Електронното трудово досие (ЕТД) или системата за управление на човешките ресурси (HRMS) е информационна система, в която се съхранява информацията относно трудовия опит, образованието, професионалните умения на служителите и друга релевантна информация. Въпреки многото удобства, които тези системи предоставят, съществуват и редица рискове за сигурността на данните. Ето някои от тях, както и начини за адресирането им:
Неоторизиран достъп
Злонамерени атаки или хакерски опити могат да компрометират чувствителната информация, съхранена в системата за управление на човешките ресурси. За да предотвратите това, е важно да използвате сложни пароли, двуфакторна автентикация и да ограничите достъпа само до упълномощени потребители.
За да се справите с рисковете, свързани с неоторизиран достъп до електронното трудово досие (ЕТД), организациите могат да предприемат следните мерки:
- Управление на идентификационни данни и достъп - Въведете системи за управление на потребителските профили в мрежата на организацията, както и стриктен контрол на достъпа (Access Control List - АСL), които да позволяват само на упълномощени служители да имат достъп до електронното трудово досие. Установете силни пароли и редовно ги актуализирайте.
- Двуфакторна автентикация - Въведете двуфакторна автентикация (2FA) за осигуряване на допълнителен слой защита срещу неоторизиран достъп.
- Физическа сигурност - Осигурете подходящи мерки за физическа сигурност на сървърните стаи и други оборудвания, свързани с електронното трудово досие, като контрол на достъпа, заключване на стаите и видеонаблюдение.
- Обучение на персонала - Провеждайте редовни обучения и семинари относно сигурността на данните и неоторизирания достъп, за да осведомите служителите за политиките, процедурите и личната отговорност при работа с чувствителна информация.
- Мониторинг и одит - Редовно проследявайте и анализирайте активността на потребителите, за да идентифицирате необичайни или подозрителни действия, които могат да се окажат неоторизиран достъп.
- Защита от кибератаки - Инсталирайте антивирусни програми и мрежови защитни стени, които да предотвратят злонамерени атаки и да предпазват данните в системата за управление на човешките ресурси. Редовно актуализирайте софтуера и операционните системи, за да защитите от нови заплахи и уязвимости.
Изтичане на данни
Грешка или злоупотреба от страна на служителите може да доведе до разкриване на лична информация. Обучавайте персонала относно политиките и процедурите за сигурност на данните, и редовно осъществявайте проверки на съответствието.
За да се справите с рисковете, свързани с изтичане на данни от електронното трудово досие, организациите могат да предприемат следните мерки:
- Обучение на персонала - Провеждайте редовни обучения и семинари относно сигурността на данните, за да осведомите служителите за политиките, процедурите и личната отговорност при работа с чувствителна информация.
- Управление на идентификационни данни и достъп - Въведете системи за управление на потребителските профили в мрежата на организацията, както и стриктен контрол на достъпа (Access Control List - АСL), така че можете да ограничите достъпа само на упълномощени служители. Задавайте сложни пароли и редовно ги актуализирайте.
- Криптиране на данни - Използвайте криптиране, за да защитите чувствителната информация в електронното трудово досие.
- Защита от кибератаки - Инсталирайте антивирусни програми и мрежови защитни стени, които да предотвратят злонамерени атаки и да предпазват данните в системата за управление на човешките ресурси. Редовно актуализирайте софтуера и операционните системи, за да защитите от нови заплахи и уязвимости.
- Мониторинг и одит - Извършвайте редовни одити на съответствието с политиките за сигурност на данните и анализирайте активността на потребителите, за да идентифицирате подозрителни действия, от които може да последва изтичане на данни.
- Политики и процедури - Разработете ясни политики и процедури относно сигурността на данните и предотвратяването на изтичане на данни. Уверете се, че всички служители са запознати с тези правила и изисквания.
Технически проблеми и загуба на данни
Софтуерни бъгове, хардуерни проблеми или други технически причини може да доведат до загуба на информация от системата за управление на човешките ресурси. Поддържайте редовно архивиране на данни и възстановяване при авария, за да гарантирате сигурността и непрекъснатостта на услугите.
За да се справите с рисковете, свързани с технически проблеми и загуба на данни в електронното трудово досие, организациите могат да предприемат следните мерки:
- Редовно архивиране на данни - Извършвайте редовни резервни копия на данните от системата за управление на човешките ресурси, за да гарантирате, че можете да възстановите информацията в случай на загуба или повреда.
- План за възстановяване след бедствия - Разработете план за възстановяване след бедствия (Disaster Recovery Plan - DRP), който определя процедурите и ресурсите, необходими за възстановяване на системата за управление на човешките ресурси след събитие, което предизвиква загуба на данни или прекъсване на услугата.
- Система за управление на инциденти - Въведете система за управление на инциденти, която позволява бързо и ефикасно откриване, анализ и решаване на технически проблеми, предотвратяване на загуба на данни и минимизиране на прекъсванията в работата.
- Защита от злонамерен софтуер и кибератаки - Инсталирайте антивирусни програми и мрежови защитни стени, които да предотвратят злонамерени атаки и да предпазват данните в електронното трудово досие. Редовно актуализирайте софтуера и операционните системи, за да защитите от нови заплахи и уязвимости.
- Техническа поддръжка и мониторинг - Осигурявайте редовна техническа поддръжка на хардуера и софтуера, свързан със системата за управление на човешките ресурси, и мониторирайте системите за признаци на потенциални проблеми или загуба на данни. Добра идея е също да защитите оборудването, което поддържа системата, с подходящи мерки за физическа сигурност като заключване на помещенията, контрол на достъпа и видеонаблюдение.
- Физическа сигурност - Защитете оборудването, което поддържа системата за управление на човешките ресурси, с подходящи мерки за физическа сигурност, като заключване на сървърните стаи, контрол на достъпа и видеонаблюдение.
- Обучение на персонала - Провеждайте редовни обучения за служителите относно техническите аспекти
Несъответствие със законодателството
Системата за управление на човешките ресурси трябва да съответства на местните закони и регулации, които определят изискванията по отношение на сигурността на данните и защитата на личната информация. Проверете дали вашата организация спазва изискванията на законодателството, като GDPR (за ЕС) и други подобни регулации.
Справянето с рисковете, свързани с несъответствие със законодателството при управление на електронното трудово досие, изисква предприемането на следните мерки:
- Запознаване със законодателството - Изучавайте местното, национално и международно законодателство, свързано със сигурността на данните, и се уверете, че вашата организация спазва всички приложими закони и регламенти. Това може да включва GDPR (Закон за защита на данните) в Европа или други подобни разпоредби в различни юрисдикции.
- Назначаване на длъжностно лице за защита на данните (Data Protection Office - DPO) - Назначете отговорно лице (DPO) или екип, който да отговаря за съблюдаване на законодателството и контрол на съответствието с него.
- Разработване на политики и процедури - Разработете ясни и разбираеми политики и процедури за съхранение, обработване и предоставяне на достъп до данни, които да отговарят на изискванията на законодателството. Уверете се, че всички служители са запознати с тези правила и изисквания.
- Обучение на персонала - Провеждайте редовни обучения и семинари за служителите относно законодателството, политиките и процедурите, свързани със сигурността на данните. Това ще гарантира, че персоналът е осведомен за своите задължения и отговорности по отношение на съответствие със законодателството.
- Одити и оценки на съответствието - Редовно извършвайте одити и оценки на съответствието със законодателството, за да откривате и коригирате пропуски или нарушения, които могат да доведат до несъответствие.
Вътрешни заплахи
Служителите (настоящи или бивши) могат да злоупотребят със своя достъп до системата за управление на човешките ресурси, като съберат или разкрият лична информация. Ето някои от основните рискове, свързани с вътрешни заплахи:
- Злоупотреба със сигурността на данните - Служителите могат да използват своя достъп до ЕТД, за да разкрият, променят или унищожат чувствителна информация, което може да навреди на организацията или на отделни служители.
- Несанкционирано разкриване на информация - Вътрешните заплахи могат да включват служители, които разкриват лични данни или корпоративна информация на трети страни без разрешение или неспазване на политиките и процедурите на компанията.
- Изтичане на данни поради небрежност - Случайни действия от страна на служителите, като например изпращане на чувствителна информация на грешен получател или загуба на устройство (компютър или мобилен телефон) със запазена информация, могат да доведат до изтичане на данни.
- Саботаж - Злонамерен и слабомотивиран служител може да предприеме действия с цел нанасяне на щети на организацията или колегите им, като промени, унищожи или блокира достъпа до информацията в системата за управление на човешките ресурси.
За да се справите с вътрешните заплахи, свързани със сигурността на данните в електронното трудово досие, организациите могат да предприемат следните мерки:
- Обучение на персонала - Провеждайте редовни обучения и семинари относно сигурността на данните, за да осведомите служителите за политиките, процедурите и личната отговорност при работа с чувствителна информация.
- Ограничен достъп - Предоставете достъп до системата за управление на човешките ресурси само на служители, които наистина имат нужда от него, и следете за злоупотреби с информацията. Използвайте системи за управление на потребителските профили в мрежата на организацията, както и стриктен контрол на достъпа (Access Control List - АСL), за да управлявате и ограничите достъпа до електронното трудово досие.
- Политики и процедури - Разработете ясни политики и процедури относно сигурността на данните и предотвратяването на вътрешни заплахи. Уверете се, че всички служители са запознати с тези правила и изисквания.
- Процедури за известяване на инциденти - Разработете процедури за известяване при инциденти, които определят как служителите трябва да докладват потенциални проблеми със сигурността или заплахи, и как организацията ще реагира на тях.
- Управление на достъпа след напускане - Уверете се, че имате процедури за незабавно прекратяване на достъпа до системата за управление на човешките ресурси на бивши служители и други лица, които вече нямат нужда от достъп до информацията.
PROFILE.GURU е съвременна и удобна система за управление на човешките ресурси и електронното трудово досие. Всички изброени по-горе рискове са изключително старателно адресирани в нашата организация и в платформата като цяло. Гордеем с факта, че прилагаме най-високите стандарти по отношение на сигурноста на информацията, включително:
- ISO 27001:2013 - За най-високото ниво на информационна сигурност
- ISO 20000-1:2011 - За управление на услугите в областта на информационните технологии
- ISO 9001:2015 - За управление на качеството
В платформата е покрит целият необходим обхват, включително профили, организационна структура и щатно разписание, обучения, знания, управление на представянето, активи, придобивки и много други. Покрити са и всички изисквания на Наредбата по отношение на начина на съхранение и достъп до документите в трудовото досие. PROFILE.GURU дава възможност и за директно генериране на документи по шаблон и автоматичното им изпращане за електронно подписване чрез интеграция с DigiSign.