text
Коммерческий директор

Коммерческая информация и ее защита: используем IT-методы

  • 14 февраля 2018
  • 833
Фото: shutterstock.com
Фото: shutterstock.com

Как неизменный спутник конкуренции в бизнесе всегда существовала конкурентная разведка. И руководство любой компании, выстраивая стратегию развития, полностью осознает, что в информационно зависимом обществе своевременное получение информации и ее анализ — одно из основных преимуществ перед конкурентами. Руководитель должен понимать, что и о его фирме, скорее всего, тоже собирают сведения, а потому защищать информацию о своем бизнесе ничуть не менее важно, чем уметь узнавать о чужом.

В этой статье вы прочитаете:

  • Коммеческая информация и ее защита IT-методами
  • Как сохранить ненормативные активы

Коммерческая информация и ее защита являются одной из важных составляющих работы практически каждой компании. Организация и развитие, пожалуй, любого вида бизнеса — это прежде всего борьба. Сначала борьба за то, чтобы войти на рынок, затем — чтобы удержаться, закрепиться и расти. И практически всегда бизнес подвергается испытаниям на прочность в довольно агрессивной конкурентной среде.

Коммерческая информаци и ее защита: в зоне риска

Наибольший риск утратить информацию, составляющую коммерческую тайну, существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг).

Например, event-менеджмент, где каждый продавец контактирует с клиентами и обладает собственной базой ключевых заказчиков. Его уход из компании влечет психологический или финансовый дискомфорт. Но если его клиентская база (без участия самого сотрудника) перекочевывает к конкурентам — налицо недоработка в системе защиты коммерческой информации. А это уже прямая ответственность коммерческого директора и главы отдела продаж.

Защитить главное

Наверняка ни у кого нет желания становиться параноиком, маниакально запрещая любые попытки использовать общие базы. Поэтому первое, что предстоит проделать, это выделить зоны, конкретные точки, которые требуют защиты и в которых потеря или передача данных другим лицам (например, конкурентам) грозит бизнесу серьезными убытками.

Возможно, не совсем уместный пример, но в футболе при штрафном ударе игроки, стоящие в стенке, имеют шанс получить удар мячом в любую часть тела, но защищают они не ноги и не голову, а только то, что в данных обстоятельствах действительно оказывается самым уязвимым.

Какое звено в коммерческом департаменте наиболее уязвимо? Клиентская база? Безусловно. Новации в продвижении, маркетинге, рекламе? Наверняка. Возможно, и в системе обучения менеджеров у вас есть особые технологии, которыми не хочется делиться с конкурентами.

В защите каждого из этих блоков большое значение имеют как методы организации контроля персонала и ограничения доступа к информации, так и программные, технические средства защиты. Определив болевые точки, нужно разработать такие методы защиты, которые бы съедали не более 20 % потенциального бюджета компании и защищали ее как минимум на 80 % — по закону Парето.

Еще лет двадцать назад архивы документов, относящихся к служебной и коммерческой тайне, занимали довольно большие изолированные помещения, с особым режимом доступа, получить их можно было только под роспись и под роспись же в конце рабочего дня обязательно вернуть. Сегодня все, что лежало в этих шкафах и сейфах, легко может поместиться на нескольких магнитных дисках, и любой, кто имеет доступ к данной информации, без труда может скопировать и вынести ее, переслать по электронной почте.

Именно поэтому сегодня эффективная защита клиентских баз данных, документации и всего того, что является конкурентным преимуществом компании, невозможна без применения современных IT-технологий.

Компании создают серьезные системы информационной безопасности не только по собственной инициативе, но и по требованию закона и отраслевых стандартов (ФЗ № 152 «О защите персональных данных» и стандарт PCI DSS для финансовых организации и банков). В связи с этим нужно учитывать сертификацию средств защиты в соответствии с требованиями законодательства и отраслевых стандартов.

Коммерческая информация и ее защита: используем IT-методы

Оборона любой ценой?

Андрей Нуйкин,
сертифицированный специалист по информационной безопасности

По опыту могу сказать, что комплексные DLP-системы российских разработчиков укладываются в 3–4 млн руб. на парк из 250 компьютеров. Сюда же следует прибавить при необходимости стоимость оборудования (серверы, системы хранения данных и т. д.) и стоимость лицензий на программное обеспечение (ОС, СУБД и т. д.).

Но в любом случае выбор и стоимость конкретной DLP-системы зависит от множества факторов (стоимость охраняемой информации, модель угроз и модель нарушителя, онлайн- или офлайн-режим работы DLP-системы, возможные каналы утечки и т. д.).

