Как выбрать и внедрить систему учёта рабочего времени и контроля эффективности персонала

Как выбрать и внедрить систему учёта рабочего времени и контроля эффективности персонала

Какими функциями располагают системы контроля эффективности персонала и учёта рабочего времени (Employee Monitoring), какие есть сценарии их применения? В чём состоит их отличие от DLP (Data Leak Prevention)? Как правильно выбирать и внедрять такие системы?

 

 

 

 

 

  1. Введение
  2. Для чего нужны системы контроля действий сотрудников
  3. Функциональные возможности систем Employee Monitoring
  4. Практика использования систем контроля рабочего времени
  5. Тенденции рынка
  6. Выводы

Введение

Проект AM Live продолжает собирать в студии Anti-Malware.ru ведущих экспертов по информационной безопасности для обсуждения наиболее актуальных и интересных для отечественного рынка тем. Очередной прямой эфир был посвящён системам контроля действий сотрудников (Employee Monitoring). Для чего нужно контролировать действия сотрудников? Как выбирать специализированные решения для мониторинга активности персонала и чем они могут помочь руководителю компании? Этично ли следить за пользователями? Эти и другие вопросы мы задали нашим спикерам.

Рекомендуем ознакомится с нашим обзором систем контроля эффективности персонала и учета рабочего времени, в котором мы рассматривали тенденции мирового и российского рынка и анализировали популярные системы этого класса: StaffCop Enterprise, Стахановец, LanAgent, Kickidler, SearchInform TimeInformer, Falcongaze SecureTower, Mipko Employee Monitor и Terminal Monitor, Bitcop Security, CrocoTime. Также мы проводили детальное сравнение систем контроля эффективности персонала и учета рабочего времени, которое поможет сориентироваться при их выборе.

Гости онлайн-конференции:

  • Александр Канатов, CEO компании «Стахановец».
  • Дмитрий Кандыбович, генеральный директор компании StaffCop.
  • Антон Дедков, руководитель проектов компании «СёрчИнформ».
  • Андрей Арефьев, директор по инновационным проектам компании InfoWatch.

Модератор дискуссии и ведущий — Илья Шабанов, генеральный директор аналитического центра Anti-Malware.ru.

 

 

Для чего нужны системы контроля действий сотрудников

В начале беседы мы предложили нашим гостям высказать мнения о том, для чего нужны решения класса Employee Monitoring. Является ли слежка за сотрудниками главной целью и ключевой функцией таких систем или же они не имеют ничего общего со «шпионскими» техниками?

Дмитрий Кандыбович:

— Такие системы решают гораздо более широкий круг задач, нежели «подглядывание» за персоналом. Агенты решений класса Employee Monitoring могут собирать различную информацию для самых разных целей. Движение документов и информации — для офицеров информационной безопасности, контроль дисциплины и учёт рабочего времени — для HR-службы и линейных руководителей, события ИТ-системы — для расследования инцидентов силами ИТ-департамента.

Антон Дедков:

— Программным обеспечением для контроля действий сотрудников в компании могут пользоваться самые разные люди — HR, руководители, служба экономической безопасности. Кто-то при помощи таких систем будет оценивать эффективность работы сотрудника на основании еженедельных отчётов. Кто-то — принимать на основе полученной информации управленческие решения (например, насколько человек соответствует своей должности). Как правило, все представленные на рынке системы представляют собой многофункциональный «цифровой комбайн»; то, какие его возможности будут использованы, зависит от задач.

Андрей Арефьев:

— Задача информационной безопасности — выявить инциденты и по возможности их предотвратить. Для выявления преступлений и сбора доказательной базы внутри компании используется целый стек продуктов, который позволяет «сузить воронку». Системы контроля действий сотрудников являются важным инструментом, позволяющим выявить конкретного нарушителя по сведениям собранным при помощи других средств мониторинга. Следить же постоянно за каждым сотрудником в компании, где работает 1000 человек, невозможно.

