Как обезопасить компанию от коммерческого мошенничества, в т. ч. от похищения личных данных? Какие способы использовать? Кому доверять, а кого проверять?
Несколько реальных случаев.
Директор компании жалуется на ХАКЕРОВ, которые постоянно воруют коммерческую информацию из корпоративной компьютерной сети, что приводит к убыткам.
Анализ состояния корпоративной компьютерной сети показал отсутствие реальных атак на фирму. Дальнейший анализ общей системы безопасности фирмы позволил найти «хакера» — системный администратор, он же курьер, он же племянник директора, за небольшое вознаграждение копировал и передавал конкурентам интересующую их информацию.
От организации отделилась группа сотрудников, создала новую фирму в аналогичной сфере деятельности, и заказчики, в том числе и вновь появившиеся, стали постоянно уходить к конкуренту.
Анализ состояния информационной безопасности фирмы показал, что отсутствие контроля количества печатаемых на принтере накладных позволило кладовщику за вознаграждение передавать копии документов с реквизитами заказчиков конкурентам.
В фирму поступила информация из правоохранительных органов об осуществлении ряда незаконных платежей с использованием внешнего IP-адреса фирмы. Подобная ситуация могла привести к изъятию серверов и приостановке бизнес-процесса.
Однако грамотная настройка оборудования и программного обеспечения позволила сделать быстрый и документированный анализ системных журналов и показать отсутствие незаконных действий со стороны сотрудников фирмы.
Представленные примеры показывают важность информационного обеспечения фирмы и необходимость его защиты.
Нужно понять, что безопасность фирмы, ее экономическая и информационная безопасность не красивые словосочетания, а требования бизнеса, без которых успешная экономическая деятельность невозможна.
Известно, что информация представляет собой весьма ценный продукт и, естественно, нуждается в определенной защите. Защита информации обеспечивает соблюдение:
конфиденциальности, т. е. защиту от несанкционированного доступа;
целостности, т. е. защиту от несанкционированного изменения;
доступности, т. е. защиту от несанкционированного удержания информации и ресурсов.
Политика информационной безопасности — составная часть общей политики безопасности предприятия. Прежде чем приступать к мероприятиям по обеспечению информационной безопасности, необходимо определить: что защищать, от кого и как. Для этого производится обследование объекта защиты, после чего составляется специальный пакет документов, называемый «Политика информационной безопасности предприятия».
В процессе подготовки пакета документов производится категорирование информации, разграничение доступа к информации, определяются ответственные за информацию и ее сохранность. Подготовленные инструкции и документы отражают порядок использования оборудования, программного обеспечения, паролей, ключей доступа, внешних носителей, средств связи, банковских программ, копирования и уничтожения документов и носителей и др. Инструкции в обязательном порядке должны быть разъяснены тому лицу или группе лиц, для которых они написаны, поскольку слабым местом защиты информации в большинстве случаев является банальная неосведомленность сотрудников. Как правило, особое внимание уделяется требованиям к специалистам компьютерной сети и хранилищ данных, а также «Аварийному плану» — документу, описывающему, что делать, кому, как и в какой последовательности, если реализуется одна из угроз, а также содержащему описание процесса восстановления нормальной деятельности компании.
Важно обратить внимание на то, что использование нелицензионного программного обеспечения может привести как к неприятностям с обладателями авторского права, так и к внедрению вредоносного программного обеспечения в корпоративную компьютерную сеть.
Кому доверять, а кого проверять?
Вопросы кадровой политики, проверки персонала, доверия персоналу однозначно связаны как с общей безопасностью компании, так и с сохранностью конфиденциальной информации. В процессе подбора кадров необходимо обратить особое внимание на отбор специалистов, обеспечивающих работу компьютерной сети и отдельных ее подсистем. Важно отметить, что эти специалисты в состоянии отслеживать и копировать практически все информационные потоки фирмы и в случае нелояльности данных специалистов к руководству или к владельцам предприятия может возникнуть ситуация, способная привести к серьезным убыткам и даже краху фирмы.
Полный текст читайте в печатной версии журнала Управление Персоналом
Начать дискуссию