Роль HR у системі управління інформаційною безпекою та захистом персональних даних

05 Лютого 2025

В умовах цифрової трансформації компанії дедалі більше стикаються з викликами, пов’язаними з інформаційною безпекою та захистом персональних даних. Основну загрозу складає людський фактор, адже помилки співробітників або їхні зловмисні дії можуть спричинити витік конфіденційної інформації. В цьому контексті ключову роль у системі управління інформаційною безпекою відіграє відділ Human Resources (HR), який відповідає за відбір, адаптацію, навчання та контроль персоналу.

На основі особистих спостережень, через призму впровадження системи інформаційної безпеки клієнтів, роль HR є недооціненою, в той час як основна увага присвячується ризикам, пов’язаним з кібербезпекою. HR служба здійснює управління основним ресурсом компанії, з точки зору інформаційної безпеки та захисту даних – людьми. При цьому, залученість HR в різні процеси є надзвичайно важливою та описується нижче:

1. Розробка та впровадження політик та процедур

На рівні з іншими структурними підрозділами компанії, HR відіграє центральну роль у розробці та впровадженні політик інформаційної безпеки та захисту даних в компанії. До його обов’язків входить розробка як політик, що стосуються найму працівників, так і документів, що визначають порядок взаємодії з персоналом протягом періоду співпраці та припинення співпраці.

В рамках системи управління інформаційною безпекою, на HR можуть бути покладені наступні обов’язки:

  • Ознайомлення співробітників із корпоративною політикою інформаційної безпеки та іншими документами, що стосуються інформаційної безпеки та захисту даних;
  • Організація підписання з персоналом документів, що регулюють початок та припинення трудових або комерційних взаємовідносин;
    Впровадження правил використання корпоративних пристроїв, паролів, шифрування та інших механізмів захисту;
  • Регулярний моніторинг та оновлення внутрішніх політик, що стосуються функціонування HR-відділу, відповідно до змін у законодавстві та появи нових кіберзагроз.

2. Перевірка та подальший контроль персоналу

HR здійснює заходи з попередньої перевірки персоналу перед наймом або початком комерційної співпраці (background check), що забезпечує мінімізацію ризику найму фізичної особи, яка потенційно може нести ризики для компанії. Перевірка та контроль персоналу може включати:

  • Аналіз попереднього досвіду кандидата та його репутації;
  • Перевірку можливих ризиків, пов’язаних із доступом до конфіденційних даних;
  • Підписання угоди про нерозголошення (NDA) та інших зобов’язань щодо збереження комерційної таємниці;
  • Регулярний перегляд доступів співробітників та внесення змін у їхні права доступу відповідно до їхніх посадових обов’язків.

Окрім цього, HR забезпечує контроль доступу до інформаційних ресурсів у процесі роботи співробітника та після його звільнення, запобігаючи можливим витокам інформації.

3. Навчання та підвищення обізнаності

Як один із ключових відділів, що комунікує з персоналом, HR залучається в процес навчання персоналу, що є одним із найважливіших аспектів інформаційної безпеки. Так, зокрема, HR має впроваджувати або залучатися в програми підвищення кваліфікації та тренінги щодо:

  • Розпізнавання фішингових атак та методів соціальної інженерії;
  • Правил безпечного використання робочих пристроїв та корпоративних систем;
  • Дотримання вимог щодо конфіденційності та захисту даних та відповідальності за порушення;
  • Практичних сценаріїв реагування на потенційні загрози, включаючи навчальні симуляції атак.

Регулярні навчальні заходи дозволяють зменшити ризики, пов’язані з людським фактором, і підвищити рівень інформаційної безпеки в компанії.

4. Реагування на інциденти та дисциплінарні заходи

Відділ інформаційної безпеки може залучати HR в процес реагування на порушення інформаційної безпеки або захисту даних, якщо це сталося в результаті дій персоналу компанії. У разі інцидентів, HR, разом із іншими відділами, може здійснювати наступні дії:

  • Розслідування випадків несанкціонованого доступу або витоку інформації;
  • Застосування дисциплінарних заходів до співробітників, які порушили політики безпеки;
  • Взаємодію з юридичними органами у випадках значних порушень або шахрайських дій;
  • Аналіз причин інцидентів та розробку заходів щодо їх запобігання у майбутньому.

5. Управління персональними даними в межах правового поля

HR також відповідає за обробку персональних даних працівників відповідно до законодавчих норм. Основні вимоги включають:

  • Дотримання правил збору, зберігання та обробки персональних даних відповідно до GDPR та національного законодавства. (Наприклад, на HR може бути покладений обов’язок надати фізичній особі інформацію про обробку його персональних даних, як в моменті первинного контакту, коли фізична особа позиціонується як кандидат, так і в момент укладення трудового або комерційного договору);
  • Забезпечення конфіденційності інформації про співробітників, особливо в базах даних, з якими працює HR відділ;
  • Надання доступу до баз даних працівників тільки уповноваженим особам.

В будь-якому випадку, залученість HR в процес обробки персональних даних є досить значною, зокрема щодо тих чутливих даних, які фізична особа може надати в рамках свого резюме або іншої комунікації.

6. HR як стратегічний партнер у забезпеченні інформаційної безпеки

Зважаючи на зростаючі ризики кіберзагроз, HR має виступати стратегічним партнером у забезпеченні інформаційної безпеки компанії, що включає тісну співпрацю з ІТ-департаментом у питаннях управління ризиками та контролю доступу, розробку систем мотивації для співробітників, які сприяють дотриманню політик безпеки, а також створення культури кібербезпеки в компанії, де кожен працівник усвідомлює свою відповідальність за збереження конфіденційності інформації.

Висновок

Роль HR у системі управління інформаційною безпекою та захистом персональних даних є незамінною. Відбір та навчання персоналу, контроль за виконанням політик безпеки, реагування на інциденти та дотримання правових вимог – усе це дозволяє мінімізувати ризики та захистити компанію від загроз, пов’язаних із витоком інформації. Тому тісна взаємодія HR з відділами інформаційної безпеки та юридичної служби є критично важливою для ефективного управління кіберризиками. Впровадження комплексного підходу до захисту даних дозволяє створити безпечне робоче середовище та забезпечити відповідність компанії нормативним вимогам у сфері кібербезпеки.