Александр Канатов:

— Системы для контроля действий сотрудников — это универсальный инструмент, как швейцарский нож. Важно подходить к его использованию с позиций рациональности. Данные, полученные принимающим решение лицом при помощи мониторинга, требуют взвешенной оценки и грамотного использования. Контроль персонала позволяет не только определять проблемные места, но и выявлять сильные стороны сотрудников. Если руководитель обладает объективной информацией о том, что происходит в организации, это позитивный фактор для компании.

Кто является заказчиком систем Employee Monitoring — департамент информационной безопасности, служба ИТ или подразделения по борьбе с экономическими угрозами? По мнению наших экспертов, это зависит от задач, которые должна решать система мониторинга в конкретной организации. Чаще всего инициатором приобретения является служба экономической безопасности, заинтересованная в выявлении сотрудников, которые недобросовестно выполняют свои должностные обязанности. Нередко такие инструменты использует кадровый департамент для оценки эффективности работников, которые проходят испытательный срок. Как отметили спикеры, число запросов от HR и руководителей разного уровня увеличилось после пандемии. Это связано с развитием удалённой работы и необходимостью оценивать деятельность человека, которого нет возможности увидеть лично.

Насколько легален мониторинг деятельности сотрудников? Наши гости пояснили, что по трудовому законодательству работодатель имеет право контролировать эффективность работы персонала, а также использовать инструменты для защиты информации — коммерческой тайны, персональных данных и других конфиденциальных сведений. Employee Monitoring — это в том числе и способ обеспечения сохранности конфиденциальной информации. Эксперты также порекомендовали обязательно прописывать в трудовом договоре или контракте возможность контроля за действиями сотрудника.

В завершение первой части беседы мы спросили зрителей прямого эфира, насколько они знакомы с системами контроля действий пользователей. Как выяснилось, ровно половина участников опроса уже применяет такие системы, а ещё 10 % изучали эту тему, но практического опыта использования решений класса Employee Monitoring не имеют. Знают общие принципы работы таких систем 30 % респондентов. Ничего не слышали о контроле действий персонала 10 % опрошенных.

 

Рисунок 1. Насколько вы знакомы с системами контроля действий пользователей?

Насколько вы знакомы с системами контроля действий пользователей

 

Продолжая разговор о практике эксплуатации систем Employee Monitoring, мы спросили у экспертов, должны ли сотрудники знать о работе системы контроля их активности. Как рассказали спикеры онлайн-конференции, информирование персонала об использовании Employee Monitoring может иметь положительный эффект, поскольку сотрудники могут использовать её как доказательство в случае разногласий и споров. Оперируя данными системы мониторинга, сотрудники имеют возможность подтвердить совершение тех или иных действий или, наоборот, доказать, что не выполняли их. Кроме того, регулярные отчёты сотруднику об эффективности его деятельности могут быть средством мотивации и повышения качества работы.

По мнению большинства зрителей онлайн-конференции AM Live, нет смысла скрывать от сотрудников установку системы мониторинга их работы. Половина участников опроса, который мы провели по ходу прямого эфира, придерживается мнения, что смысл процесса — именно в его открытости. Ещё 30 % респондентов считают, что скрывать мониторинг бесполезно, поскольку сотрудники всё равно узнают о нём. Противоположное мнение — у 17 % опрошенных зрителей: они настаивают на сокрытии факта контроля, так как иначе он будет неэффективен. Затруднились с ответом 3 % участников опроса.

 

Рисунок 2. Нужно ли скрывать от сотрудников установку системы мониторинга их работы?

Нужно ли скрывать от сотрудников установку системы мониторинга их работы

 

Функциональные возможности систем Employee Monitoring

Второй блок беседы был посвящён техническим вопросам и возможностям систем контроля действий сотрудников. Спикеры AM Live подчеркнули отличия Employee Monitoring от DLP-решений. Системы мониторинга работы персонала имеют клиент-серверную архитектуру и собирают информацию при помощи агентов, установленных на оконечные устройства. Агент собирает данные о движении информации, работе с клавиатурой, может делать скриншоты, записывать видео и сохранять другие данные. Кроме того, в ряде случаев агент имеет возможность блокировать определённые события системы.

