Как встроить правила кибербезопасности в HR-процессы: найм, адаптацию, обучение и внутренние коммуникации

Как HR защищает компанию от киберугроз

В 80% случаев проблемы с кибербезопасностью связаны с людьми — утечки данных происходят случайно или намеренно. Например, сотрудник приклеивает стикер с паролем на монитор — листок попадает на фото в соцсетях, и информация утекает в руки злоумышленников. Бывает так, что бывший работник назло удаляет важные данные или передаёт базу данных конкурентам. В результате компания теряет деньги и репутацию.

Избежать киберинцидентов помогает системная работа HR и специалистов по информационной безопасности (ИБ). Отдел ИТ разрабатывает нужные регламенты и отвечает за техническую часть, а HR общается с командой: объясняет, обучает и помогает следить за безопасностью от найма до увольнения. 

• На этапе подбора HR первым вступает в контакт с кандидатами. Уже на этой стадии стоит показывать будущим сотрудникам, как правила кибербезопасности работают на практике: запрашивать персональные данные не через мессенджеры, а с корпоративной почты, общаться через защищённые каналы, например чат на hh.ru.
• На онбординге HR помогает сотруднику получить доступы, объясняет правила цифровой гигиены, безопасной работы с почтой и документами.
• В ежедневной работе HR может первым узнать от коллег о подозрительном письме или утрате паролей и передать эту информацию в службу безопасности.
• При увольнении сотрудника HR сообщает об уходе ИТ-специалистам, вместе с ними следит, чтобы доступы закрыли, а работник вернул технику.

HR сами могут стать жертвами кибермошенников: на электронную почту иногда приходят письма с фишинговыми ссылками — так злоумышленники пытаются украсть пароли от личного кабинета на ресурсах для подбора персонала. 

→ О том, как оградить себя и компанию от кибератак, рассказали в статье «Защищаем аккаунт работодателя на hh.ru: схемы мошенников и как им противостоять» 

Как кибербезопасность влияет на бренд работодателя

Работодателя оценивают не только по имиджу и условиям работы. Соискатели обращают внимание в том числе на то, как компания относится к безопасности сотрудников и их данных. 

Если организация делает киберзащиту элементом корпоративной культуры, обещания на этапе найма следует подтверждать на практике. Например, оберегать персональные данные от утечек, открыто реагировать на инциденты, если они происходят. Когда слова и действия не совпадают, это негативно влияет на имидж работодателя. И наоборот, если о кибербезопасности заботятся на каждом этапе, появляется доверие к HR-бренду. 

В таблице ниже показали, как система работает в HR-процессах:

Что может подорвать доверие к бренду 

Фишинговые письма и мошенничество. Невозможно полностью исключить попытки злоумышленников выдать себя за компанию. Но HR могут снизить риски: размещать вакансии и общаться с кандидатами через проверенные платформы, например hh.ru.

Напишите в поддержку hh.ru, если вы подозреваете попытку взлома аккаунта: 

• получили фишинговое письмо «от имени hh.ru» 
• увидели поддельную вакансию, размещённую от имени компании
• заметили необычные действия или отклики в аккаунте

Сообщение можно оставить в разделе «Помощь» на сайте или в приложении hh бизнес.

Утечка внутренних данных. Когда HR сохраняет резюме или документы на личном устройстве без защиты, данные могут попасть к злоумышленникам. Персональную информацию следует хранить только в защищённой корпоративной системе с настроенной двухфакторной авторизацией, когда доступ нужно подтвердить двумя разными способами.

Нет реакции на инциденты. Ошибки могут произойти в любой компании. Если руководство скрывает их, а сотрудники узнают об утечках по слухам, доверие падает. Когда HR помогает разбирать проблемные случаи, сообщает коллегам, какие меры приняли для защиты, такой подход повышает уровень доверия к работодателю.

