Кадровая безопасность организации: как защитить бизнес от своих сотрудников

Утечка клиентских баз, продажа коммерческой тайны, саботаж, хищения, халатность — всё это делают не внешние хакеры, а свои же сотрудники. Иногда по злому умыслу, иногда по глупости или невнимательности. Кадровая безопасность организации — это не тотальная слежка и не недоверие к персоналу. Это система правил, процедур и контроля, которая минимизирует риски, исходящие от людей внутри компании. Разбираем, из чего она состоит и как внедрить её без вреда для рабочей атмосферы.

Что такое кадровая безопасность и зачем она нужна

Кадровая безопасность — это комплекс мер по управлению персоналом, направленных на предотвращение ущерба от действий (или бездействия) сотрудников. Ущерб может быть материальным (кража денег, товаров, оборудования), репутационным (слив компромата, глупый пост в соцсетях) или юридическим (нарушение законов, за которые штрафуют компанию).

Согласно исследованиям, до 70–80% инцидентов с утечкой данных происходят по вине инсайдеров — действующих или уволенных сотрудников. При этом далеко не все они действуют злонамеренно. Часто человек просто не знает, что нельзя пересылать коммерческое предложение на личную почту, или теряет флешку с отчетами.

Задачи кадровой безопасности:

• не допустить в компанию «неблагонадёжных» кандидатов;
• мотивировать лояльных сотрудников не навредить (даже случайно);
• выявлять и пресекать злоупотребления на ранних стадиях;
• обеспечить защиту конфиденциальной информации;
• минимизировать последствия увольнения опасных сотрудников.

Важно: кадровая безопасность — не про шпиономанию и тотальный контроль. Избыточная подозрительность убивает корпоративную культуру. Нужен баланс.

Угрозы, исходящие от персонала: кто и как вредит

Всех «вредителей» можно разделить на несколько типов.

Злоумышленники (инсайдеры по умыслу)

Люди, которые пришли в компанию с целью наживы или из мести. Это могут быть «подсадные утки» от конкурентов, обиженные бывшие сотрудники с доступом, или те, кого перекупили. Они сознательно воруют базы, передают коммерческие тайны, портят оборудование.

Как их распознать: слишком активный интерес к информации, не по должности; попытки обойти систему контроля; резкая смена поведения перед увольнением.

Неосторожные и безответственные

Самый массовый тип. Человек не хочет навредить, но ему лень думать о безопасности. Он оставляет пароль на стикере на мониторе, скачивает файлы на личную флешку, обсуждает клиентов в лифте, пересылает коммерческие данные в мессенджеры. Результат — утечка по глупости.

Борьба: обучение, простые и понятные правила, технические ограничения (нельзя скопировать на флешку, нельзя отправить на личную почту).

Нелояльные и демотивированные

Работают формально, делают минимум, саботируют решения руководства, могут «забыть» важное письмо или «случайно» слить конкурентам информацию. Прямого умысла нет, но ущерб огромен — срывы сроков, потеря клиентов, ухудшение качества.

Причина: низкая зарплата, плохой климат, отсутствие карьерных перспектив. Лечится мотивацией, а не контролем.

Коррупционеры и откатчики

Закупщики, снабженцы, логисты, которые получают «откаты» от поставщиков, завышая цены или выбирая не лучших партнёров. Ущерб — прямые финансовые потери и некачественные материалы/услуги.

Выявляются через контроль закупок, ротацию, анализ цен, внутренний аудит.

Карьеристы-дезинформаторы

Распускают слухи, плетут интриги, подсиживают коллег, чтобы продвинуться. Прямого ущерба деньгам нет, но разрушается команда, текучка растёт, лучшие сотрудники уходят.

Методы борьбы: прозрачная система карьерного роста, работа с HR, быстрая выгонка токсичных сотрудников.

Этапы обеспечения кадровой безопасности

Безопасность обеспечивается на всём цикле работы с персоналом — от найма до увольнения и даже после.

1. Найм и проверка кандидатов

Ошибка на входе обходится дороже всего. Плохой сотрудник может нанести ущерб до того, как его уволят.

Что делать:

• Собеседование с акцентом на «тёмные» вопросы: почему ушли с прошлого места, были ли конфликты, как относятся к неоплачиваемым переработкам, что думают о воровстве на работе (в проективных вопросах).
• Проверка рекомендаций: звонить не только тем, кого дал кандидат, но и находить другие контакты (например, HR прошлого места через LinkedIn).
• Проверка судимостей и благонадёжности: для некоторых должностей (финансисты, кассиры, водители инкассации) — обязательно. Но с согласия кандидата и в рамках закона.
• Проверка на полиграфе (детекторе лжи): для топ-менеджеров, казначеев, руководителей безопасности. В России закон не запрещает, но нужно письменное согласие. Не панацея, но фильтрует явных негодяев.
• Оформление обязательства о неразглашении коммерческой тайны (NDA): подписывается до допуска к секретной информации.

2. Адаптация и ввод в должность

Сразу после найма нужно не только провести обучение навыкам, но и «прокачать» культуру безопасности.