Дополнительно системы Employee Monitoring способны контролировать перемещение файлов и фиксировать подключение периферийных устройств. В целях мониторинга фиксируется запуск приложений и ведётся статистика их использования.

Однако широкий спектр информации, собираемой агентом, имеет оборотную сторону: для её обработки требуется значительное количество ресурсов. Функционирование системы контроля действий сотрудников не должно замедлять работу компьютера и мешать выполнению рабочих обязанностей. Для снижения нагрузки на оконечные устройства разработаны агенты, которые не обрабатывают данные на клиенте, а только пересылают их на сервер.

Гости студии отметили, что современная система мониторинга действий сотрудников должна быть масштабируемой и одинаково хорошо работать и для 50, и для 5000 пользователей, а также иметь возможность эксплуатироваться на имеющихся аппаратных ресурсах. Важно также помнить об интеграции с существующей инфраструктурой заказчика — другими средствами безопасности, используемыми в компании.

Мы задали зрителям AM Live вопрос: для чего они используют или планируют использовать систему контроля действий пользователей в первую очередь? Как выяснилось, для 43 % респондентов ключевой функцией Employee Monitoring является оценка эффективности сотрудников. Использовать систему для контроля локального доступа к информации планируют 18 % опрошенных, столько же — для сбора доказательной базы по сотрудникам из «группы риска». Применять её как архив для ретроспективного анализа при расследованиях считают правильным 11 % участников опроса, а как систему контроля рабочего времени — 10 %.

 

Рисунок 3. Для чего вы используете или планируете использовать систему контроля действий пользователей в первую очередь?

Для чего вы используете или планируете использовать систему контроля действий пользователей в первую очередь

 

Практика использования систем контроля рабочего времени

От технических вопросов и функциональных возможностей мы перешли к особенностям внедрения и эксплуатации решений класса Employee Monitoring. Какие подводные камни существуют в этом процессе? По мнению наших экспертов, приступая ко внедрению системы контроля действий сотрудников, компания должна позаботиться о соблюдении формальностей: прописать возможность применения средств мониторинга в трудовых контрактах и коллективных договорах. Это облегчит решение спорных вопросов с персоналом, если таковые возникнут в будущем. Нелишним будет также обновить должностные инструкции офицеров безопасности и операторов системы, так как в процессе контроля они смогут получить доступ к конфиденциальной информации и персональным данным.

Спикеры онлайн-конференции остановились на важном моменте, связанном с эксплуатацией систем Employee Monitoring. В базах данных мониторинга накапливается большой объём конфиденциальной информации, паролей, сведений составляющих коммерческую тайну, финансовых и персональных данных. Как защитить этот массив и уберечь его от утечки? По мнению экспертов, к вопросу необходимо подходить комплексно: выбирать сертифицированные регулятором решения, принимать организационные и технические меры, уделить пристальное внимание разграничению и настройке прав доступа, а также внимательно относиться к подбору офицеров безопасности.

Эксперты не пришли к единому мнению относительно необходимости использования методов машинного обучения для определения поведенческих факторов, которые могут указывать на потенциальные проблемы вроде желания уволиться. Одна часть вендоров считает, что такие алгоритмы являются более маркетинговым ходом, чем работающей функцией. Другие наши гости утверждают, что искусственный интеллект вполне эффективно справляется с такими задачами.

Проводившийся в этот момент опрос зрителей онлайн-конференции AM Live касался контроля дистанционной работы. Он показал, что большинство (63 %) уже применяет такой контроль, а 25 % планирует внедрить его. Лишь 9 % не контролируют «удалёнщиков» по этическим соображениям, а ещё 3 % считают, что организовать такой контроль невозможно технически.

