Коммерческая информация и ее защита: используем IT-методы

534
Фото: shutterstock.com
Фото: shutterstock.com
Как неизменный спутник конкуренции в бизнесе всегда существовала конкурентная разведка. И руководство любой компании, выстраивая стратегию развития, полностью осознает, что в информационно зависимом обществе своевременное получение информации и ее анализ — одно из основных преимуществ перед конкурентами. Руководитель должен понимать, что и о его фирме, скорее всего, тоже собирают сведения, а потому защищать информацию о своем бизнесе ничуть не менее важно, чем уметь узнавать о чужом.

В этой статье вы прочитаете:

  • Коммеческая информация и ее защита IT-методами
  • Как сохранить ненормативные активы

Коммерческая информация и ее защита являются одной из важных составляющих работы практически каждой компании. Организация и развитие, пожалуй, любого вида бизнеса — это прежде всего борьба. Сначала борьба за то, чтобы войти на рынок, затем — чтобы удержаться, закрепиться и расти. И практически всегда бизнес подвергается испытаниям на прочность в довольно агрессивной конкурентной среде.

Коммерческая информаци и ее защита: в зоне риска

Наибольший риск утратить информацию, составляющую коммерческую тайну, существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг).

Например, event-менеджмент, где каждый продавец контактирует с клиентами и обладает собственной базой ключевых заказчиков. Его уход из компании влечет психологический или финансовый дискомфорт. Но если его клиентская база (без участия самого сотрудника) перекочевывает к конкурентам — налицо недоработка в системе защиты коммерческой информации. А это уже прямая ответственность коммерческого директора и главы отдела продаж.

Защитить главное

Наверняка ни у кого нет желания становиться параноиком, маниакально запрещая любые попытки использовать общие базы. Поэтому первое, что предстоит проделать, это выделить зоны, конкретные точки, которые требуют защиты и в которых потеря или передача данных другим лицам (например, конкурентам) грозит бизнесу серьезными убытками.

Возможно, не совсем уместный пример, но в футболе при штрафном ударе игроки, стоящие в стенке, имеют шанс получить удар мячом в любую часть тела, но защищают они не ноги и не голову, а только то, что в данных обстоятельствах действительно оказывается самым уязвимым.

Какое звено в коммерческом департаменте наиболее уязвимо? Клиентская база? Безусловно. Новации в продвижении, маркетинге, рекламе? Наверняка. Возможно, и в системе обучения менеджеров у вас есть особые технологии, которыми не хочется делиться с конкурентами.

В защите каждого из этих блоков большое значение имеют как методы организации контроля персонала и ограничения доступа к информации, так и программные, технические средства защиты. Определив болевые точки, нужно разработать такие методы защиты, которые бы съедали не более 20 % потенциального бюджета компании и защищали ее как минимум на 80 % — по закону Парето.

Еще лет двадцать назад архивы документов, относящихся к служебной и коммерческой тайне, занимали довольно большие изолированные помещения, с особым режимом доступа, получить их можно было только под роспись и под роспись же в конце рабочего дня обязательно вернуть. Сегодня все, что лежало в этих шкафах и сейфах, легко может поместиться на нескольких магнитных дисках, и любой, кто имеет доступ к данной информации, без труда может скопировать и вынести ее, переслать по электронной почте.

Именно поэтому сегодня эффективная защита клиентских баз данных, документации и всего того, что является конкурентным преимуществом компании, невозможна без применения современных IT-технологий.

Компании создают серьезные системы информационной безопасности не только по собственной инициативе, но и по требованию закона и отраслевых стандартов (ФЗ № 152 «О защите персональных данных» и стандарт PCI DSS для финансовых организации и банков). В связи с этим нужно учитывать сертификацию средств защиты в соответствии с требованиями законодательства и отраслевых стандартов.

Оборона любой ценой?

Андрей Нуйкин, сертифицированный специалист по информационной безопасности

По опыту могу сказать, что комплексные DLP-системы российских разработчиков укладываются в 3–4 млн руб. на парк из 250 компьютеров. Сюда же следует прибавить при необходимости стоимость оборудования (серверы, системы хранения данных и т. д.) и стоимость лицензий на программное обеспечение (ОС, СУБД и т. д.).

Но в любом случае выбор и стоимость конкретной DLP-системы зависит от множества факторов (стоимость охраняемой информации, модель угроз и модель нарушителя, онлайн- или офлайн-режим работы DLP-системы, возможные каналы утечки и т. д.).

Коммерческая информация и ее защита: используем IT-методы

В самом простом варианте для средней компании можно обойтись организационными мерами и простыми программными средствами и уложиться в 20–30 тыс. руб. Однако уровень защиты будет соответствующий.

С ростом требований растет стоимость, и здесь очень важно найти баланс между стоимостью защиты, стоимостью защищаемой информации и удобством работы.

