Nasz poprzedni artykuł o omijaniu korporacyjnych zabezpieczeń IT spotkał się z gigantycznym odzewem. Dostaliśmy też ponad 100 maili z pytaniami o różne szczegóły (swoją drogą namawiamy do komentowania, nie musicie podawać swoich prawdziwych danych, a w ten sposób podzielicie się wiedzą również z innymi potrzebującymi).
Najczęściej powtarzały się 2 pytania: jak uniknąć podejrzeń ze strony pracodawcy, oraz jak się upewnić, że pracodawca nie zauważy wymiany dysku twardego w firmowym komputerze. Dzisiaj zajmiemy się odpowiedzią na pierwsze z nich.
Poniższe porady pochodzą głównie z porad FBI uzupełnionych o własne doświadczenia.
Kryteria potencjalnej nielojalności pracowników
Istnieje szereg typowych motywów lub sytuacji osobistych, które w przypadku danego pracownika mogą zwiększać prawdopodobieństwo zachowań niepożądanych z punktu widzenia pracodawcy:
- chciwość (wyższa od poziomu typowego dla pracowników na podobnych stanowiskach; np. dla handlowców typowa jest stosunkowo wysoka chciwość, a dla informatyków stosunkowo niska)
- potrzeby finansowe (choroba w rodzinie, hazard, niekontrolowane zadłużenie)
- chęć odwetu (najczęściej poprzedzona prawdziwą lub wyimaginowaną szkodą)
- brak spełnienia zawodowego (głównie u osób, których ambicje i samoocena przewyższają realne kwalifikacje, bądź obowiązki wynikające z zajmowanego stanowiska)
- niedogadywanie się z innymi pracownikami lub menedżerami
- brak satysfakcji z wykonywanej pracy
- planowana zmiana pracy lub obawa przed planowanym lub wyimaginowanym zwolnieniem z pracy
- bezinteresowna chęć pomocy komuś spoza własnej rodziny z pobudek ideologicznych lub politycznych
- jednoczesne zatrudnienie w innej firmie bądź uzyskiwanie przychodów z innego źródła
- chęć przeżycia przygody (utrzymująca się powyżej kilku godzin po wyjściu z kina)
- podatność na szantaż (romanse, hazard, oszustwa itp., również w przeszłości)
- samoocena nieadekwatnie wysoka do kwalifikacji, stanowiska i zarobków (często łączy się z brakiem spełnienia zawodowego)
- poczucie bycia ponad firmowymi zasadami
- przysługi robione innym pracownikom lub menedżerom (np. realizacja pewnych prac poza kolejnością albo z ominięciem ustalonych w firmie zasad)
- kompulsywne lub autodestrukcyjne zachowania, nałogi i wszelkiego rodzaju uzależnienia
- problemy rodzinne (rozwód, separacja, awantury z wizytami policji itp.)
- bycie świadkiem w sprawach sądowych dotyczących bliższej lub dalszej rodziny (konflikty rodzinne, konflikty spadkowe, powiązania przestępcze w rodzinie itp.)
Spełnianie przez pracownika jednego lub nawet wielu z powyższych kryteriów nie musi wcale oznaczać nieuczciwości wobec firmy. Co więcej, w polskich realiach większość pracowników spełnia w mniejszym lub większym stopniu przynajmniej kilka z nich. Celem tych kryteriów nie jest więc eliminacja pracowników spełniających któreś z nich, ale raczej budowanie profili poszczególnych pracowników i typowanie na ich podstawie osób, którym należy przyjrzeć się dokładniej w pierwszej kolejności.
Co powinieneś zrobić, aby uniknąć stania się taką osobą:
- stosuj zasadę „dwóch światów”, w myśl której firma i rodzina to dwa osobne światy, a informacje z jednego świata nie powinny nigdy przenikać do drugiego (z wyjątkiem tych, które stawiają Cię w pozytywnym świetle, pokazują Twój sukces itp.)
- pamiętaj, że zasada „dwóch światów” dotyczy również Twojego nastroju, min, gestykulacji, sposobu komunikowania się, kondycji psychicznej i fizycznej itp.
