VÁLLALATI INFORMÁCIÓS RENDSZEREK, INTERNETES TECHNIKÁK Az Internethasználat Irányelvei: a személyes célú internethasználat szabályozása a vállalatoknál Az internet használatának általános elterjedtsége arra kényszeríti a vállalatokat, hogy irányelveket (politikát) dolgozzanak ki az internet vállalaton belüli használatára. Erre elsősorban azért van szükség, mert az alkalmazottak munkahelyükön gyakran személyes célból interneteznek, amiből számos probléma és konfliktus származhat. Ezek megelőzésének jó eszköze az írott és mindenki által elfogadott Internethasználati Irányelvek (vagy Politika). Ebben nagyon különböző kérdéseket kell ismertetni, illetve rendezni, pl. a biztonság ügyét, a figyelést és szűrést, a titkosság jogát, a szellemi tulajdonnal kapcsolatos problémákat, a megengedett és a nem megengedett internethasználatot, az előírások megszegésével járó szankciókat stb. Tárgyszavak: biztonság; humánpolitika; információszerzés; internet; munkaügy.
Az internet személyes célú használatát szabályozó írott irányelvek jelentősége Valamennyi szervezet, ill. vállalat tudatában van annak, hogy milyen többletértéket jelentenek az alkalmazottak számára az interneten rendelkezésre álló információk és egyéb források. Az internet használata révén drasztikusan lehetett csökkenteni a beszállítókkal és ügyfelekkel folytatott külső kommunikáció akadályait, valamint a munkatársakkal és a vezetőkkel folytatott belső kommunikációt. Az elmúlt évtizedben számos szervezet ért el hatalmas fejlődést az internetes információcsere fejlődésének köszönhetően. Hasonlóképpen, az alkalmazottak számára is sokkal könnyebb lett az információcsere, mint azelőtt bármikor. Sokak szerint az alkalmazottak internethasználatának köszönhető többek között a jövedelmezőség növekedése, a költségek csökkenése,
az ügyfelek tökéletesebb kiszolgálása és a kommunikáció javulása. Ugyanakkor egyes vezetők azt állítják, hogy az internettel való visszaélés miatt az alkalmazottak termelékenysége csökkent. A vállalat szempontjából az internettel való visszaélés lényegében azt jelenti, hogy az internetet munkaidőben, személyes célokra használják. A vezetőkre vár tehát annak a problémának a megoldása, hogy az internet által nyújtott előnyök kihasználására buzdítással egyidejűleg ellenőrizhetővé tegyék a termelékenységet. Egy 2001 évre vonatkozó felmérés szerint az internet személyes célú használata az előző évhez képest a heti 6,9 óráról 9,8 órára növekedett, és mintegy 57 millió alkalmazott vette igénybe ilyen célokra a munkahelyi internetet. Egy másik felmérés kimutatta, hogy azoknak az alkalmazottaknak a száma, akik a versenytársaktól kaptak bizalmas információkat, egy év alatt 9,2%-ról 24,1%-ra nőtt. Ugyanakkor mind több alkalmazott számára érkezik dokumentummal kiegészített e-mail. A jelentések szerint az alkalmazottaknak mintegy egyötöde vállalaton belülről kap támadó jellegű e-mailt. Az alkalmazottak egyharmada bevallotta, hogy naponta legalább 25 percre veszi igénybe személyes célokra az internetet. Az internet munkaidőben való használatának elterjedése a szervezetek irányítóit arra ösztönözte, hogy lépéseket tegyenek az internet egyértelműen elfogadható, illetve elfogadhatatlan használatát tisztázó irányelvek vagy politikák kidolgozására. Ezekkel, vagyis az Internethasználat Irányelveivel vagy Politikáival (angolul Internet Usage Policies) és azok kidolgozásának szempontjaival foglalkozik az alábbi tanulmány. Mielőtt egy szervezet hozzákezdene a saját Internethasználati Irányelvek (IHI) kidolgozásához, fel kell vetnie néhány alapvető kérdést: Miért van szükség IHI-re, ennek mi a célja? Kire vonatkozik az IHI, a szervezeten belül hol és mikor alkalmazzák azt? Hogyan hozzák létre, hogyan vezetik be és hogyan ellenőrzik az IHI-t?