 

Рисунок 4. Хотели бы вы применять контроль действий сотрудников на «удалёнке»?

Хотели бы вы применять контроль действий сотрудников на «удалёнке»

 

Комментируя результаты опроса, наши спикеры отметили, что далеко не все компании предоставляют своим сотрудникам возможность работы из дома на корпоративных устройствах. Устанавливать же агент Employee Monitoring на личный ноутбук или компьютер пользователя — действительно неэтично и невозможно технически. Эксперты обратили внимание, что проблема решается организацией терминальной сессии, которая не только позволит контролировать действия пользователя без вмешательства в его личную жизнь, но обеспечит соблюдение остальных политик безопасности компании.

Тенденции рынка

В заключение беседы ведущий попросил гостей студии рассказать о своём видении будущего рынка, подчеркнуть его тренды на ближайшие годы.

По мнению Александра Канатова, рынок средств мониторинга постепенно отходит от практики контроля, уделяя большее внимание наблюдению, оценке и получению обратной связи. Задача подобных систем — помогать человеку, находящемуся в офисе или работающему удалённо, работать комфортно и с максимальной вовлечённостью. С коллегой согласился Андрей Арефьев, который подчеркнул, что с технической точки зрения современные системы Employee Monitoring собирают весь возможный спектр информации. Поэтому основной фокус работы таких решений будет смещён в сторону выводов, которые можно делать на основании этого массива данных.

Большинство заказчиков систем контроля действий пользователя работают с «дорогим» персоналом, которому нужно создавать комфортные условия, помогать, соответствовать его ожиданиям. Решения для мониторинга помогут руководству компании выбрать правильный алгоритм действий по отношению как к определённому работнику, так и ко всему трудовому коллективу.

Антон Дедков прогнозирует большее использование возможностей искусственного интеллекта в продуктах для контроля действий сотрудников. Это поможет снизить влияние человеческого фактора в вопросе оценки персонала и дать более глубокую аналитику для принятия управленческих решений. Дмитрий Кандыбович поддержал коллегу, отметив, что широкое применение математических моделей в этом сегменте рынка неизбежно, однако где мы получим реально работающие функции, а где — лишь маркетинговые обещания, покажет время.

Финальный опрос зрителей AM Live по традиции помогает нам понять, как изменилось мнение аудитории относительно темы конференции после просмотра. В этот раз 32 % респондентов отметили, что спикеры помогли им убедиться в правильности выбора системы контроля действий сотрудников. Ещё 21 % опрошенных заявил, что они заинтересовались такими решениями и готовы их тестировать, а 10 % планируют сменить имеющуюся у них систему на другую. Считают тему интересной, но пока избыточной для их компании 16 % участников опроса, столько же ответивших полагают, что участники не смогли доказать необходимость использования Employee Monitoring. Совсем не поняли, о чём шла речь во время эфира, 5 % зрителей.

 

Рисунок 5. Каково ваше мнение относительно систем контроля действий пользователей после эфира?

Каково ваше мнение относительно систем контроля действий пользователей после эфира

 

Выводы

В процессе дискуссии ведущие эксперты отечественного рынка систем мониторинга работы персонала помогли взглянуть на них не только как на «карательный» инструмент, предназначенный для выявления нелегитимных действий работников. Современная система класса Employee Monitoring нацелена в первую очередь на понимание потребностей сотрудника, выявление его сильных и слабых сторон, оказание помощи в определении наилучшего пути развития. Эти задачи будут решаться более эффективно с развитием методов машинного обучения и глубокого поведенческого анализа на основании накопленного массива данных о сотруднике.

Проект AM Live продолжается, а значит, впереди новые встречи с интересными спикерами, которым есть что сказать по наиболее актуальным для отечественного ИБ-рынка темам. Чтобы не пропускать прямые эфиры и иметь возможность задавать вопросы нашим гостям, подпишитесь на YouTube-канал Anti-Malware.ru. До новых встреч!

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru