Что нам делать со всей этой бумагой?
Вполне вероятно, что в вашей организации немало информации напечатано на бумаге, записано в блокнотах или нацарапано на стикерах. Часть этой информации может быть особо конфиденциальной: распечатки бюджетов, списки участников, конфиденциальные письма от спонсоров и записи с частных встреч. Необходимо подумать о безопасности и этой информации. Если вам необходимы печатные копии конфиденциальных документов, убедитесь, что они надежно хранятся в запираемом шкафу или другом безопасном месте. Никогда не храните личную или конфиденциальную информацию (включая пароли) на рабочем столе или на маркерной доске. Если вы полагаете, что ваша организация может пострадать от взлома или обысков, храните конфиденциальную информацию в менее уязвимом месте.
По мере возможности постарайтесь избавиться от ненужной информации в бумажном виде. Помните: невозможно украсть то, чего нет. Установите правило организации в отношении владения распечатанными заметками и обязательно забирайте все бумажные заметки у сотрудников, если они решат уйти или будут уволены из организации, точно так же, как если бы вы забрали корпоративный компьютер или телефон. Приобретите качественный шредер для уничтожения конфиденциальных бумажных документов. В конце недели можно устраивать с сотрудниками веселый 15-минутный перерыв и измельчать шредером оставшиеся с предыдущей недели конфиденциальные распечатки или заметки.
Офисная политика
Хотя «офисные» реалии для многих значительно изменились с началом пандемии COVID-19, по-прежнему важно установить четкую политику доступа в офис организации. Такая политика должна отвечать на ключевые вопросы, в том числе кому разрешено находиться в офисе (и когда), кто может получать доступ к каким офисным ресурсам (например, к сети Wi-Fi) и как быть с посетителями.
Простой, но важный вопрос, на который нужно ответить: у кого будут ключи от офиса. Ключи должны быть только у надежных сотрудников, а замки следует менять при увольнении сотрудников и/или на полурегулярной основе. В течение дня все незапертые двери должны постоянно находиться в поле зрения кого-то из проверенных сотрудников организации. Также подумайте, насколько доверительные отношения у организации с вашим арендодателем или клининговым персоналом. Подумайте о том, к какой информации или устройствам могут иметь доступ такие люди, и обеспечьте защиту этих устройств, особенно при отсутствии доверительных отношений. Кто бы ни имел доступ, всегда должно быть доверенное лицо, которое запирает офис и проверяет, что устройства должным образом защищены, прежде чем уйти в конце дня.
Могут ли в офисе находиться посетители? Если да, убедитесь, что у них нет доступа (по крайней мере свободного) к устройствам или конфиденциальным документам на бумажных носителях. Если требуется или предполагается, что у посетителей должен быть доступ к Интернету в офисе, следует настроить «гостевую» сеть, чтобы у них не было возможности отслеживать ваш обычный трафик. Вообще-то только у доверенных сотрудников должен быть доступ к сети и сетевым устройствам, таким как принтеры. Также обычно рекомендуется ввести систему регистрации посетителей, чтобы иметь журнал посещений.
Цель разработки офисной правила должна состоять в том, чтобы доступ к конфиденциальным устройствам, документам, пространствам и системам был ограничен исключительно доверенными лицами.
Поддержка сотрудников и волонтеров
Угрозы физической безопасности вашей организации могут повлиять и на сотрудников. Как и преследованиям в социальных сетях, угрозам физической безопасности, как правило, чаще подвергаются женщины и маргинализированные группы населения. И речь не только о разбитых окнах и украденных ноутбуках. Запугивание, угрозы и совершение физического или сексуального насилия, домашнее насилие и боязнь нападения могут оказать серьезное негативное влияние на жизнь сотрудников. Для организаций, которые сотрудничают с политически активными женщинами или поддерживают их, полезным ресурсом станет Инструмент планирования безопасности под названием #Думай10, разработанный NDI для защиты тех, кто может подвергаться повышенному личному риску из-за своей деятельности.
Благополучие сотрудников, безусловно, является важным активом для них как личностей, но оно также является важнейшим элементом здоровой и хорошо функционирующей организации. Поэтому подумайте, какие дополнительные ресурсы вы можете предоставить сотрудникам, чтобы обеспечить их защиту и помочь восстановиться в случае физического нападения или цифровой атаки. Как уже упоминалось в настоящем Пособии, это означает как минимум составление списка ресурсов, к которым сотрудники смогут в случае необходимости обратиться за юридической, медицинской, психиатрической и технической помощью. Еще раз: в «Полевом руководстве по борьбе с онлайн-преследованиями» от PEN America изложены идеи о том, каким образом организации могут поддерживать сотрудников во время и после критических ситуаций, а в «Комплексном руководстве по безопасности» от Tactical Tech содержится релевантный контент о типичных реакциях организаций на серьезные угрозы.