Az Internethasználati Irányelvek elemei Az Irányelvek áttekintése Célszerű, ha az Internethasználati Irányelvek rövid áttekintéssel kezdődik, ami bevezetésként szolgál az alkalmazottak számára arról, hogy miként lehet az internet lehetőségeit a szervezet érdekében hasznosítani. Az áttekintés meghatározza az Internethasználati Irányelvek lényegét és azt, hogy miért van szükség egyáltalában irányelvekre. Ennek keretein belül nagyszerű alkalom kínálkozik annak ismertetésére,
hogy milyen elképzelések irányítják a szervezetet az internet használatában. Az irányelvek áttekintésekor ki kell térni két alapvető kérdésre: miért van szükség az alkalmazottak etikus viselkedésére, és fel kell hívni a figyelmet arra, hogy az aláírt Internethasználati Irányelvek jogilag kötelező megállapodás. Egyes esetekben az IHI egyes részleteire is felhívják a figyelmet. Az áttekintés során esetleg célszerű lehet az „Ön” megszólítás következetes használata. Ezzel lehet érzékeltetni, hogy az Irányelvek nem csupán valamiféle senki által el nem ismert és figyelmen kívül hagyható újabb előírás-gyűjtemény, hanem személyre szóló dokumentum. Erre a közvetlen megszólításra példa a következő: „Mi ragaszkodunk ahhoz, hogy Ön becsületesen és megfelelően viselkedjen az interneten”. Ha a „mi” helyett a cég nevét, az „Ön” helyett az „alkalmazott” kifejezést használnánk, az kevésbé lenne közvetlen. Az irányelvek áttekintő ismertetése lehet akár hosszú (több, mint egyoldalas), akár rövid (egy bekezdéses), a lényeg az, hogy megkönynyítse az Internethasználat Irányelvei konkrét részleteinek megértését. Biztonság Az Internethasználat Irányelveinek mindig foglalkoznia kell a biztonság kérdésével. A legtöbb alkalmazott megérti, hogy az internet használata biztonsági kockázattal jár, sokan azonban nincsenek tisztában azzal, hogy melyek azok a tevékenységek, amelyek alapvetően kockázatosak. Kockázati források pl. a böngészés a világhálón, a JAVA, a fájlátvitel, az FTP, az e-mail, a hírcsoportok (newsgroups). Általában elegendő, ha csupán ezek alapelveit magyarázzuk meg az alkalmazottnak. Az IHI-ben hangsúlyozni kell a szervezet adataival kapcsolatos biztonsági kockázatokat és a szigorú adatvédelem szükségességét. A szervezet által használt biztonsági intézkedések részleteire is ki lehet térni, rámutatva a tűzfalakra, a proxikra, a szűrőkre, a felügyeleti ellenőrzésre és egyéb biztonsági rendszerekre. Az elővigyázatossági intézkedéseket meg kell említeni azoknak a felhasználóknak is, akik az internetet olyan korszerű telefonos kapcsolatokon keresztül érik el, amelyek megkerülik a normális biztonsági intézkedéseket. A biztonsági rendszerben rá kell mutatni azokra a következményekre, amelyekkel az olyan alkalmazottaknak kell számolniuk, akik megkísérlik megkerülni a szervezetben megvalósított bármely biztonsági intézkedést. A fegyelmi következmények a figyelmeztetéstől és az internet használatának felfüggesztésétől az állás felmondásáig terjedhetnek. A vezetőknek mérlegelniük kell, hogy a biztonsági rendszer hatástalanítása
miatt kiszabott fegyelmi intézkedés világosan érzékelteti-e, hogy a szervezet mennyire veszi komolyan az internethasználat biztonsági kockázatait. Az Internethasználati Irányelvekben mindig rá kell mutatni arra, hogy mennyire fontos a szervezeten kívülről származó adatok ellenőrzése vírus szempontjából. Az Internethasználati Irányelvekben esetleg meg is lehet magyarázni a vírusok általános forrásait, pl. az e-mailt és a fájlmegnyitást. Az adatok titkosítása is a biztonság fontos tényezője lehet, ha szükség van a bizalmas információk vagy az üzleti titkok védelmére. Az Irányelveknek elő kell írniuk, hogy melyek az interneten továbbítás előtt titkosítást igénylő adatok. Figyelés (monitoring) és szűrés Az Internethasználat Irányelveiben a monitoringpolitika ismertetésére is szükség van. Az alkalmazottakat tájékoztatni kell arról, hogy mely tevékenységeket kell figyelni (monitorozni), milyen gyakorisággal kerül sor figyelésre és a vezetést hogyan tájékoztatják az ellenőrzési tevékenység eredményeiről. Amennyiben az internet használatát regisztrálják, arra az IHI-ben is utalni kell. Nem lényeges vagy nem is célszerű