беспощадно, не..
HR-аудит своими силами: 9 «чекпоинтов», которые помогут понять, как улучшить работу с людьми
Если прямо сейчас вы присмотритесь к процессам в компании: что работает хорошо? А что, пожалуй, стоит изменить, чтобы работа шла легче и эффективнее?..
IT-FEST in UKRAINE #it-fest
IT Fest — это 20 докладов в 7 разных направлениях от 14 спикеров уровня senior для 2500 участников. Мероприятие нацелено на начинающих карьеру в IT и тех, кто только заду..
Обзор зарплат Project Managers в украинских IT компаниях
СЕО Екатерина Осадчук и команда INDIGO Tech Recruiters провели обзор заработных плат для Product Roles в IT. В прошлом обзоре мы показали зарплаты Product Managers и Prod..
Рекомендательное письмо: структура, правила написания, примеры
Рекомендательное письмо понадобится при трудоустройстве, подаче заявке на стажировку в известную компанию и для рабочей иммиграции. Разбираемся, как написать рекомендател..
Тестировщик программного обеспечения: где учиться?
Мы собрали 10 лучших курсов тестировщиков, которые помогут освоить профессию или повысить квалификацию. В подборке — онлайн-программы, очные курсы в Украине, стажировки в..
Как бренд работодателя поможет успешно закрывать вакансии
Что такое HR-бренд компании, как создать привлекательный бренд работодателя и заставить Employee Experience работать на себя — да и зачем это, собственно надо?..