Как HR спасти компанию от утечек данных: 8 действенных шагов

739 утечек, 1,34 млрд скомпрометированных записей, 3,27 млн данных на один инцидент. В 2025 году человеческий фактор снова показал, что защита корпоративных данных — это не только задача IT. HR может превратить кибергигиену в естественную часть рабочей жизни. О том, как это сделать, рассказал Яков Сайдин, директор по привлечению талантов в МТС Линк.

Знакомьте новичков с базовыми правилами ИБ еще до выхода или в первый рабочий день

Можно использовать разные варианты. Например, добавить короткий и легкий для восприятия блок с основными правилами ИБ в welcome—письмо. 

Хорошо работает и устное погружение, когда в первый рабочий день руководитель или HR за пару минут проговаривает ключевые правила. Например: «У нас программы скачивают только с корпоративного портала. Пароли не храним под клавиатурой. Если придет странное письмо от гендиректора с просьбой перевести деньги, не делайте этого и напишите в чат поддержки». Еще вариант — дать новичку доступ к короткому обучающему модулю.

Напишите короткую памятку по ИБ для всех сотрудников

Памятка должна быть написана понятным языком без сложных терминов. Текст желательно сопроводить картинками для наглядности. Готовый документ должен умещаться в одну страницу. 

Разошлите памятку всем сотрудникам компании и добавьте ее в базу знаний. 

Системно повышайте ИБ-грамотность сотрудников через разные обучающие форматы

• Настоящие скриншоты обезличенных фишинговых писем с коротким комментарием: «Обратите внимание на адрес отправителя — он отличается от настоящего на одну букву». Можно раз в месяц отправлять их в общий чат 
• Короткие тесты-пятиминутки с призами для самых внимательных
• Контролируемые имитации фишинга — с согласия руководства и с последующим обучением для тех, кто попался

Договоритесь о праве на ошибку

Часто сотрудникам страшно признаваться в ошибках — например, в переходе по ссылке фишеров или отправке файла не тому адресату. Ведь нередко за этим следует наказание. Однако время реакции в таких ситуациях критично: чем позже об инциденте узнают, тем сложнее его локализовать.

Сделайте корпоративные инструменты удобными

Если сотрудники обсуждают профессиональные задачи в публичных мессенджерах, работают с файлами в личных облаках или подключаются к созвонам в сторонних ВКС-сервисах, не спешите с запретами. 

Сначала соберите обратную связь о том, почему люди не хотят пользоваться корпоративными инструментами. Медленный поиск? Неудобно прикреплять файлы? Отсутствует мобильная версия? Донесите выявленные проблемы до IT-отдела и добейтесь, чтобы текущие инструменты доработали или подобрали им удобную альтернативу. Когда это произойдет, люди перейдут в них сами.

Контролируйте доступы при перемещениях и увольнениях 

Формально изменение и закрытие доступов — задача IT/ИБ-отдела. Но именно HR владеет информацией о том, кто, когда и куда переводится или уходит, а значит, может выступать координатором этих процессов.

При внутренних перемещениях важно, чтобы доступы сотрудника автоматически пересматривались под новую роль. Иначе у человека могут оставаться права от прежней должности, которые ему уже не нужны (а иногда и не должны быть доступны). Настройте процесс так, чтобы при любой смене ролей HR отправлял в IT/ИБ-отдел запрос на пересмотр прав — это должно стать частью стандартного чек-листа перемещения.

При увольнениях алгоритм жестче. В чек-лист обязательно входят:

• Возврат техники
• Деактивация всех учетных записей
• Удаление пользователя из рабочих чатов и рассылок
• На exit-интервью напоминание о подписанном NDA и просьба удалить рабочие файлы с личных носителей

Участвуйте в разработке политик безопасности

HR хорошо понимает, как устроены реальные рабочие процессы и с какими сложностями чаще всего сталкиваются сотрудники. Поэтому его участие в рабочих группах по разработке политик безопасности помогает подсветить риски и нестыковки, которые могут быть не очевидны на первый взгляд. А значит, итоговые правила будут не только корректными с технической точки зрения, но также доступными и выполнимыми.

Обеспечьте безопасность данных в самих HR-процессах

Регулярно проверяйте, у кого из коллег есть доступ к данным о команде. HR работает с массой чувствительной информации, куда входят персональные данные кандидатов и сотрудников, результаты оценки персонала, сканы документов, зарплатные ведомости. Лишние права у других сотрудников повышают риски утечек.

Выбирая HR-сервисы, отдавайте предпочтение не публичным, а корпоративным решениям с серверами в России. Это помогает обеспечить защиту персональных данных и снижает риски, связанные с их передачей за пределы страны. 

В договоры с внешними подрядчиками обязательно включайте пункты о конфиденциальности и ответственности за передаваемые данные. Это касается, например, соглашений с кадровыми агентствами и провайдерами обучения. 

С Хантфлоу ваша база резюме защищена от утечек

База резюме — это ценнейший ресурс вашей рекрутинговой команды. Любая утечка, даже части базы, — это не просто потеря данных, а прямые финансовые потери компании.

В Хантфлоу вы можете контролировать работу рекрутеров с базой: ограничивать просмотр, скачивание, выгрузку в Excel и отправку резюме на почту. Если кто-то превысит лимит, управляющий рекрутер получит уведомление о нарушении.

Настраивайте суточные лимиты и выбирайте пользователей с полным доступом — например, для аналитиков. 

Еще Хантфлоу:

• Помогает соблюдать 152-ФЗ и политику конфиденциальности компании
• Соответствует требованиям GDPR — постановлению Европейского союза, направленному на защиту персональных данных всех лиц в Евросоюзе
• Прошел сертификацию по международному стандарту ISO/IEC 27001/ГОСТ Р ИСО/МЭК 27001-2021. Это один из главных документов о том, как компании должны защищать данные пользователей от утечек
• Является российским продуктом с серверами в России и сертифицированной инфраструктурой, что гарантирует соответствие госстандартам безопасности