• Инструктаж по безопасности: что можно, что нельзя, как хранить пароли, куда сообщать о подозрительных событиях.
• Подписание внутренних документов: правила работы с конфиденциальной информацией, IT-политика (запрет на личные флешки, установку софта), положение о коммерческой тайне.
• Знакомство с санкциями: что будет за нарушение — от выговора до увольнения и суда.
• Персональная ответственность: назначение ответственного за имущество, технику, доступы.

3. Контроль во время работы

Самая объёмная часть. Здесь важно не перегнуть — люди не должны чувствовать себя в тюрьме.

Технические меры (в зоне ответственности IT и ИБ):

• контроль доступа к информации (ролевая модель — каждый видит только то, что нужно для работы);
• запрет на копирование на внешние носители (USB-блокировка);
• контроль отправки почты (фильтры на вложения с коммерческой тайной);
• DLP-системы (Data Loss Prevention) — отслеживают подозрительные действия: копирование больших объёмов, отправка на личную почту, печать документов ночью; (требуют осторожного внедрения, чтобы не нарушить права сотрудников).
• журналирование всех действий в критических системах (кто, когда, что смотрел/менял).

Организационные меры:

• разделение обязанностей (один заказывает, другой принимает, третий платит);
• регулярные инвентаризации (внезапные, а не только перед отчётом);
• внутренний аудит (проверка закупок, документов, соблюдения регламентов);
• «контрольные закупки» и тайный покупатель (для розницы и сервиса);
• анонимный канал для сообщений о нарушениях (hotline, ящик, email).

Работа с лояльностью (профилактика):

• достойная оплата и бонусы за сохранение тайны;
• открытость руководства (чем меньше секретов для сотрудников, тем меньше сплетен);
• комфортная атмосфера (обиженные сотрудники опаснее любых конкурентов);
• обучение и разъяснение (как угрозы выглядят в реальности).

4. Увольнение — самый опасный момент

По статистике, 50% утечек происходят в течение 3 месяцев после увольнения или когда сотрудник уже решил уйти.

Правила безопасного увольнения:

• Если сотрудник уходит сам: на время отработки ограничить доступ к конфиденциальным данным, забрать пропуск и ключи в последний день, провести exit-интервью (почему уходит, есть ли обиды, не уносит ли базы).
• Если увольняете за нарушение: лучше сделать это «одним днём» (выплатить компенсацию и попрощаться сразу), без отработки. Озлобленный человек с доступом в систему — бомба замедленного действия.
• После увольнения: отключить все доступы в день увольнения (не в последний час, а с утра). Забрать корпоративный телефон, ноутбук, флешки, документы. Сменить пароли, к которым он имел доступ. Напомнить об обязательствах по NDA (они действуют и после ухода).
• Для особо важных должностей: внести в договор «gardening leave» — оплачиваемый период (1–3 месяца), когда сотрудник не работает, но получает зарплату, а вы спокойно меняете доступы и проверяете его действия за последние полгода.

Юридические аспекты: что можно, а что нельзя

Кадровая безопасность ограничена законом. Нарушать права сотрудников нельзя — это приведёт к судам, штрафам и репутационным потерям.

Что закон разрешает:

• видеонаблюдение на рабочих местах (с предупреждением);
• контроль рабочей почты и интернет-трафика на корпоративных устройствах (с уведомлением сотрудников);
• проверку сумок и личных вещей на выходе (если это прописано в трудовом договоре и локальных актах, а проверка однотипна для всех);
• увольнение за разглашение коммерческой тайны (если она официально утверждена, а сотрудник под подпись с ней ознакомлен);
• полиграф (с письменного согласия, без угроз и принуждения).

Что закон запрещает:

• слежку за сотрудниками вне работы (через соцсети, геолокацию личного телефона);
• прослушку переговоров (кроме тех, что ведутся по корпоративной связи с уведомлением);
• сбор биометрических данных без согласия (отпечатки пальцев для прохода — нужно разрешение);
• отказ в приёме на работу по дискриминационным признакам (возраст, пол, национальность), но проверка судимости для кассира — законна.

Любые меры контроля должны быть прописаны в локальных нормативных актах (Положение о коммерческой тайне, Правила внутреннего трудового распорядка, Политика информационной безопасности). Сотрудники должны быть с ними ознакомлены под подпись при приёме на работу.

Кто отвечает за кадровую безопасность

Это не работа одного человека или отдела. Это распределённая ответственность.

• HR-служба: проверка кандидатов, адаптация, обучение культуре безопасности, exit-интервью.
• Служба безопасности (если есть): разработка политик, внутренние расследования, контроль закупок, работа с инсайдами, полиграф.
• IT и ИБ: технические меры — DLP, контроль доступа, блокировка носителей, мониторинг.
• Юристы: оформление документов (NDA, согласия на обработку), сопровождение увольнений, суды.
• Руководители подразделений: контроль за своими подчинёнными, своевременное информирование о подозрительном поведении.
• Руководитель компании: задаёт тон («безопасность важна»), утверждает политики, выделяет бюджет.

