Кибербезопасность для рекрутера: что нужно знать при работе с персональными данными

Twitter
Linkedin
Facebook
Telegram

Чтобы не говорили, но самое слабое звено в кибербезопасности — это человек. Ведь именно он решает, где и как хранить информацию, кому ее расшаривать, шифровать данные или нет и пр

Розвиток Менеджмент

Чтобы не говорили, но самое слабое звено в кибербезопасности — это человек. Ведь именно он решает, где и как хранить информацию, кому ее расшаривать, шифровать данные или нет и пр. И именно из-за человека время от времени появляются новости наподобие «в выдачу попали тысячи файлов Google Docs». Но что поделать?! Такие уж мы — люди-человеки.
Давайте рассмотрим важные для рекрутера (для кого-то очевидные, а для кого-то и нет) моменты по обеспечению кибербезопасности, чтобы не быть тем самым слабым звеном.

Облако — хорошо или плохо?

Сейчас стало модно (да чего уж там — и удобно) хранить всевозможные данные в облаке, обеспечивая к ним доступ для клиентов и партнеров по паролям, подпискам и пр. И многие рекрутинговые агентства также пользуются этим IT-благом. А вот вам и свежий пример, когда облако может быть не во благо. В начале лета 2018 года крупное рекрутинговое агентство PageUp из Австралии (ее услугами пользуются компании со всего мира) было атаковано хакерами. В итоге в руки злоумышленников утекли тысячи анкет соискателей. А все благодаря тому, что компания организовала хранение данных в облаке с удобным доступом для клиентов и возможность интеграции в свои сервисы по API.


Еще один пример — утечка личных данных тысяч американских военных в сеть в сентябре 2017 года. И опять (простите) виноваты рекрутеры. Компания собирала данные о военных и хранила их угадайте где? Правильно, в облаке. Понятно, что от этого (в смысле от облака) никуда не уйти, особенно, если в вашей компании есть удаленные сотрудники. Поэтому, если вы используете такой вариант хранения персональных данных об android, ios разработчиках и других специалистах, будьте добры обеспечить безопасность информации облака на должном уровне.


Сформулировать минимум требований, необходимых для обеспечения защиты данных из облачных хранилищ, можно, например, проанализировав материал, написанный еще в 2014 году (и сейчас он на 100% актуален) главным евангелистом по безопасности известной компании Alert Logic Стивеном Коти. Хотите, можете сами изучить его, а хотите — пробегитесь глазами (и примите к сведенью, естественно) следующие тезисы, сформулированные нами на основе анализа этого материала:

  • Точно разберитесь с областями ответственности за безопасность данных — вашей и вашего поставщика услуг (провайдера). На вас — мониторинг, обнаружение вероятных угроз и оповещение об этом провайдера, управление доступом к данным, хранящимся в облаке, работа с используемыми приложениями (обновление, латание дыр в них и пр. ). На провайдере — защита от DDoS-атак, работоспособность типовых средств защиты и пр. Если нету четкого понимания, кто за что отвечает, о нормальной защите персональных данных ios разработчиков и иных IT-специалистов, с анкетами которых вы работаете, и речи быть не может.
  • Не пренебрегайте обновлениями ПО, плагинов и прочего инструментария. Лучше всего установить, если есть возможность автоматические обновления. Нормальные разработчики следят за своими «детищами» и вовремя реагируют на все вероятные угрозы.
  • Следите за логами. С их помощью вы получите ценную информацию об активности на ваших серверах и в облаках. Кстати, именно благодаря тому, что специалисты упомянутой выше компании PageUp обнаружили незарегистрированную активность, и была обнаружена утечка персональных данных.
  • Интересуйтесь вопросами безопасности и новостями в этой сфере. В качестве полезных ресурсов можно привести, например, SecurityFocus, Exploit Database и русскоязычный сайт securitylab.ru.

