ИНСАЙТЫ | Корпоративная информация 5 декабря 2007 г.

Хищение информации как угроза бизнесу

Автор: Константин Здыбель, ведущий специалист по продукции, "БАКОТЕК"

Сегодня компании сталкиваются с множеством испытаний, которые они должны преодолеть для успешного ведения бизнеса. Среди них не последнее место занимает борьба с различного рода угрозами информационной безопасности, источниками которых могут быть как внешний мир, так и инсайдеры. И хотя на долю внешних угроз приходится около 70% от их общего числа, ущерб, понесенный вследствие атак извне в денежном выражении порой уступает ущербу, причиненному компании ее же сотрудниками. В большинстве случаев это касается хищения корпоративной информации. Почему же подобные инциденты происходят? Причины могу быть разные.

В первую очередь — это финансовая заинтересованность инсайдера в причинении ущерба компании. Такая мотивация встречается чаще всего. Вы наверняка слышали о том, как сотрудник KIA Motors продал китайским автомобилестроителям десятки ноу-хау корейцев? Эксперты оценили ущерб в миллиарды долларов.

Во-вторых, сотрудник может навредить организации, в которой работает, только потому, что он на нее за что-то обижен. Возможно, он считает, что его недооценивают. Или же его просто не пригласили на очередной корпоратив. И хотя такие случаи нечасты, сбрасывать со счетов их тоже не стоит.

Ну а третий вариант — это банальная халатность. Ведь далеко не все понимают, что иметь доступ к информации и иметь право ее разглашать — это разные вещи. Некоторые работодатели воспринимают принцип «только между нами», как само собой разумеющееся. А зря. Некоторым нужно подробно разъяснить, что коль этот человек работает в финансовом департаменте и обрабатывает денежные потоки компании, то это еще не означает, что он может делиться подобного рода данными с кем-либо. При этом одного разъяснения мало — нужно, чтобы сотрудник подписал соответствующую бумагу и понимал, что ему грозит в случае нарушения соглашения. Но и этого мало. Нужно внедрять средства, которые будут предотвращать попытки нарушения корпоративной политики безопасности.

Каким же должно быть такое средство предотвращения утечки информации? Поскольку мы сейчас говорим о программных решениях, я бы выдвигал такие требования:

  1. Должны контролироваться все возможные каналы передачи данных, адекватные для таких решений: USB, FireWire, CD/DVD-R/RW, WiFi, IrDA, HTTP, FTP, SMTP, принтеры, средства мгновенного обмена сообщениями и т.д.

  2. Средство должно быть легко развертываемым и масштабируемым.

  3. Политика безопасности должна быть активна, даже если сотрудник работает с данными вне сети компании (например, находясь с ноутбуком в командировке)

  4. Должна присутствовать подсистема классификации данных. Ведь нет никакого смысла защищать всю информацию на машине пользователя. Пусть себе обменивается музыкой или фотографиями с дня рождения, а вот квартальный отчет в чужие руки попасть не должен. Данная подсистема должна обладать несколькими методами классификации: по типам файлов, по типу содержимого, по местонахождению данных и т.д.

  5. Необходимо производить не только предотвращение утечек информации, но и контроль: кто, когда и что пытался сделать. Необходимо сохранять логи событий и копии данных в качестве улики.

  6. В отдельных случаях нет необходимости блокировать трансфер данных, достаточно его просто отслеживать.

Возможно, кто-то добавит что-то свое, но основные требования я озвучил. Когда подобная система предотвращения утечек информации будет внедрена, компания может вздохнуть более-менее свободно. Конечно же, огромное значение имеет качество внедрения подобных решений, поскольку продумать нужно все до мелочей. Ведь стоит не учесть одну-единственную лазейку при построении политики безопасности, и этой лазейкой в обязательном порядке воспользуется злоумышленник. Тысячу раз проверено — законы Мерфи действительно работают.




ЧИТАЙТЕ ТАКЖЕ:
КНИГИ ДЛЯ РАЗВИТИЯ:
Стратегия успеха. Как избавиться от навязанных стереотипов и найти свой путьСтратегия успеха. Как избавиться от навязанных стереотипов и найти свой путь
Выбери себя!Выбери себя!
Правило четырех секунд. Остановись. Подумай. СделайПравило четырех секунд. Остановись. Подумай. Сделай

МЕТОДОЛОГИЯ: Стратегия, Маркетинг, Изменения, Финансы, Персонал, Качество, ИТ
АКТУАЛЬНО: Новости, События, Тренды, Инсайты, Интервью, Бизнес-обучение, Рецензии, Консалтинг
СЕРВИСЫ: Бизнес-книги, Работа, Форумы, Глоссарий, Цитаты, Рейтинги, Статьи партнеров
ПРОЕКТЫ: Блог, Видео, Визия, Визионеры, Бизнес-проза, Бизнес-юмор

Страница Management.com.ua в Facebook    Менеджмент.Книги: телеграм-канал для управленцев    Management Digest в LinkedIn    Отслеживать нас в Twitter    Подписаться на RSS    Почтовая рассылка


Copyright © 2001-2023, Management.com.ua

Менеджмент.Книги

телеграм-канал Менеджмент.Книги Менеджмент.Книги — новинки, книжные обзоры, авторские тезисы и ценные мысли из бизнес-книг. Подписывайтесь на телеграм-канал @books_management



Спасибо, я уже подписан(-а)