Негативные отзывы. Критические комментарии не всегда вредят репутации: наоборот, когда отклики только положительные, это выглядит странно. HR может отслеживать отзывы на порталах, например на Dream Job, и реагировать на них корректно и вовремя. Тогда кандидаты и сотрудники увидят, что компания не скрывает проблемы и решает их.

Найм: как показать безопасность с момента знакомства

Иногда соискатели считают мошенниками реальных работодателей. Это происходит, когда компания:  

• указывает недостоверные условия труда
• долго не даёт обратную связь
• публикует расплывчатые требования в вакансии

Даже если компания настоящая, такие формулировки создают ощущение небезопасности. Соискатель теряет интерес уже на этапе отклика.

Чтобы создать доверие с первого касания:

• публикуйте вакансии с достоверными условиями, обязанностями и требованиями
• делайте презентацию компании: описание, логотип, фото, видео — например, на hh.ru можно оформить брендированную страницу и повысить конверсию в отклик на 20%
• общайтесь с кандидатами через официальные домены и на платформе hh.ru
• вовремя давайте обратную связь
• управляйте репутацией: отвечайте на отзывы, в том числе негативные

Если соискатели будут воспринимать компанию как надёжного работодателя, это поможет получать больше откликов и быстрее закрывать вакансии. 

Адаптация: как сделать период онбординга безопасным

Кандидат на вакансию получил предложение о работе и принял его. Что делать дальше: 

• Высылайте офер только через корпоративную почту — в нём тоже могут быть персональные данные
• Работайте с документами только через официальные каналы: запрашивайте их через корпоративную почту, храните в CRM-системе, например Talantix
• Проводите welcome-ритуал: включите в онбординг экспресс-курс о кибербезопасности на рабочем месте
• Проконтролируйте, чтобы сотруднику установили менеджер паролей и дали доступ только к ресурсам, которые нужны ему для работы

Обучение и внутренние коммуникации: как встроить кибербезопасность в рутину

Защита от цифровых угроз работает, только когда бизнес занимается ей системно. Если компания регулярно обучает сотрудников правилам кибербезопасности, это становится частью ежедневной рабочей рутины. 

Чтобы команда освоила навыки безопасного поведения в цифровой среде, не обязательно нанимать экспертов со стороны. Вот что можно сделать своими силами.

Внедрить микронапоминание. Это может быть короткое видео, текст или карточка с одной ситуацией и правильным действием: например, как поступать, когда пришло подозрительное письмо. Главное, чтобы формат надолго не отвлекал человека от работы и не вызывал раздражения. 

Проводить ролевые репетиции. Они помогают смоделировать ситуацию киберугрозы. Каждую неделю или месяц можно давать команде практические задания. Например, рассказать, что сделал сотрудник, когда получил подозрительное письмо. Потом обсудить, что он сделал правильно, а что нет.

Благодарить за сообщение о проблеме. Можно давать бейдж «Хранитель бренда» на корпоративном портале тем, кто сообщил о подозрительных действиях.

Поддерживать амбассадора. Если в компании есть сотрудник, который разбирается в теме кибербезопасности, следит за трендами и готов делиться знаниями, помогите ему донести информацию. Например, пригласите сотрудников на вебинар или встречу с ним, оформите вместе короткую памятку и разошлите команде.  

Эти действия создают привычку безопасного поведения и укрепляют доверие к компании.

Чек-лист: что HR может сделать для кибербезопасности уже завтра

• Определить зоны ответственности HR и специалистов по ИБ
• Проверить, чтобы в вакансиях не было формулировок, похожих на мошеннические
• Проконтролировать, соблюдают ли сотрудники HR-отдела правила хранения персональных данных и через какие каналы общаются с кандидатами
• Включить в онбординг welcome-ритуал о безопасном поведении и настройку менеджера паролей
• Создать внутренний канал для сотрудников «Сообщить о подозрении»
• Разработать первый микроурок по кибербезопасности