В самом простом варианте для средней компании можно обойтись организационными мерами и простыми программными средствами и уложиться в 20–30 тыс. руб. Однако уровень защиты будет соответствующий.

С ростом требований растет стоимость, и здесь очень важно найти баланс между стоимостью защиты, стоимостью защищаемой информации и удобством работы.

Ну и нельзя забывать о самом слабом звене — человеке. Никакая система не обеспечит 100 % защиты. Одну из значимых ролей играет повышение осведомленности людей в области информационной безопасности.

Умные технологии минус разгильдяйство

IT-методы защиты информации базируются на применении специальных программных систем, например системы предотвращения утечек информации DLP (data loss prevention, data leak prevention).

Внедрение системы позволяет распознавать и классифицировать информацию в объекте (например, в сообщении электронной почты, файле, приложении), который хранится в памяти компьютера, находится в использовании или передается по каналам связи. DLP позволяет динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой (таблица 1).

В какой степени руководитель должен быть осведомлен об IT-технологиях защиты данных? Лучший ответ — ни в какой! Если этот фронт прикрывает хороший специалист и вы никогда не сталкивались с проблемой воровства информации, ее нелегального и нежелательного распространения. Если же вас хоть раз постигла такая беда, вы должны найти время и проконтролировать создание (изменение) системы IT-безопасности.

Дополнительная информация 

О защите клиентских баз читайте также в статье «Сохранить клиентов при увольнении менеджеров».

О технологиях конкурентной разведки читайте в статье «Как организовать мониторинг цен конкурентов».

Таблица 1. Возможности DLP-системы

Основная задача

Дополнительные задачи

Предотвращение передачи конфиденциальной информации за пределы информационной системы

Архивирование пересылаемых сообщений на случай возможных расследований инцидентов

Предотвращение передачи за пределы системы не только конфиденциальной, но и другой нежелательной информации

Предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи внутрь информационной системы

Предотвращение использования работниками казенных информационных ресурсов в личных целях

Оптимизация загрузки каналов

Контроль присутствия работников на рабочем месте

Отслеживание благонадежности и лояльности сотрудников

Источник: предоставлено автором статьи

Как обосновать необходимость расходов

На этот вопрос есть простой ответ: если руководитель адекватен и, будучи наемником, ценит свою должность, а будучи собственником — свои деньги, он сам должен понимать ценность ключевой информации. Если же все-таки требуются доказательства, лучший способ — практический пример. Для этого не обязательно становиться шпионом. Объясняя необходимость ввести положение о коммерческой тайне, перестроить бизнес-процессы, в том числе ограничить доступ сотрудников к стратегической информации, не тратьте драгоценное время на разговоры.

Сядьте за компьютер секретаря, менеджера или любой другой, оставшийся включенным на время обеденного перерыва сотрудника, и скопируйте на флеш-карту все, что, по вашему мнению, представляет ценность. Далее можно идти к генеральному директору с докладом о том, что ваш прямой конкурент получил данные о… далее по списку. Наверняка руководитель будет достаточно взбешен, чтобы в тот же день одобрить введение системы защитных мер на предприятии и IT-прокачки.

Информационные угрозы

Юлия Никитина
директор по маркетингу, «Код безопасности»

Приходится с сожалением констатировать, что технологии, которые помогают развитию компаний, служат и злоумышленникам, целью которых являются информационные активы компаний. Развитие и повсеместное использование компьютерных технологий приводит к тому, что защищать хранящуюся и обрабатываемую в информационных компьютерных системах информацию необходимо от большого количества угроз (таблица 2).

Примеров из мировой практики, когда в целях конкурентной разведки или компрометации компании используются компьютерные технологии, более чем достаточно, вспомним хотя бы прошлогодний инцидент в банке HSBC. Уволенный сотрудник банка похитил реквизиты 15 000 клиентов. Пострадали пользовательские счета системы онлайн-банкинга, преимущественно жителей Швейцарии и Франции (после происшествия банк сменил систему безопасности, что обошлось ему в $ 94 млн).

Один из наиболее доступных способов защиты данных — разделение прав доступа к информации, обрабатываемой в виртуальной инфраструктуре, между IT-администратором и администратором службы безопасности.

При возникновении угрозы информационной безопасности не всегда можно найти виновного. Часто виновным в утечке признается системный администратор, который по долгу службы раздавал права доступа пользователям. Поэтому правильно сделать так, чтобы сотрудники получали доступ к информации с ведома службы информационной безопасности.

Человеческий фактор

Разумеется, внедрением DLP-систем работа по защите информации далеко не ограничивается. IT-технологии — это только часть, отдельный элемент, к которому предстоит еще прийти, создавая систему комплексной безопасности и защиты информации.

