Если бы мир был идеальным, основателю компании было бы совершенно необязательно глубоко вникать в вопросы операционных стратегий, методик работы с персоналом и, конечно, корпоративной безопасности.
Но, такая ситуация возможна только в оторванной от реальности теории. Конечно, высшее руководство может оставить проблему защиты данных на откуп службе безопасности или IT-отделу. Но отсутствие понимания угроз может привести к печальным и далеко идущим последствиям для организации.
Роль ТОП-менеджмента в обеспечении информационной защиты сильно варьируется. На нее влияют такие факторы, как принадлежность к определенному сектору экономики, требования государственных регуляторов, и конечно, возможные прогнозируемые последствия утечки информации. Однако каждому руководителю будет полезно обдумать и проанализировать пять основных принципов, которые помогут обеспечить надежную защиту организации.
1. Менеджмент компании принимает активное участие в обеспечении информационной безопасности
Задача управленца любого уровня – анализировать возможные риски, определять приоритеты безопасности и выделять материальные и человеческие ресурсы для решения этих задач. Вопросы защиты информации должны обязательно включаться в повестку дня каждого собрания. Ситуативное решение проблем а, тем более, реакция на уже произошедший инцидент неминуемо ведет к многовекторному ущербу для организации.
2. Регулярная оценка угроз и рисков
Любая современная компания – это живой, постоянно развивающийся и меняющийся организм. Как следствие, возможные угрозы и риски также не статичны. Использование нового оборудования и программного обеспечения, возрастающие объемы хранимой информации, изменения бизнес-процессов, поглощение или слияние с другими компаниями, выход на новые рынки и расширение штата сотрудников – лишь малая часть факторов, которые могут стать причиной возникновения новых угроз и «дыр» в периметре информационной безопасности. Хакеры, мошенники, конкуренты и недовольные сотрудники всегда готовы воспользоваться уязвимостью для достижения своих целей. А спектр применяемых злоумышленниками инструментов и технологий, для получения доступа к ценной информации, растет с каждым днем.
В этом постоянно изменяющемся бизнес-окружении даже детально прописанный список рисков очень быстро устаревает. Анализ и исследование угроз должно идти непрерывно, а стратегическая карта рисков должна обновляться не менее одного раза в квартал.
3. Предполагаемые цели атаки
Компания хранит ценные данные о клиентах? Могут ли конкуренты нанести урон, который приведет к банкротству или потери лидирующих позиций на рынке, если похитят информацию? Что будет, если веб-сайт корпорации окажется взломан или перестанет работать? В какой финансовый ущерб выльется подмоченная репутация бренда?
Разведка угроз – обязательный этап при формировании любой стратегии защиты. Всегда есть наиболее уязвимые места, воздействие на которые приведет к максимальному ущербу.
Расстановка приоритетов дает возможность не только четко сформировать структуру периметра безопасности, но и помогает максимально эффективно распределить бюджет, выявляя первоочередные секторы для инвестиций в защиту данных.
4. Информация за пределами компании
Современный бизнес неразрывно связан с активностью в социальных сетях, использованием мобильных устройств, приложений и облачных сервисов. И даже если каким-то чудом компания не проводит никаких активностей в социальных медиа, и не использует общедоступные хранилища информации, трудно представить себе персонал, который массово откажется от аккаунтов ВКонтакте и престанет пользоваться такими удобными облачными дисками.
Обратная сторона медали заключается в том, что огромный пласт информации оказывается вне информационного периметра компании – за файерволом. Соответственно, шансы случайной утечки или преднамеренной кражи данных растут.
Первый шаг к снижению рисков – определение спектра данных, которые не могут выводиться за пределы компании: храниться в облачных сервисах, пересылаться электронной почтой, отправляться сообщениями или публиковаться в любых типах СМИ.
Второй шаг – внедрение мониторинга переписки по всем каналам доступным в компании, а также тщательный контроль трансфера информации. Подобные методы не только помогут предотвратить утечку, но и посодействуют в выявлении потенциальных «дыр» и угроз.
5. Системы защиты
Как бы иронично это не звучало, но внедрение современных комплексных систем защиты обходится очень дешево. Одна утечка данных выльется в гораздо большие расходы, чем инсталляция DLP-системы и обучение персонала правилам работы с информацией.
Ежегодно сотни компаний теряют миллионы долларов из-за краж информации, терпят имиджевый ущерб, теряют позиции на рынке и лояльность клиентов. В такой ситуации инвестиции в системы защиты – первоочередная и быстро окупающаяся задача каждого руководителя.