Ну и нельзя забывать о самом слабом звене — человеке. Никакая система не обеспечит 100 % защиты. Одну из значимых ролей играет повышение осведомленности людей в области информационной безопасности.

Умные технологии минус разгильдяйство

IT-методы защиты информации базируются на применении специальных программных систем, например системы предотвращения утечек информации DLP (data loss prevention, data leak prevention).

Внедрение системы позволяет распознавать и классифицировать информацию в объекте (например, в сообщении электронной почты, файле, приложении), который хранится в памяти компьютера, находится в использовании или передается по каналам связи. DLP позволяет динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой (таблица 1).

В какой степени руководитель должен быть осведомлен об IT-технологиях защиты данных? Лучший ответ — ни в какой! Если этот фронт прикрывает хороший специалист и вы никогда не сталкивались с проблемой воровства информации, ее нелегального и нежелательного распространения. Если же вас хоть раз постигла такая беда, вы должны найти время и проконтролировать создание (изменение) системы IT-безопасности.

Дополнительная информация 

О защите клиентских баз читайте также в статье «Сохранить клиентов при увольнении менеджеров».

О технологиях конкурентной разведки читайте в статье «Как организовать мониторинг цен конкурентов».

Таблица 1. Возможности DLP-системы

Основная задача

Дополнительные задачи

Предотвращение передачи конфиденциальной информации за пределы информационной системы

Архивирование пересылаемых сообщений на случай возможных расследований инцидентов

Предотвращение передачи за пределы системы не только конфиденциальной, но и другой нежелательной информации

Предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи внутрь информационной системы

Предотвращение использования работниками казенных информационных ресурсов в личных целях

Оптимизация загрузки каналов

Контроль присутствия работников на рабочем месте

Отслеживание благонадежности и лояльности сотрудников

Источник: предоставлено автором статьи

Как обосновать необходимость расходов

На этот вопрос есть простой ответ: если руководитель адекватен и, будучи наемником, ценит свою должность, а будучи собственником — свои деньги, он сам должен понимать ценность ключевой информации. Если же все-таки требуются доказательства, лучший способ — практический пример. Для этого не обязательно становиться шпионом. Объясняя необходимость ввести положение о коммерческой тайне, перестроить бизнес-процессы, в том числе ограничить доступ сотрудников к стратегической информации, не тратьте драгоценное время на разговоры.

Сядьте за компьютер секретаря, менеджера или любой другой, оставшийся включенным на время обеденного перерыва сотрудника, и скопируйте на флеш-карту все, что, по вашему мнению, представляет ценность. Далее можно идти к генеральному директору с докладом о том, что ваш прямой конкурент получил данные о… далее по списку. Наверняка руководитель будет достаточно взбешен, чтобы в тот же день одобрить введение системы защитных мер на предприятии и IT-прокачки.

Информационные угрозы

Юлия Никитина, директор по маркетингу, «Код безопасности»

Приходится с сожалением констатировать, что технологии, которые помогают развитию компаний, служат и злоумышленникам, целью которых являются информационные активы компаний. Развитие и повсеместное использование компьютерных технологий приводит к тому, что защищать хранящуюся и обрабатываемую в информационных компьютерных системах информацию необходимо от большого количества угроз (таблица 2).

Примеров из мировой практики, когда в целях конкурентной разведки или компрометации компании используются компьютерные технологии, более чем достаточно, вспомним хотя бы прошлогодний инцидент в банке HSBC. Уволенный сотрудник банка похитил реквизиты 15 000 клиентов. Пострадали пользовательские счета системы онлайн-банкинга, преимущественно жителей Швейцарии и Франции (после происшествия банк сменил систему безопасности, что обошлось ему в $ 94 млн).

Один из наиболее доступных способов защиты данных — разделение прав доступа к информации, обрабатываемой в виртуальной инфраструктуре, между IT-администратором и администратором службы безопасности.

При возникновении угрозы информационной безопасности не всегда можно найти виновного. Часто виновным в утечке признается системный администратор, который по долгу службы раздавал права доступа пользователям. Поэтому правильно сделать так, чтобы сотрудники получали доступ к информации с ведома службы информационной безопасности.

Человеческий фактор

Разумеется, внедрением DLP-систем работа по защите информации далеко не ограничивается. IT-технологии — это только часть, отдельный элемент, к которому предстоит еще прийти, создавая систему комплексной безопасности и защиты информации.

Впрочем, сами по себе документы не являются гарантией абсолютного благополучия в плане информационной безопасности. В моей практике нередко встречались компании, у которых было все: и тщательно прописанные регламенты, и умные IT-специалисты с суперсовременными программными продуктами по защите информации.