Впрочем, сами по себе документы не являются гарантией абсолютного благополучия в плане информационной безопасности. В моей практике нередко встречались компании, у которых было все: и тщательно прописанные регламенты, и умные IT-специалисты с суперсовременными программными продуктами по защите информации.

А утечки продолжались. В таком случае стоит обратить внимание на человеческий фактор, точнее, на то, как руководство компании организует и контролирует выполнение процедур по защите информации и как сотрудники выполняют эти процедуры. Об этом читайте в июльском номере журнала.

Таблица 2. Как защищаться

Тип угрозы

Рекомендуемое средство защиты информации

Что оно обеспечивает

Возможные меры по предотвращению угроз

1

Несанкционированный доступ к информации со стороны инсайдеров

Средство доверенной загрузки или электронный замок, электронный ключ (токен) — программно-аппаратные устройства

Доступ к данным получает только пользователь, прошедший идентификацию или усиленную идентификацию.

1. Соглашение о конфиденциальности для лиц, работающих с информацией ограниченного доступа.
2. Разделение прав доступа и регламентирование прав доступа к информации между службами информационной безопасности и IT-службой.
3. Категоризация бумажных документов и разделение на типы по степени открытости: «Ограниченного доступа», «Для служебного пользования», «Секретно» и так далее.

2

Утечка информации через доверенных лиц

Программная защита от несанкционированного доступа к информации

Доступ и права на копирование, изменение, вынос на носителях из организации, передачу по различным каналам информации получает только пользователь, прошедший идентификацию.

3

Вирусная атака (а также трояны, черви)

Антивирус

Антивирусные решения

4

Утеря вследствие отказа оборудования

По причине перегрузки информационных каналов спамом

Антиспам
Резервные мощности оборудования и решения для резервного копирования данных

Антиспам-решения (в большинстве случаев в сочетании с антивирусом)
Автоматические программы резервного копирования, специальное резервное оборудование

5

Утечка вследствие хакерской атаки извне

1. Программные и аппаратные межсетевые экраны (брандмауэры)
2. Системы предотвращения и обнаружения вторжений в сеть компании извне

Брандмауэры создают эшелон защиты от проникновения во внутреннюю сеть компании извне, из интернета.
Наиболее полезны и результативны системы, позволяющие расставить в сети организации сенсоры-ловушки, на которые попадает злоумышленник при попытке проникновения. Такие системы называются honeypot systems.

Источник: «Код безопасности»

Кирилл Сказин,
генеральный директор, «Интеллектуальные программы безопасности»

Информация об авторе и компании


Кирилл Сказин окончил ВИПТШ МВД РФ. Подполковник милиции в отставке. С 2003 по 2009 год работал в структуре безопасности концерна Renault. В 2009 году стал одним из основателей компании «Интеллектуальные программы безопасности».

ЗАО «Интеллектуальные программы безопасности» (IPS group) оказывает услуги в области безопасности. Среди клиентов — Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.

Андрей Нуйкин окончил Военный институт правительственной связи в Орле. Прошел сертификацию международной организации ISACA — certified information security auditor (CISA) и certified information security manager (CISM). Опыт работы в области информационной безопасности — более восьми лет.

Рынок DLP-систем активно развивается, за последние несколько лет появилось множество новых решений. Стоимость каждого из них зависит от требований заказчика и может составлять от нескольких десятков тысяч рублей за простенькую систему для небольшой компании до нескольких миллионов — за создание систем для крупных корпораций.

«Код безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту информационных систем. Среди клиентов — более 2500 государственных и коммерческих организаций в России и странах СНГ. Официальный сайт —www.securitycode.ru

Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Рекомендации по теме

Школа руководителя

Школа руководителя

Проверьте свои знания и приобретите новые

Записаться

Лучшее предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Мы в соцсетях
Простите, что прерываем Ваше чтение

Чтобы обеспечить качество материалов и защитить авторские права редакции, многие статьи на нашем сайте находятся в закрытом доступе.

Предлагаем Вам зарегистрироваться и продолжить чтение. Это займет всего 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И продолжить чтение статьи
Зарегистрироваться
Зарегистрируйтесь на сайте и документ Ваш! Это бесплатно и займет всего минуту!

Чтобы обеспечить качество материалов, многие документы на нашем сайте находятся в закрытом доступе.

Предлагаем Вам зарегистрироваться и вы сможете скачивать любые файлы. Это займет всего 2 минуты.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
и скачать все файлы бесплатно
Зарегистрироваться
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.