Важно: у службы безопасности не должно быть права увольнять или наказывать сотрудников — только фиксировать факты и передавать материалы руководителю или HR.

Типичные ошибки в кадровой безопасности

Даже в крупных компаниях эти грабли встречаются регулярно.

• Экономия на проверках при найме: «срочно нужен человек, проверим потом». Потом оказывается, что он пришёл от конкурента с копией базы, и через месяц ваша клиентская база продана.
• Игнорирование малозначительных нарушений: «подумаешь, флешку свою подключил». А через год этот сотрудник увольняется и спокойно уносит всё на той же флешке, потому что привык.
• Тотальная слежка без объяснения причин: сотрудники начинают искать обходные пути, ненавидеть руководство, лояльность падает до нуля. Ущерб от демотивации перекрывает выгоду от контроля.
• Непродуманная система доступа: бывший сотрудник через полгода после увольнения всё ещё имеет доступ к CRM. Классика.
• Отсутствие документальной базы: пытаются уволить за разглашение коммерческой тайны, а её перечень не утверждён, и сотрудник его не подписывал. В суде компания проигрывает.
• Надежда только на «железо» и ПО: купили DLP, успокоились. А DLP не спасёт, если менеджер вручную перепечатывает базу в блокнот и выносит на листе бумаги. Нужны и процедуры, и культура.

Как внедрить систему кадровой безопасности с нуля

Если у вас маленькая компания или ничего этого нет, не надо пытаться сделать всё сразу. Алгоритм:

Шаг 1. Оцените риски. Какая информация для вас самая ценная? Клиентские базы? Ноу-хау? Прейскуранты? Схемы поставок? Кто из сотрудников к ней имеет доступ? Что страшнее — кража, утечка или саботаж?

Шаг 2. Начните с документов. Разработайте простые правила: что считается коммерческой тайной, как работать с документами, как хранить пароли, что нельзя делать на работе. Дайте подписать всем.

Шаг 3. Внедрите базовые технические меры: блокировка USB-портов на критичных ПК, контроль почты (хотя бы предупреждение «письмо уходит за пределы домена»), журналы доступа к важным системам.

Шаг 4. Обучите сотрудников. Проведите ликбез: что можно, что нельзя, куда сообщать о подозрениях. Лучше в виде живого тренинга, а не сухого документа.

Шаг 5. Назначьте ответственных. Кто принимает решение о блокировке доступа? Кто проводит расследование? Кто подписывает NDA?

Шаг 6. Начните проверять. Сделайте внезапную инвентаризацию в отделе, который кажется рискованным. Посмотрите логи. Проверьте, как соблюдаются правила.

Шаг 7. Отреагируйте на первое нарушение. Если нарушение мелкое — предупреждение и повторное обучение. Если крупное — увольнение и передача в полицию. Безнаказанность убивает безопасность.

Шаг 8. Постоянно улучшайте. Раз в полгода пересматривайте риски, обновляйте документы, проводите повторные инструктажи. Безопасность — не проект, а процесс.

Чек-лист: всё ли в порядке с кадровой безопасностью

Проверьте себя по пунктам. Если на большинство ответов «нет», пора что-то менять.

• При найме: проверяете ли рекомендации (не формально, а реально)? Подписывают ли кандидаты NDA до доступа к информации? Проверяете ли судимости для материально ответственных?
• В работе: есть ли список коммерческой тайны, с которым ознакомлены все? Запрещены ли личные флешки на рабочих ПК? Отслеживаются ли подозрительные действия (копирование, пересылка)? Проводятся ли внезапные инвентаризации?
• При увольнении: отключаются ли доступы в последний день (а не через неделю)? Забираются ли ключи, пропуск, техника? Проводится ли exit-интервью?
• Общее: есть ли анонимный канал для сообщений о нарушениях? Проводится ли обучение безопасности (не раз в год для галочки)? Знают ли сотрудники, что будет за нарушение?

Коротко: главное о кадровой безопасности

Резюмируем для руководителей, которые хотят защитить бизнес без паранойи.

• Главные угрозы — не внешние хакеры, а свои же сотрудники. Злые, глупые, неосторожные или обиженные.
• Кадровая безопасность — это система, а не набор запретов. Она включает проверки при найме, контроль на работе, безопасное увольнение.
• Баланс — ключевое слово. Избыточный контроль убивает лояльность и культуру. Недостаточный — ведёт к утечкам.
• Лучшая защита — лояльные сотрудники. Которые понимают, зачем нужны правила, и соблюдают их добровольно. Достигается через достойную оплату, уважение и открытость.
• Все меры контроля должны быть законны и задокументированы. Иначе суд будет на стороне сотрудника.
• Начинайте с малого: определите ценные данные, введите простые правила, обучите людей. Со временем наращивайте систему.

Кадровая безопасность — это не про тотальную слежку и не про «все вокруг враги». Это про разумную предусмотрительность. Как замок на входной двери: он не гарантирует, что не ограбят, но сильно снижает вероятность. И, в отличие от голых стен, не вызывает у домочадцев желания сжечь квартиру.