Защита информации: а сколько стоят ваши секреты?

xxximages.jpg

Все мы по случаю употребляем фразу: "Кто владеет информацией, тот владеет миром". Но лишь немногие владельцы бизнеса и назначенные ими топ-менеджеры действительно знают истинную цену корпоративной информации в современном мире, где каждый шаг пристально отслеживается конкурентами, и при желании можно купить даже самые важные секреты компании.

Может быть, пора задуматься о том, в безопасности ли ваша информация, ведь конкурентную разведку еще никто не отменял?

Вспомните, как часто вы слышите истории о том, как чьи-то бывшие сотрудники, недовольные своим положением, уйдя из компании, за короткое время строили свой собственный успешный бизнес. Здесь бы можно и порадоваться за человека - но не за конкурента, коим он становится, унося за собой наработанные годами базы данных и списки клиентов, которые потом умело использует в своих бизнес-целях.

Скажете, кто кому лекарь в этой ситуации? Наше мнение: была бы у руководителя компании четкая позиция в вопросах защиты информации, такой бы печальной истории не произошло. Благо, ныне игроков, а значит и предложений, на рынке информационной безопасности - хоть отбавляй. По личным подсчетам технического директора одной из компаний в области защиты информации "Security TestLab" (www.security-testlab.com) Максима Голубева, в Украине работает больше сотни интеграторов, которые разрабатывают и реализовывают самые различные по масштабам и сложности проекты в сфере информационных технологий и защиты информации. Большая часть из них ориентирована на сотрудничество с банковским сектором. Спросите, почему? Ответ прост. Сегодня банки, по сути, единственные учреждения в Украине, за исключением государственных органов, которые на законодательном уровне (Постановление НБУ от 28.10.2010 г. N474) обязаны заботиться о своей информационной безопасности, посредством внедрения системы управления информационной безопасностью в соответствии со стандартами Национального банка, основанными на международных стандартах ISO/IES 27001:2005 и ISO/IES 27002:2005.

В этих стандартах предусмотрены требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес-рисков организации.

Не вдаваясь в детальное описание документа, отметим, что требования стандартов, по сути, универсальны и могут быть применимы ко всем организациям независимо от их типа, размера, формы собственности. Но вот здесь у многих возникает вопрос: а так ли на самом деле важно и нужно прикладывать лишние усилия, тратить деньги на построение системы защиты информации, ведь пока на предприятии в этой сфере все якобы в порядке? Хотя впечатление это может быть весьма обманчивым.

Конечно же, такой объект, как информация, является только вашей собственностью, и соответственно, вам решать, как ею распоряжаться, беречь либо полностью доверять своим сотрудникам. Вот только есть ли гарантии того, что ваши подчиненные, пусть и непреднамеренно, в ущерб компании не распоряжаются таким важным активом, коим является вся информация, что генерируется и хранится в компании? Это и договора с клиентами, и финансовая отчетность, всяческие разработки новых проектов, различные базы данных.

По мнению Максима Голубева, очень многие компании недооценивают ту информацию, которая у них существует, и то, как наемные работники могут использовать эту информацию в плюс себе и в минус работодателю. "Никто не отменял конкурентную разведку, которая с годами становится все более и более компьютеризированной. Сейчас, чтобы узнать что-то о компании, достаточно зайти в Интернет, где в открытых источниках уже многое можно найти. Заинтересовавшись конкретным предприятием, злоумышленники начинают работать уже вплотную с персоналом. Чтобы выведать нужную информацию, сегодня вовсе необязательно платить за нее деньги нечистому на руку сотруднику. Ныне продвинутые специалисты по бизнес-шпионажу активно используют приемы социальной инженерии. И они работают, поскольку в большинстве компаний, порой даже очень солидных, любой сотрудник имеет доступ к любой информации, и невзначай может "слить" постороннему человеку важную ее часть ".

Ярким примером того, что люди просто не подготовлены к такому воздействию извне, являются результаты экспериментов, когда в офисах оставляют флешки, зараженные специальными вирусами, и в 90% случаев пользователи, не проверяя их, подключают к компьютеру.

"Когда мы говорим о защите информации, нужно понимать, что это понятие не столь плоское, каким его привыкли воспринимать большинство обывателей. Оно не ограничивается лишь работой за персональным компьютером, а выходит далеко за рамки. Поскольку тот же распечатанный и не удаленный вовремя документ, уже в мусоре компании может оказаться под чьим-то пристальным вниманием", - говорит Максим Голубев.

Легкомысленное отношение к вопросу защиты информации может вылиться для компании не только в большие финансовые потери, а и значительно "подмочить" репутацию.

Многие обращаются за помощью к специалистам уже тогда, когда произошел факт утечки информации или взлома, и нужно срочно исправлять ситуацию. Хотя намного эффективней и экономней, считает Максим Голубев, было бы заблаговременно позаботиться о решении этого вопроса и принять превентивные меры по защите информации. Способов это сделать на сегодняшний день достаточно много. Существуют десятки программно-аппаратных средств, а также различные организационные меры, внедрение которых обезопасит вашу информацию.

На предприятиях, где руководство всерьез обеспокоено этой проблемой, разрабатываются целые стратегии по внедрению системы информационной безопасности, составляются Концепции и Политики по информационной безопасности. Правильный подход к делу позволяет значительно оптимизировать финансовые затраты в этой области и экономить средства, которые ранее направлялись на устранение уже случившихся происшествий.

Как рассказал Максим Голубев, сегодня в арсенале IT-специалистов компании "Security TestLab" есть самые разнообразные решения по построению и поддержке систем защиты информации для компаний любого уровня, а также для домашнего использования. В зависимости от существующих рисков и потребностей компании, могут быть внедрены способы защиты информации как от внешних нарушителей, то есть хакеров, а также для вычисления действий инсайдеров - сотрудников, которые могут продавать вашу секретную информацию конкурентам.

Каждая проблема настолько индивидуальна, что в рамках одной статьи невозможно рассказать о всех современных способах защиты информации, а значит мы обещаем сделать это в наших следующих материалах, вооружившись экспертными мнениями и советами IT- специалистов компании в области защиты информации "Security TestLab".

ХайВей