В некоторых компаниях с внешней безопасностью все нормально. Но часто бывает, что заботясь о безопасности внешней, забывают о внутренней. Думают, что сотрудники лояльны и своей компании не навредят. Такое доверие сыграло злую шутку с руководителем одной микрофинансовой организации.
Казалось бы, уж в финансовой компании точно должен быть четкий информационный регламент, описывающий, к какой информации у каких сотрудников есть доступ, как действовать при приеме и увольнении сотрудников, как поступать если сотрудник себя скомпрометировал и так далее.
На практике все оказалось совсем не так. Сотрудник через три месяца после увольнения начал шантажировать владельца, тем, что покажет кое-какие документы заинтересованным лицам. Что было в этих документах и кому он их хотел показать, нам не сказали. Но бывший сотрудник хотел за это полтора миллиона рублей.
Руководитель был уверен, что документы появились уже после увольнения сотрудника. Стали разбираться, как он их мог получить. Долго искать не пришлось: руководитель просто не сообщил системному администратору, что сотрудник уволен. Все эти три месяца у него был полноценный удаленный доступ к серверу.
Самое глупое, что вопрос о регламенте информационной безопасности поднимался за последний год несколько раз, но поскольку никто, кроме системного администратора не проявлял заинтересованность, так ничего и не сделали. Только после такой вот ситуации взялись за голову и принялись решать проблему.