- staraj się robić w pracy dobrą minę do złej gry – zauważaj głównie pozytywne aspekty różnych sytuacji i decyzji, których jesteś podmiotem
- sprawiaj wrażenie, że Twoja praca sprawia Ci satysfakcję
- wracając do współpracowników ze spotkań z przełożonymi, staraj się mieć minę i postawę demonstrującą sukces
- demonstracyjnie stosuj się do firmowych zasad (ale z umiarem, aby nie skutkowało to negatywnymi kontaktami ze współpracownikami)
- gdy zostaniesz powołany na świadka w sprawie sądowej, rozważ wzięcie na ten dzień normalnego urlopu
Jednoznacznie podejrzane zachowania
Wykrycie któregoś z poniższych zachowań może skutkować rozpoczęciem regularnego i dokładnego przyglądania się działaniom pracownika przez dział bezpieczeństwa:
- wynoszenie poza siedzibę firmy, bez wyraźnej potrzeby i wcześniejszych uzgodnień, dysków twardych, pen drive’ów lub wydruków
- wyszukiwanie w firmowych systemach informacji na tematy niezwiązane z bieżącymi zadaniami
- zainteresowanie tematami niezwiązanymi z bieżącymi obowiązkami (głównie kodami źródłowymi, bazami danych i innymi materiałami o wysokiej wartości, a także wszelkimi informacjami dotyczącymi partnerów i/lub dostawców firmy, konkurencji, a często również klientów)
- niepotrzebne (bez pokrycia w bieżących zadaniach) kopiowanie informacji (głównie chronionych, o wysokiej wartości)
- nawiązywanie dostępu zdalnego do firmowych zasobów w czasie urlopów, chorób i w nietypowych godzinach
- nawiązywanie dostępu zdalnego z firmowego komputera do komputerów spoza firmy (np. należących do innej firmy)
- instalowanie na firmowym komputerze oprogramowania niezwiązanego z pracą (również darmowego, bądź płatnego, na które pracownik posiada prywatną licencję)
- próby otwierania stron intranetowych firmy i/lub wyszukiwania informacji, niezwiązanych z bieżącymi zadaniami, planowanymi lub możliwymi awansami itp.
- praca w nietypowych godzinach bez wyraźnej potrzeby i wcześniejszych uzgodnień
- entuzjazm dla pracy w nadgodzinach, w weekendy lub w nietypowych godzinach (np. w nocy)
- status majątkowy drastycznie odstający od zarobków (statystycznie większość małżeństw posiada kwalifikacje i dochody na w miarę zbliżonym poziomie)
- kontakty pozasłużbowe z pracownikami firm konkurencyjnych bądź partnerami lub dostawcami firmy
- przytłoczenie przez kryzysy życiowe, rodzinne, problemy w karierze itp.
- nadmierne zainteresowanie życiem osobistym współpracowników, zadawanie pytań dotyczących kwestii intymnych lub finansowych
- obawa przed byciem obserwowanym lub podsłuchiwanym, szukanie urządzeń lub programów podsłuchowych, zastawianie przynęt itp.
Co powinieneś zrobić, aby uniknąć podejrzeń:
- już od pierwszego dnia w pracy dyskretnie obserwuj firmowe zwyczaje: te powszechne, oraz te typowe dla Twojego działu i osób na podobnych stanowiskach
- jeśli masz problemy z ogarnięciem tak wielu informacji, rób notatki (koniecznie na papierze i najlepiej w domu, zaraz po powrocie z pracy)
- staraj się zachowywać w sposób zbieżny z zaobserwowanymi zwyczajami, dotyczy to również np. poziomu entuzjazmu, jaki powinieneś okazywać w poszczególnych sytuacjach
- jeśli chcesz korzystać np. z Facebooka, w a Twojej firmie nie jest to zwyczajem, kup sobie smartfona i korzystaj na nim (i odwrotnie: jeśli jest to zwyczajem, nawet wbrew istniejącym lecz powszechnie nieprzestrzeganym zakazom, korzystaj bez obaw)
- myśl, co robisz, co z tego będziesz mieć i czy na pewno ryzyko się opłaca – generalnie nie daj się „wziąć na celownik” przez jakiś nieprzemyślany wyskok
- staraj się zawsze mieć podkładkę dla wykonywanych czynności (ticket, mail ze zleceniem itp. zależnie od tego, czego się używa w Twojej firmie do zarządzania pracą)
- jeśli nawet masz fizyczny dostęp do danych np. na serwerze firmowym i chcesz je skopiować, przed wykonaniem tego zaaranżuj sytuację, która to uzasadni, np. zgłoszenie od klienta (niech je napisze inna osoba, aby miało inną stylistykę), w ramach obsługi którego będzie konieczne wykonanie jakiejś analizy i skopiowanie m.in. właśnie tych danych
- jeśli kopiujesz jakieś informacje na prywatne nośniki, po pierwsze je szyfruj, jeśli tylko jest to wykonalne w danej sytuacji, po drugie stosuj nośniki nie rzucające się w oczy (np. pen drive’y Emtec S200 albo Cruzer Fit, wyglądające na odbiornik od myszki bezprzewodowej)
- jeśli w ramach pracy jesteś fizycznie przeszukiwany na wejściu i wyjściu (lub losowo), zamiast pen drive’ów używaj kart MicroSD (są tak małe, że można je np. przykleić do ciała bezbarwną taśmą klejącą) i dyskretnych czytników, np. Hama 124025
- pamiętaj, że jeśli rzeczywiście jesteś monitorowany przez profesjonalistów, najczęściej jest to robione tak dyskretnie, że nie znajdziesz służących do tego urządzeń lub programów, dlatego zamiast ich szukać, po prostu zachowuj się, jakbyś był monitorowany i nie mów ani nie pisz niczego niewłaściwego w takiej sytuacji