Кибербезопасность для рекрутера: что нужно знать при работе с персональными данными

Twitter
Linkedin
Facebook
Telegram

Чтобы не говорили, но самое слабое звено в кибербезопасности — это человек. Ведь именно он решает, где и как хранить информацию, кому ее расшаривать, шифровать данные или нет и пр

Development Management

Чтобы не говорили, но самое слабое звено в кибербезопасности — это человек. Ведь именно он решает, где и как хранить информацию, кому ее расшаривать, шифровать данные или нет и пр. И именно из-за человека время от времени появляются новости наподобие «в выдачу попали тысячи файлов Google Docs». Но что поделать?! Такие уж мы — люди-человеки.
Давайте рассмотрим важные для рекрутера (для кого-то очевидные, а для кого-то и нет) моменты по обеспечению кибербезопасности, чтобы не быть тем самым слабым звеном.

Облако — хорошо или плохо?

Сейчас стало модно (да чего уж там — и удобно) хранить всевозможные данные в облаке, обеспечивая к ним доступ для клиентов и партнеров по паролям, подпискам и пр. И многие рекрутинговые агентства также пользуются этим IT-благом. А вот вам и свежий пример, когда облако может быть не во благо. В начале лета 2018 года крупное рекрутинговое агентство PageUp из Австралии (ее услугами пользуются компании со всего мира) было атаковано хакерами. В итоге в руки злоумышленников утекли тысячи анкет соискателей. А все благодаря тому, что компания организовала хранение данных в облаке с удобным доступом для клиентов и возможность интеграции в свои сервисы по API.


Еще один пример — утечка личных данных тысяч американских военных в сеть в сентябре 2017 года. И опять (простите) виноваты рекрутеры. Компания собирала данные о военных и хранила их угадайте где? Правильно, в облаке. Понятно, что от этого (в смысле от облака) никуда не уйти, особенно, если в вашей компании есть удаленные сотрудники. Поэтому, если вы используете такой вариант хранения персональных данных об android, ios разработчиках и других специалистах, будьте добры обеспечить безопасность информации облака на должном уровне.


Сформулировать минимум требований, необходимых для обеспечения защиты данных из облачных хранилищ, можно, например, проанализировав материал, написанный еще в 2014 году (и сейчас он на 100% актуален) главным евангелистом по безопасности известной компании Alert Logic Стивеном Коти. Хотите, можете сами изучить его, а хотите — пробегитесь глазами (и примите к сведенью, естественно) следующие тезисы, сформулированные нами на основе анализа этого материала:

  • Точно разберитесь с областями ответственности за безопасность данных — вашей и вашего поставщика услуг (провайдера). На вас — мониторинг, обнаружение вероятных угроз и оповещение об этом провайдера, управление доступом к данным, хранящимся в облаке, работа с используемыми приложениями (обновление, латание дыр в них и пр. ). На провайдере — защита от DDoS-атак, работоспособность типовых средств защиты и пр. Если нету четкого понимания, кто за что отвечает, о нормальной защите персональных данных ios разработчиков и иных IT-специалистов, с анкетами которых вы работаете, и речи быть не может.
  • Не пренебрегайте обновлениями ПО, плагинов и прочего инструментария. Лучше всего установить, если есть возможность автоматические обновления. Нормальные разработчики следят за своими «детищами» и вовремя реагируют на все вероятные угрозы.
  • Следите за логами. С их помощью вы получите ценную информацию об активности на ваших серверах и в облаках. Кстати, именно благодаря тому, что специалисты упомянутой выше компании PageUp обнаружили незарегистрированную активность, и была обнаружена утечка персональных данных.
  • Интересуйтесь вопросами безопасности и новостями в этой сфере. В качестве полезных ресурсов можно привести, например, SecurityFocus, Exploit Database и русскоязычный сайт securitylab.ru.

GDRP и прочие штуки

Помимо национальных документов, регламентирующих работу с персональными данными (это ведь тоже составная часть кибербезопасности), с мая 2018 года рекрутерам приходится учитывать и положения Общего регламента по защите данных GDPR (Regulation (EU) 2016/679). Документ весьма сложный и страшный (но только на первый взгляд).

И вас он касается, если среди клиентов (тех, кто ищет работу, или работодателя), чьи персональные вы обрабатываете, есть компании или физ. лица из ЕС.
Стоит ли бояться этого нововведения? Нет, не нужно. Просто уделите время (но готовьтесь к тому, что его потребуется немало) изучению положений регламента и введению их в обиход своей компании. Если не вдаваться в подробности (но это делать вам все же в вам последующем придется), то основные направления, в которых придется поработать, следующие:

  • Разработка внутренних политик защиты данных.
  • Обучение персонала работе в соответствии GDPR.
  • Организация проверок деятельности по обработке данных.
  • Внедрение и ведение документации по процессам обработки персональных данных в соответствии с регламентом.
  • Внедрение мер по встроенной системе конфиденциальности.

Не кисло, да? Но никуда от этого не деться, если работаешь на Европейском рынке. Если попасть на GDPR, мало не покажется. Штрафы здесь предусмотрены просто космические — до 20 000 000 евро или 4% от годового глобального дохода.

Театр начинается с вешалки, а кибербезопасность — с вас

Можно говорить о составляющих кибербезопасности вечно. Но лучше же действовать! Давайте определим некий must have, который позволит вам быть уверенным (или хотя бы надеяться), что персональные (и не только) данные, с которыми вам приходиться работать, как рекрутеру, находятся в безопасности.

Работа с паролями

Многие специалисты не рекомендуют пользоваться генераторами паролей. Другие же — наоборот. И если вы прислушаетесь ко вторым, выбирайте ПО от проверенных разработчиков (например, от создателей антивирусов).


В результате многолетних споров (и даже NIST, который в свое время активно тролили из-за нелепых рекомендаций по созданию паролей, с этим согласился) специалисты пришли к выводу, что оптимальный вариант — не менее 8 символов в пароле. При этом важно, чтобы в нем было как можно больше видов символов: буквы в разных регистрах, цифры, специальные знаки и пр. И да, если вы записываете пароли на бумаге, потрудитесь спрятать ее так, чтобы никто не нашел.

Разграничение личного и рабочего

Многие компании практикуют запрет на использование личных смартфонов и компьютерной техники для рабочих целей (и наоборот). А ведь это решение вполне себе правильное. Мало ли по каким сайтам вы бродите в личное время, и какую заразу можете зацепить.

Использование нескольких факторов аутентификации

Помимо ввода пароля для доступа в рабочую систему или к БД можно параллельно внедрить и другие способы. Их сегодня масса — от ответа на контрольный вопрос, до SMS-авторизации и считывания отпечатка пальца. И большинство провайдеров и разработчиков ПО дают такие возможности.

Современное обновление ПО

Мы уже говорили об этом, рассматривая облака. Обновления нужны любому используемому вами ПО. Следите за этим.


И еще. Неплохо было бы сотрудничать с каким-нибудь «белым» хакером. Далеко не все специалисты, называемые этим страшным словом, являются злыми. Очень многие работают как раз во благо.

Info
Author: INDIGO Tech Recruiters
2273 Views
10.08.2018
Common articles
Why you do not need an outstanding CEO, CTO, CFO and other CxO
You need good and competent management to make your company grow and develop. But, you don’t have to entice Satya Nadella from Microsoft. When you hire a CEO, CTO or a ma..
“Our managers spend around 30% of their time searching for talent”: an interview with Maxim Shtepa, CEO of SocialTech
From the experience of Indigo , one of the keys to effective recruitment is the dialogue between parties. That is why we have decided to publish a series of interviews ..
Survey on C-Level Salaries in the Ukrainian IT Industry in 2022
Learn about how the war in Ukraine affected the income and motivation of Ukrainian IT companies’ top managers from our new salary survey.
Why does your business need a recruiter?
This article may be of use to owners and directors familiar with Ukrainian IT realities who want to improve their recruiting and also to those foreign companies who are i..
Ageism in IT and how to deal with it
The author: Anya Stetsenko is an IT-recruiter, entrepreneur, and simply a happy woman. She has been managing Indigo recruitment agency since 2007 and has been bringing ne..
COMPANY IS ALWAYS MADE BY TALENTED PEOPLE. DIALOG WITH LESYA ARNOLD
We dreamt for a long time to have an interview with Lesya
Iownit: “We keep our communication transparent, and require this from everyone in our company”
If you haven’t heard of iownit yet (which would be surprising), allow us to fix this right away. lownit Capital and Markets, Inc
Does HR Help a Company Earn Money or Just Spends It?
Katya Osadchuk— CEO, IndigoIT recruiting agency, economist, professional psychologist, and HR with over 10 years of experience, 6 of them as HR Director. This article is ..
Overview of C-Level Salaries on Ukrainian IT market
Lately we’ve filled 30 C-level vacancies in IT companies and discovered that neither candidates nor employers feel confident when it comes to numbers
Good CEO VS Bad CEO. One mistake that could cost your business.
Ekaterina Osadchuk — CEO at Indigo Tech Recruiters, economist, professional psychologist, HRD and business development director with more than ten years of experience
Overview of Product Roles salaries in Ukrainian IT companies
CEO Ekaterina Osadchuk and the Indigo Tech Recruiters team conducted the second annual review of salaries for C-level in IT. We remind you that every year we carry out a ..
How does it feel to be a woman in IT? Anna Stetsenko talks about the “male” field, discrimination and gender stereotypes
There are many gender stereotypes regarding both men and women. But when it comes to a career, particularly in IT, women have a much harder time
No Copy-pasting or Koans: 9 Traps of Value Development
Have you ever tried to play a game without rules? That’s what it’s like if a company doesn’t recognize and showcase its own values
ANNA LAVROVA, IT PROJECT MANAGER, ABOUT RELOCATION: “EVERYTHING is POSSIBLE in DUBAI. EVERYTHING. IT IS NOT IMPORTANT IF YOU CAN MANAGE PROJECTS, MAKE HAIRCUTS FOR DOGS OR DO MANICURE “
Is the grass always greener on the other side? With IT recruitment agency Indigo, we decided to pose this question to the people whom we worked on “foreign” vacancies wi..
Working Remotely: how and why to live without an office
The remote format can easily knock you down and distract.