rámutatni arra, hogy mennyi ideig tárolják az adatokat. Az alkalmazottakat tájékoztatni kell arról, hogy biztonsági okoknál fogva a törölt adatokat is tárolhatják. Az interneten a szűrés közvetlen kapcsolatban van az internet használatának figyelésével. Az IHI-nek utalnia kell a szűrő szoftver alkalmazására, és részleteznie kell, hogy milyen típusú információk kiszűrésére kerül sor. Közvetlenül, egyenesen ki kell jelenteni, hogy például a „felnőtteknek szóló”, illegális vagy kirekesztő jellegű anyagokat szűrik. Ne legyen kétség azt illetően, hogy milyen tartalom kerül kiszűrésre vagy milyen információ továbbítása tilos. Egyetlen szűrő szoftver sem teljesen hibamentes, és előfordulhat, hogy nem kívánatos anyag mégis átcsúszik a szűrőn. Az Internethasználati Irányelvek mutasson rá arra, hogy milyen intézkedésre van szükség, ha ilyesmi előfordul. Amennyiben a felhasználók számára bizonyos időpontokban engedélyezik az internet személyes célokra való felhasználását, akkor ezeket az irányelveket fokozottan kell érvényesíteni. Személyi jogok és aggályok Az alkalmazottak ne úgy fogják fel, hogy tevékenységük az interneten magánügy. Bár a vállalat ne keltsen olyan benyomást, hogy a vezetés minden billentyűlenyomást és egérkattintást ellenőriz az interneten,
mégis tudatosítani kell az alkalmazottakban, hogy nem alapvető jog az internet használata személyes célokra, munkaidőben. Az interneten végzett tevékenység távellenőrzésén túl az Internethasználati Irányelvek egyértelműen tudatosítsa, hogy a szervezetnek joga van hozzáférnie az általa birtokolt helyi merev lemezen vagy más eszközön tárolt minden információhoz. Szellemi tulajdon A vállalat számítógépein és számítógépes hálózatain tárolt valamennyi adat a szervezet tulajdona. Az IHI mutasson rá arra, hogy az internetről letöltött valamennyi szoftver és fájl is a szervezet tulajdonába kerül. Tilos minden nem engedélyezett tartalom, pl. „felnőtteknek szóló” képek vagy jogilag nem engedélyezett szoftverek letöltése. A szellemi tulajdon különösen fontos olyan szervezetek számára, amelyek bizalmas információkat, üzleti titkokat vagy magántulajdonban lévő szoftvereket továbbítanak. Az ilyen adattípusok rendkívül kényesek és ezért komoly problémákat okozhatnak a vállalat számára. A felhasználókat az Internethasználati Irányelvek világosítsa fel arról, hogy felelősek a vállalat szellemi tulajdonának helyes kezeléséért. Egyes cégek szűrő szoftvert alkalmaznak arra, hogy bizonyos adatok internetre kiszivárgását megakadályozzák. Ajánlatos az ilyen szűrők alkalmazását nem ismertetni, nehogy az alkalmazottak úgy érezzék, ill. abban bízzanak, hogy a szoftver már önmagában is szavatolja az adatok biztonságát. A szervezet képviselete Az alkalmazottak az internetet arra is használhatják, hogy beszállítókkal, ügyfelekkel, elemzőkkel, médiával és más személyekkel is kommunikáljanak. Ez történhet pl. hírcsoportok, csevegő csoportok, „faliújság” és e-mail révén. Az Irányelvek magyarázza meg, hogy a szervezet mely képviselői jogosultak az interneten a szervezet nevében kommunikálni. Fontos az imázs védelme, ami szükségessé teszi annak tisztázását, hogy az egyes alkalmazottak milyen mértékben képviselhetik kifelé a vállalatot. Az elfogadható személyes használat Amennyiben egy vállalat engedélyezi az internet személyes használatát, dokumentálni kell a megengedett határokat. Fel kell sorolni, hogy az internet milyen típusú helyeinek használata engedhető meg. Az IHI általában nem írja elő mennyiségileg, hogy mennyi személyes használat fogadható el. Gyakoribb, amikor csupán utalnak az internet használa-
takor a normális üzleti tevékenységet esetleg zavaró hatásokra. A vállalatok úgy is határozhatnak, hogy pihenőidőben vagy ebédidőben engedélyezik az internet személyes célú használatát. Az internet ellenőrzésére és a szűrésre azonban ilyenkor is sor kerül. Indokolt a figyelmeztetés, hogy az internet személyes használatát szintén ilyen előírások szabályozzák. A szervezet számítógépének használatakor még munkaszünet idején sem számíthat senki a személyes információk védelmére. A személyes célokra való felhasználással kapcsolatban talán a legfontosabb az a definíció, amely a normális üzleti tevékenység zavarására vonatkozik. Előfordulhat, hogy a szervezetek ezt csupán körülírják és a döntést esetenként a vezetőség egyedi értelmezésére bízzák. Olyan záradék is szerepeljen az Irányelvekben, amely szerint a vezetés bizonyos esetekben nem engedélyezi az internet személyes célú használatát, például valamilyen fontos projekt idején. Amikor a személyes használat elfogadhatatlan Ugyanúgy, ahogy az Internethasználati Irányelvek meghatározza a megengedhető személyes használatot, az elfogadhatatlan személyes használatot is definiálni kell. Az IHI-ben fel kell sorolni azokat tevékenységek, amelyeket a szervezet nem engedélyez. Ez a felsorolás egyetlen szempontból sem lehet kétértelmű. Az internet személyes célokra való elfogadhatatlan használatának szempontjai mind munkaidőben, mind munkaszünet alatt érvényesek. A tiltott tevékenységek közé tartozhatnak pl. a következők: – tömeges e-mail-küldés, – online szerencsejáték, – részvénytőzsde használata, – személyes haszonra végzett kereskedés, – számítógépes vírusok kifejlesztése vagy szétküldése, – vulgáris, rasszista vagy obszcén anyag terjesztése, – a szerzői jog megsértése, – kényes vagy bizalmas információk kiszivárogtatása, – szoftverkalózkodás vagy egy másik rendszerbe való behatolás kísérlete. A figyelő vagy szűrő szoftver megkerülésének bármilyen kísérlete tilos. Az Internethasználati Irányelveknek kell biztosítania a vezetés számára a megengedhetetlen személyes használat egyedi megítélését.
A szabálysértések vizsgálata és retorziók Az alkalmazottakat az Internethasználati Irányelvekben fel kell világosítani arról, hogy milyen vizsgálatokra kerül sor az Irányelvek szabályainak megsértésekor, és milyen fegyelmi intézkedéseket vonhat az maga után. Ezeknek összhangban kell lenniük a szervezet általános fegyelmi irányelveivel. Az első ízben, az ismételten elkövetett és a különösen durva szabályzatsértés különböző büntetést igényel. Nem lehet minden szabályzatsértési esetre külön-külön kitérni, ezért szándékosan kellő teret kell biztosítani a vezetés számára ahhoz, hogy a szabálysértés jellegétől függően egyedileg dönthessen. A fegyelmezésre vonatkozó előírásokban figyelmeztetni kell az alkalmazottakat az Internethasználati Irányelvek megsértésének lehetséges következményeire. Az Internethasználati Irányelvek általában olyan előírást is tartalmaz, hogy bizonyos szabályzatsértések az állás felmondását vonhatják maguk után. Ez a záradék igen fontos a szervezet védelme érdekében, amennyiben az internetet nem megfelelő módon használó alkalmazottnak felmondanak, és az érintett ez ellen tiltakozna. Az Irányelvek közzététele és szétosztása Amikor megtörtént az IHI kidolgozása, azt a szervezet minden alkalmazottjával ismertetni kell. Bevezetésként valamennyi alkalmazott kapja meg az IHI kinyomtatott példányát, és mindenkit fel kell kérni, hogy oly módon fejezze ki egyetértését, hogy az Irányelveket dátumozottan aláírja. Az egyetértést például így lehetne kifejezni: „Elolvastam a (szervezet) Internethasználati Irányelveket (IHI). Teljesen értem az Irányelvek részleteit, és azokhoz tartom magam. Megértem, hogy a (vállalati) biztonsági szoftver regisztrálja a vezetés számára mindazokat a helyeket az interneten, amelyeket felkerestem, és ezzel kapcsolatban valamennyi olyan tevékenységemet rögzítik, amelynek során bármilyen fájlt továbbítottam vagy kaptam. Tudomásul veszem, hogy regisztrálnak bármilyen üzenetet, amelyet küldök vagy kapok, és azt a vezetés számára archiválják. Tudomásul veszem, hogy az Irányelvek bármilyen megsértése fegyelmi intézkedést von maga után.” A vezetés az Internethasználati Irányelvek szétosztásakor szóban magyarázza meg, hogy miért fontos valamennyi alkalmazott számára annak elfogadása és aláírása. A kezdeti szétosztást követően a szervezet által hivatalosan felvett valamennyi új alkalmazott számára kötelező az Internethasználati Irányelvek aláírása. Az Irányelvek másolatait az alkalmazottak számára bármikor rendelkezésre kell bocsátani. Az Irányelveket a vállalat saját hálózatán és kifüggesztve is közzé kell tenni. Em-
lékeztetés céljából a különböző vállalati közleményekben is ismertetni kell azt.