GDRP и прочие штуки

Помимо национальных документов, регламентирующих работу с персональными данными (это ведь тоже составная часть кибербезопасности), с мая 2018 года рекрутерам приходится учитывать и положения Общего регламента по защите данных GDPR (Regulation (EU) 2016/679). Документ весьма сложный и страшный (но только на первый взгляд).

И вас он касается, если среди клиентов (тех, кто ищет работу, или работодателя), чьи персональные вы обрабатываете, есть компании или физ. лица из ЕС.
Стоит ли бояться этого нововведения? Нет, не нужно. Просто уделите время (но готовьтесь к тому, что его потребуется немало) изучению положений регламента и введению их в обиход своей компании. Если не вдаваться в подробности (но это делать вам все же в вам последующем придется), то основные направления, в которых придется поработать, следующие:

  • Разработка внутренних политик защиты данных.
  • Обучение персонала работе в соответствии GDPR.
  • Организация проверок деятельности по обработке данных.
  • Внедрение и ведение документации по процессам обработки персональных данных в соответствии с регламентом.
  • Внедрение мер по встроенной системе конфиденциальности.

Не кисло, да? Но никуда от этого не деться, если работаешь на Европейском рынке. Если попасть на GDPR, мало не покажется. Штрафы здесь предусмотрены просто космические — до 20 000 000 евро или 4% от годового глобального дохода.

Театр начинается с вешалки, а кибербезопасность — с вас

Можно говорить о составляющих кибербезопасности вечно. Но лучше же действовать! Давайте определим некий must have, который позволит вам быть уверенным (или хотя бы надеяться), что персональные (и не только) данные, с которыми вам приходиться работать, как рекрутеру, находятся в безопасности.

Работа с паролями

Многие специалисты не рекомендуют пользоваться генераторами паролей. Другие же — наоборот. И если вы прислушаетесь ко вторым, выбирайте ПО от проверенных разработчиков (например, от создателей антивирусов).


В результате многолетних споров (и даже NIST, который в свое время активно тролили из-за нелепых рекомендаций по созданию паролей, с этим согласился) специалисты пришли к выводу, что оптимальный вариант — не менее 8 символов в пароле. При этом важно, чтобы в нем было как можно больше видов символов: буквы в разных регистрах, цифры, специальные знаки и пр. И да, если вы записываете пароли на бумаге, потрудитесь спрятать ее так, чтобы никто не нашел.

Разграничение личного и рабочего

Многие компании практикуют запрет на использование личных смартфонов и компьютерной техники для рабочих целей (и наоборот). А ведь это решение вполне себе правильное. Мало ли по каким сайтам вы бродите в личное время, и какую заразу можете зацепить.

Использование нескольких факторов аутентификации

Помимо ввода пароля для доступа в рабочую систему или к БД можно параллельно внедрить и другие способы. Их сегодня масса — от ответа на контрольный вопрос, до SMS-авторизации и считывания отпечатка пальца. И большинство провайдеров и разработчиков ПО дают такие возможности.

Современное обновление ПО

Мы уже говорили об этом, рассматривая облака. Обновления нужны любому используемому вами ПО. Следите за этим.


И еще. Неплохо было бы сотрудничать с каким-нибудь «белым» хакером. Далеко не все специалисты, называемые этим страшным словом, являются злыми. Очень многие работают как раз во благо.

Інфо
Автор статті: INDIGO Tech Recruiters
2269 Переглядів
10.08.2018
Схожі статті
Огляд рівня заробітних плат для C-level на ринку українського IT в 2022 році
Як війна в країні вплинула на рівень доходу та мотивацію топ-менеджерів українського ІТ – про це у нашому новому огляді зарплат...
6 способів зробити свою компанію максимально приємним місцем для роботи
За результатами опитування на ДОУ, IT-фахівці високо цінують професійне зростання. Саме задля нього 54% ​​опитаних обрали сферу ІТ..
Чи ласкаво просимо: чек-лист для «правильної» адаптації новачків
Знайти IT-талант – це вже завдання із зірочкою, але рано зітхати з полегшенням. Як допомогти людині пройти тернистий шлях ньюкамера, якнайшвидше влитися в команду і вийти..
«Твоя особистість зливається з твоїм стартапом: якщо все добре – і тебе драйвить, якщо погано – ти теж "падаєш"»: інтерв'ю з Олександром Дятловим, General Manager Ukraine у Very Good Security
Сфера захисту чутливих даних стає все перспективнішою (sensitive data – це, наприклад, біометричні дані, інформація про здоров'я, фінанси та інші особисті відомості). У я..
Прожити 6 місяців без зарплати: головний аналітик HUG's розповів про грамотне інвестування
Фінансова грамотність — той скілл, якого часто не вистачає навіть досвідченим професіоналам у своїй справі. Ми поговорили про неї з головним аналітиком робоедвайзера HUG'..
Крізь вогонь, воду й фазу штормінгу: 5 стадій розвитку команди
Безліч концепцій описують динаміку розвитку груп. Простою та зручною для використання на практиці ми, команда IT рекрутерів Indigo, вважаємо теорію, запропоновану америк..
«Любов з першого погляду», або як Indigo з випускниками школи «Hillel» спілкувались :)
Між собою ми жартома вирішили що зустріч була схожа нателешоу «Любов з першого погляду» :). Випускники школи мали можливість поспілкуватись з HR’ами і рекрутерами і запит..
Огляд зарплат Product Roles в українських IT-компаніях
СЕО Катерина Осадчук і команда INDIGO Tech Recruiters провели огляд заробітних плат для Product Roles в IT. Нагадаємо: щорічно ми випускаємо огляд заробітних плат C-Level..
Почути головне: 8 порад щодо оцінки цінностей топ-кандидата
Ціна помилки при наймі топ-менеджера вкрай висока і може коштувати бізнесові самого бізнесу. Окрім досвіду, знань та навичок, при executive search особливу увагу слід при..
ЗСЖ для офісного планктону: як заохотити турботу про здоров'я у колективі, та не облажатися
У СНД ставлення до проблем зі здоров'ям – завжди “раптово”. Рак, гіпертонічний криз та хребетна грижа наступають як сніг для комунальних служб узимку. Але всі ці хвороби ..
"Філософія дуже проста: не володій, а май": Максим Соловйов, засновник sharing economy сервісів Carbar і Apple4Teams
Команда Indigo – Tech Recruiters дізналася у фаундера – Максима Соловйова, чим вигідні такі рішення, як оцінити благонадійність потенційного клієнта за його соціальним ка..
«Не чекати на «осяяння» згори, а робити кроки щодня, збирати свою “інноваційну фішку” з невеликих, але ефективних складових»: Максим Слободянюк, засновник Nika Tech Family
Це інтерв'ю ми взяли у Максима до ситуації з пандемією і, здається, настає час, коли компанії починають повертатися до колишнього режиму, а хтось і зростатиме..
Штучний інтелект замість боса, фахівці з різноманіття та бебі-бумери на заміну «зетам»: рекрутингові тренди нової декади 
Про тенденції в своїй галузі наприкінці року не пише хіба що лінивий, а оскільки ми з it recruitment agency Indigo — невтомні бджілки, вирішили і собі проаналізувати, чо..
НЕ СМІШНО. Чому рекрутери пишуть погані вірші
“У день чудовий, день пригожий постукала до Вас сюди” (с), щоб швиденько сказати пару слів про те, як креативіт вітчизняний рекрутер. А креативіт він нещадно, несамовито,..
Бермудські трикутники: 9 небезпечних зон, де ми втрачаємо кандидатів 
Чому замість черги кандидатів під офісом гуляє тільки вітер? В процесі рекрутингу є безліч етапів, коли пул пошукачів поступово зменшується, і в результаті на співбесіді,..