А утечки продолжались. В таком случае стоит обратить внимание на человеческий фактор, точнее, на то, как руководство компании организует и контролирует выполнение процедур по защите информации и как сотрудники выполняют эти процедуры. Об этом читайте в июльском номере журнала.

Таблица 2. Как защищаться

Тип угрозы

Рекомендуемое средство защиты информации

Что оно обеспечивает

Возможные меры по предотвращению угроз

1

Несанкционированный доступ к информации со стороны инсайдеров

Средство доверенной загрузки или электронный замок, электронный ключ (токен) — программно-аппаратные устройства

Доступ к данным получает только пользователь, прошедший идентификацию или усиленную идентификацию.

1. Соглашение о конфиденциальности для лиц, работающих с информацией ограниченного доступа.
2. Разделение прав доступа и регламентирование прав доступа к информации между службами информационной безопасности и IT-службой.
3. Категоризация бумажных документов и разделение на типы по степени открытости: «Ограниченного доступа», «Для служебного пользования», «Секретно» и так далее.

2

Утечка информации через доверенных лиц

Программная защита от несанкционированного доступа к информации

Доступ и права на копирование, изменение, вынос на носителях из организации, передачу по различным каналам информации получает только пользователь, прошедший идентификацию.

3

Вирусная атака (а также трояны, черви)

Антивирус

Антивирусные решения

4

Утеря вследствие отказа оборудования

По причине перегрузки информационных каналов спамом

Антиспам
Резервные мощности оборудования и решения для резервного копирования данных

Антиспам-решения (в большинстве случаев в сочетании с антивирусом)
Автоматические программы резервного копирования, специальное резервное оборудование

5

Утечка вследствие хакерской атаки извне

1. Программные и аппаратные межсетевые экраны (брандмауэры)
2. Системы предотвращения и обнаружения вторжений в сеть компании извне

Брандмауэры создают эшелон защиты от проникновения во внутреннюю сеть компании извне, из интернета.
Наиболее полезны и результативны системы, позволяющие расставить в сети организации сенсоры-ловушки, на которые попадает злоумышленник при попытке проникновения. Такие системы называются honeypot systems.

Источник: «Код безопасности»

Кирилл Сказин,
генеральный директор, «Интеллектуальные программы безопасности»

Информация об авторе и компании


Кирилл Сказин окончил ВИПТШ МВД РФ. Подполковник милиции в отставке. С 2003 по 2009 год работал в структуре безопасности концерна Renault. В 2009 году стал одним из основателей компании «Интеллектуальные программы безопасности».

ЗАО «Интеллектуальные программы безопасности» (IPS group) оказывает услуги в области безопасности. Среди клиентов — Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.

Андрей Нуйкин окончил Военный институт правительственной связи в Орле. Прошел сертификацию международной организации ISACA — certified information security auditor (CISA) и certified information security manager (CISM). Опыт работы в области информационной безопасности — более восьми лет.

Рынок DLP-систем активно развивается, за последние несколько лет появилось множество новых решений. Стоимость каждого из них зависит от требований заказчика и может составлять от нескольких десятков тысяч рублей за простенькую систему для небольшой компании до нескольких миллионов — за создание систем для крупных корпораций.

«Код безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту информационных систем. Среди клиентов — более 2500 государственных и коммерческих организаций в России и странах СНГ. Официальный сайт —www.securitycode.ru


Понравилась статья? Делитесь с коллегами – пусть оценят!

Читайте в ближайших номерах журнала "Коммерческий директор"
    Читать>>>


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Школа руководителя

      Школа руководителя

      Проверьте свои знания и приобретите новые

      Записаться

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      Выбор редактора

      Дайджест самых нужных статей

      Шеф-редактор журнала «Коммерческий директор» Амина Атавова

      Главный редактор журнала «Коммерческий директор»
      Амина Атавова.

      Читать сейчас




      © 2011–2016 ООО «Актион управление и финансы»

      Журнал «Коммерческий директор» –
      профессиональный журнал коммерсанта

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Свидетельство о регистрации ПИ № ФС77-62255 от 03.07.2017

      Политика обработки персональных данных

      Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Коммерческий директор». Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      
      Яндекс.Метрика
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Зарегистрируйтесь на сайте и продолжите чтение! Это бесплатно и займет всего минуту!

      Вы сможете бесплатно продолжить чтение этой статьи, а также получите доступ к сервисам на сайте для зарегистрированных пользователей:

      • методики, проверенные на практике
      • правовая база
      • полезные подборки статей
      • участие и просмотр вебинаров

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      Зарегистрируйтесь на сайте и документ Ваш! Это бесплатно и займет всего минуту!

      Вы сможете бесплатно скачать документ, а также получите доступ к сервисам на сайте для зарегистрированных пользователей:

      • методики, проверенные на практике
      • правовая база
      • полезные подборки статей
      • участие и просмотр вебинаров

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль