г.Курск, ул.Радищева, 24-А, оф.26
        

Дневник предпринимателя: как у нас украли информацию и чем нам это помогло

4 декабря 2019

В венчурном мире ходит байка про параноидальных стартаперов: прежде чем рассказать инвесторам о своем проекте, они просят их подписать соглашение о неразглашении (NDA). Есть и другая крайность — когда компания уже обзавелась продуктом и клиентами, но совсем не думает о сохранности своих данных. Такое легкомыслие может привести к катастрофе: например, ваш сотрудник уйдет к конкуренту вместе с технологиями и клиентской базой. Мы убедились в этом на собственном опыте. Вот как это было.

Чужой среди своих

Однажды один из моих сотрудников — молодой и перспективный парень — заболел и провел несколько месяцев в больнице. Всё это время я получал от него жуткие фотографии с рассказами об очередной порции трудностей со здоровьем. А потом он вышел на работу и довольно скоро уволился — перешел к нашему конкуренту. Бывает, подумал я, — все ищут лучшие условия.

Правда, вскоре выяснилось, что нашему потенциальному клиенту (с ним мы обсуждали контракт на несколько миллионов рублей) сделал предложение конкурент, работавший до этого в другой нише. Картина полностью прояснилась, когда позвонил один из заказчиков и рассказал, что наш бывший сотрудник еще месяц назад приходил к нему на переговоры — и вел их от лица конкурирующей фирмы.

Знал ли уволившийся всю нашу внутреннюю кухню? Имел ли доступ к «воронке» клиентов? Был ли в курсе наших разработок и методик продаж? Конечно! При этом с юридической точки зрения предъявить ему что-либо оказалось невозможно…

За семью замками

Поскольку мы работаем с данными клиентов, каждый наш сотрудник знакомится с NDA компании-заказчика, а в трудовых договорах прописана ответственность за утечки (вплоть до уголовной). Все наши системы проходят регулярные penetration-тесты, и мы в процессе внедрения ISO 27001. При этом о защите собственных данных: клиентских баз, ТЗ на новые и еще не созданные продукты, документов с описанием наших внутренних процессов, рабочих форм — мы совсем забыли.

Осознать в полной мере свою ошибку нам помог тот самый уволившийся сотрудник. Столкнувшись с таким коварством, мы поняли, что надо что-то менять, и запустили перекройку всех процессов. В компании ввели режим коммерческой тайны: для этого скачали в интернете шаблон соответствующего положения и адаптировали его под наши нужды. Этот документ каждый новый сотрудник подписывает уже при приеме на работу, а трудовой договор содержит кучу выдержек, сносок и отдельный пункт о недопустимости разглашения внутренних данных (раз в полгода всему персоналу об этом напоминаем).

Я зарегистрировал нашу интеллектуальную собственность как нематериальный актив компании и поставил его на баланс. Теперь у любых данных с пометкой «конфиденциально» есть определенная стоимость — их несогласованную передачу третьим лицам можно расценивать как воровство.

 

Базы, коды, патенты

Какие именно документы надо защищать? У нас в понятие «интеллектуальная собственность» входят:

  • клиентская база,
  • все наши процессы и планы по проектам,
  • шаблоны документов и таблицы,
  • финансовые отчеты и модели,
  • данные в системах Jira и Trello,
  • разработческая документация, код и сама программа,
  • патенты,
  • IT-решения,
  • товарные знаки и обозначение названия компании.

В нашем бизнесе данные — самый ценный актив. Поэтому под охрану попадает любая база, созданная нашими сотрудниками с использованием ресурсов компании. Не менее тщательно мы защищаем все данные, утрата которых несет в себе риски потери интеллектуальной собственности или упущенной выгоды (в случае утечки к конкурентам).

Все наши документы с пометкой «конфиденциально» лежат в специальной директории. Новые сотрудники получают к ней доступ только после подписания всех политик, положений и соглашений о неразглашении.

Прикладная конфиденциальность

Может показаться, что для стартапа все эти сложности с конфиденциальностью — напрасная трата времени, а для сотрудников — лишняя морока с расставлением меток «конфиденциально» по всем документам и презентациям. Но если с самого начала отладить весь процесс, то это только упростит вам жизнь в будущем.

Безусловно, ключевое здесь — сознательность ваших сотрудников: они должны понимать, зачем это все нужно. Важно, чтобы сотрудники не относились к защите данных как к формальности: каждый член команды должен понимать прикладной смысл политики конфиденциальности и использовать ее в своей ежедневной работе.

В нашем случае введение понятной и прозрачной системы работы с данными привело к тому, что у сотрудников, по сути, появилась внятная инструкция. Они четко понимают, где проходит граница безопасности и для компании, и для них самих (чтобы не нарваться на большие штрафы или уголовное преследование).

С экономической точки зрения даже одна «утечка» может обернуться для бизнеса кризисом. И лучшее, что можно сделать, — инвестировать время и деньги в то, что позволит избежать возможных финансовых потерь. Это как с получением патентов на изобретения: если вы придумали уникальный прибор и не потрудились его запатентовать, не удивляйтесь, если кто-то другой начнет продавать его раньше вас.

Источник: Inc.

Заказать обратный звонок