Як зберегти в безпеці корпоративну інформацію

безпеці

Хто володіє інформацією, той має світ», так брати Ротшильди пояснювали свій стрімкий фінансовий успіх. Володіти, у разі, лише – отримувати потрібну інформацію. Це ще й уміти її зберегти. У видовій та конкурентній боротьбі перемагає той, хто може захистити свою інформацію максимально довго. Нині «зняти» дані можна з практично будь-якого пристрою, без згоди власника. І за статистикою, найчастіше конфіденційні дані (і людей, і компаній) «витікають» через веб-сервіси (21,9% випадків), і трохи рідше – з мобільних комп'ютерів та планшетів (14,1%). Такі дані за 2015 рік надає компанія Zecurion Analytics, один із провідних незалежних аналітичних центрів з досліджень у галузі інформаційної безпеки та захисту даних від витоків.

Історія про помстуЛюдина здавалася безпечною і лояльною: де треба – підписував, куди треба – приходив, коли треба – мовчки слухав. Ймовірно, був незадоволений своїм статусом, на щось чекав, але його ніхто про це не питав. Один малозначний конфлікт із керівництвом запустив механізм пекельної помсти. Людина звільнилася, і за тиждень здивованим колегам стало відомо – не з порожніми руками. Справа відбувалася напередодні 4-го кварталу – коли будь-який рітейлер особливо націлений на сезонне зростання продажу, і тому «злив» маркетингового плану конкуренту може стати для нього фатальним.

Як захистити свої дані? Зниження реальних доходів, масштабні скорочення, і загалом нестабільна ситуація ринку праці позначилися настрої співробітників багатьох компаній. Побоюючись за власне майбутнє, люди почали копіювати доступнуконфіденційну інформацію. Іноді, що характерно – без злого наміру, а просто про всяк випадок. Чи мало. І цю тенденцію, безперечно, помітили і роботодавці. Тому, попри всі очікування, ринок DLP-систем (Data Leak Prevention – Захист даних від витоків) не тільки не скоротився, а й виріс – тому що компанії всерйоз інвестують у безпеку. Тому що збереження інформації в світі, що прискорюється, – важлива конкурентна перевага. Впровадження DLP-систем - справа непроста, оскільки передбачає і вкладення, і переробку документообігу (документи необхідно типізувати, щоб згодом за їх специфікою та типом контролювати їх рух). Проте їх використання спрощує роботодавцю і «суміжні» питання: архівування даних, контроль робочого часу, відсікання небажаного листування та загальна систематизація документообігу. Хоча зрозуміло, що якщо зловмиснику дуже потрібна якась інформація, він знайде спосіб обійти DLP-систему. Тим більше, що DLP, як і бізнеси, бувають різні і не до будь-якого процесу застосовні.

Мало що зможе вберегти, наприклад, бренд – та хай хоч, D&G, від копіювання нових моделей. Тут технології крадуть та перекуповують виставки, лекала знімають з фото – якість копії залежить від ступеня фізичної близькості до оригіналу. Середній час випуску копії у продаж на Aliexpress коливається від кількох годин до кількох тижнів (залежно від складності кінцевого виробу). Так, знамениті «сочинські» олімпійські футболки з п'ятим кільцем, що не розкрилося, з'явилися на китайському агрегаторі через 3 дні після показу оригінального дизайну, а копії суконь з іконописними принтами від тих же D&G - через 2-3 тижні. Таке «зливання» часто неможливе без підкупу. Zecuricon Analytics супроводжує звітні цифри таким зауваженням: «Людинає найбільш уразливою ланкою у справі забезпечення інформаційної безпеки. Більшість атак, у тому числі на великі компанії та підприємства, нереалізовані без участі їхніх співробітників». Завжди можна знайти слабку ланку - співробітника, готового за невелику винагороду дати доступ на склад, передати якісь дані. Ця слабка ланка може навіть не працювати на вас, а бути з «суміжників» – логіст, друкар, співробітник фурнітурної майстерні. Завжди можна знайти того, хто жадібніший за інших або не виплатив іпотеку. І це стосується і модного будинку, і гаражної майстерні.

Як завжди, справжнє рішення десь посередині, і воно дуже індивідуальне. Компаніям необхідно захищати свої дані. Треба підписувати з працівниками угоди про нерозповсюдження корпоративних даних, або угоди про неспівробітництво з прямими конкурентами компанії протягом 1-5 років від звільнення. Необхідно використовувати технічні можливості для блокування небажаної інформації зовні та всередині. DLP-системи, роботи-перлюстратори, "пісочниці". Можна переналаштувати CRM так, щоб доступ до всього її обсягу мав лише начальник відділу, а менеджери могли працювати лише у певних вкладках. Важливо прописати у бізнес-процесах інформування клієнтів при звільненні менеджера. Все це можна і потрібно робити, розуміючи: якісь співробітники все одно будуть неблагонадійні і, йдучи, спробують запровадити дані або клієнтів.

HR-консультант Світлана Малиновська погоджується з висновками Zecuricon Analytics щодо людського чинника: «Мало набрати співробітників, які не мають «приводів та судимостей» - при відборі кадрів потрібно чітко оцінювати потенціал неохайності людини. І постійно моніторити психологічний клімат у колективі: хто втомився, незадоволений, мовчить, переживає – із цього сміття,невимовлених образ, надуманих часом претензій, у зовні добрих людях прокидається бажання мститися найпідлішим чином. Так, «у кризу не до такої розкоші, як особистісні речі» - але найчастіше це не вимагає так багато часу і сил».