Gyakorlati megvalósítás A fentiekben az Internethasználati Irányelvek alapvető elemeit ismertettük, de az Irányelveket természetesen az egyes szervezetek sajátosságainak megfelelően, módosított formában, más elemekkel kiegészítve is be lehet vezetni. Terjedelme egyoldalastól tízoldalasnál hoszszabbig változhat. Az egyszerűség előnyét a legtöbb szervezet igyekszik kihasználni. A nagy vonalakban megfogalmazott változat kevésbé érezteti azt, hogy az alkalmazottat mindenütt megfigyelik, egyes vállalatok viszont részletes változattal akarják biztosítani, hogy ne legyen kétség azt illetően, hogy milyen tevékenység tilos. Ajánlatos az Internethasználati Irányelvek nyelvezetét munkaügyi jogásszal felülvizsgáltatni. A gyakran változó törvényi előírások miatt szakértői véleménnyel kell védeni a szervezet és az alkalmazottak érdekeit. Bár a jogi szakértelem igénybevétele fontos, kerülni kell az alkalmazottak elárasztását jogi zsargonnal, ezért az IHI-t mindenki számára közérthetően kell megfogalmazni. Nem szabad eltúlozni az interneten végzett online munka ellenőrzését, mert az pénzben és időben sokba kerül. A vezetők az alkalmazottak által végzett munka mennyiségét értékeljék, anélkül, hogy méricskélnék, hány percet töltött el az alkalmazott az interneten személyes céljaira. Az alkalmazottak ellenőrzésére még mindig a hagyományos eszközök a legeredményesebbek. A teljesítmény növelését egyáltalán nem segíti elő a mindenre kiterjedő, szigorú ellenőrzés. Különösen az internettechnológiával rendkívül intenzíven foglalkozó alkalmazottak számára van szükség személyi célokat szolgáló megszakításokra, mert ezek után még hatékonyabban tudják folytatni hivatalos munkájukat.
Kiegészítő megjegyzések Az Internethasználat Irányelvei eredményesen tudják megakadályozni, hogy az internetet az alkalmazottak nem megengedhető módon vegyék igénybe. Az internet személyes célú használatát leghatékonyabban azonban a szilárd vállalati kultúra akadályozza meg. A pozitív vállalati kultúra arra ösztönzi a munkavállalókat, hogy fokozzák teljesítményüket, és kevesebb időt vesztegessenek el az internet személyes célokra használatával. A negatív kultúra viszont egyeseket arra ösztönözhet, hogy az internet szándékosan helytelen felhasználásával torolják
meg személyes sérelmeiket. Sok esetben ajánlatos, sőt kívánatos, hogy a vállalat az írott szabályzatok helyett kulturális normákat vegyen figyelembe. A vezetőség legyen tudatában annak, hogy még a legetikusabb alkalmazott is hajlamos munkaidő alatt valamennyi nem hivatalos tevékenységet folytatni. A telefon használata személyes megbeszélésekre, saját dokumentumok lefénymásolása, az internet felhasználása a részvényárfolyamok ellenőrzésére vagy a legújabb rövid hírek elolvasására – mind általánosan elfogadott tevékenység, ezért az Internethasználati Irányelvek megfogalmazásakor annak nyelvezete legyen összhangban a vállalati kultúrával. Összeállította: Dr. Barna Györgyné Welebir, B.; Kleiner, B. H.: How to write a proper internet usage policy. = Management Research News, 28. k. 2/3. sz. 2005. p. 80–87 Necessity of a K-12 Internet acceptable Use Policy (AUP), letöltve augusztus 1-jén a http://www2.msstate.edu/~fyh1/aup.html http://www.elronsoftware.com