Информационная безопасность: навязчивая идея или объективная необходимость?
Что же такое информационная безопасность, и насколько она необходима для эффективного развития бизнеса?
Под информационной безопасностью бизнеса мы понимаем совокупность всех используемых приемов и методов, позволяющих обеспечивать сохранность конфиденциальной информации в рамках каждой конкретной компании.
К сожалению, не все руководители системно подходят к решению данного вопроса, о чем потом глубоко сожалеют.
Нередко директора различных фирм, обращаясь за помощью в рекрутинговые агентства, рисуют примерно следующую картину: «Еще несколько лет назад у нас все было в порядке, была определенная динамика роста и развития, прекрасные взаимоотношения, но теперь все изменилось, и организация просто разваливается на глазах. Помогите исправить положение!»
И вот когда начинаешь разбираться с конкретной ситуацией, то видишь, что в большинстве случаев наличие данных проблем обусловлено невниманием к тому, кто и как работает в компании.
Зачастую на стадии создания в организации трудится небольшая группа людей — друзья, знакомые, единомышленники, то есть те, кто поверил в идею, кого удалось найти сразу, кто просто «подвернулся под руку», кому не надо много платить и т.п. Бывает, что необходимо пристроить жену или сына «нужного» человека. В результате возникают крайне неприятные ситуации. Например, в одной компании работали супруги: жена — исполнительный директор, муж — руководитель коммерческого отдела. Проводимая проверка выявила, что муж активно участвовал в финансовых махинациях и жена помогала ему, оформляя документы, позволяющие скрывать «утечку» финансовых средств. По нашим данным, за 5 месяцев такой работы фирма потеряла около 16 000 долларов США и несколько серьезных клиентов. А сколько еще осталось «за кадром»?!
Другой типичной ошибкой в процессе подбора персонала является стремление работодателя во что бы то ни стало заполучить сотрудника из конкурирующей организации. Это чаще всего объясняется желанием приобрести клиентскую базу или другую конфиденциальную информацию. И здесь организация может натолкнуться на подводные камни.
Во-первых, следует понимать, что такой сотрудник когда-нибудь с легкостью «продаст» и вашу компанию, если получит более выгодное предложение. Во-вторых, такой сотрудник может быть шпионом, «засланным казачком» от конкурентов. И это случается гораздо чаще, чем может показаться! Вы не пробовали связывать неожиданное появление в вашем офисе налоговой полиции с «работой» нового сотрудника? А ведь бывает и так.
Случается, работодатели сами неосознанно создают ситуации, позволяющие персоналу безответственно относиться к информационной безопасности. Из-за этого значительное количество информации утекает из фирмы, причем зачастую сотрудники даже этого не осознают.
Например, одна известная компания практически отдала свою дилерскую сеть конкурентам из-за небрежности секретаря. Направляя письма дилерам и возможным клиентам, секретарь сделал автоматическую рассылку по электронной почте, не понимая, что каждый адресат вместе с сообщением получит электронные адреса всех остальных получателей информации.
Но все-таки чаще всего утечка информации происходит по вине сотрудников, которые понимают, что они делают, так как получают за это немалое вознаграждение.
Каким же образом можно избежать этих неприятностей?
Начнем с технических мер. Во-первых, важно иметь систему для прослушивания, которая позволяет контролировать как телефонные переговоры, так и все, о чем говорится в различных помещениях вашей фирмы. Во-вторых, в некоторых помещениях необходимо наличие видеоконтроля. В-третьих, вся информация, хранящаяся в электронном виде в компьютерах, также должна быть максимально защищена. Каждый сотрудник должен иметь свой код доступа к той или иной информации.
Однако, прежде чем приобретать оборудование, следует разработать программу по защите информации в вашей компании. И в этой программе не последнюю роль играет работа с персоналом.
В первую очередь с каждым новым сотрудником необходимо заключать контракт о неразглашении информации, имеющей для компании конфиденциальный характер. К сожалению, в настоящее время фирме, работающей в нашей стране, нелегко доказать, что она понесла серьезный материальный ущерб в связи с тем, что сотрудник способствовал утечке конфиденциальной информации, хотя во всем мире это обычная судебная практика.
Поэтому контракт будет иметь не столько юридическое, сколько психологическое воздействие на работника: это своего рода проверка того, как он реагирует на подписание документа.
Кроме того, работники должны знать о наличии видеонаблюдения и прослушивания. Это играет важную психологическую роль: ведь когда ты знаешь, что тебя могут услышать, ты вряд ли станешь вести переговоры с фирмой-конкурентом.
Очень важным фактором, влияющим на лояльность сотрудников по отношению к фирме, является отношение руководства фирмы к персоналу, в целом психологический климат в организации. Поэтому большое внимание следует уделять социальным программам, наличие которых снижает вероятность проявления нелояльности по отношению к работодателю.
При приеме специалиста на работу необходимо навести справки о его последнем месте работы, выяснить, есть ли у него судимости, привлекался ли он к уголовной или административной ответственности и т.п. Особое внимание стоит уделять причинам, по которым специалист меняет работу.
На начальном этапе работы стоит минимизировать доступ к особо секретной внутренней документации, провести предварительную стажировку нового сотрудника, а в ряде случаев создать специальные внештатные ситуации, в ходе которых можно выявить недобросовестного сотрудника. Защита информации невозможна без понимания того, что именно и от кого следует защищать. А добиться от персонала такого понимания трудно без четкой организации работы компании в целом и отдельно каждого сотрудника.
Поэтому так важно, чтобы в фирме строго соблюдались должностные инструкции, внутрифирменные приказы и распоряжения, связанные с организацией труда. Сотрудники должны четко знать, как следует вести себя в экстремальных ситуациях (например в случае ограбления магазина), и здесь технические, психологические и информационные методы обеспечения безопасности должны дополнять друг друга.
Что делать, если вы уже столкнулись с проблемой утечки информации или у вас есть какие-то сомнения относительно лояльности вашего персонала по отношению к фирме?
В этом случае необходимо обратиться в компетентные организации, занимающиеся решением такого рода вопросов, чтобы в ходе специальных проверок были выявлены все слабые места в структуре вашей компании и приняты меры по их ликвидации.
Подпишитесь на рассылку
Оставьте нам свой e-mail, и мы будем присылать Вам полезные и интересные статьи. Это абсолютно бесплатно и без спама.
Спасибо, что подписались на нас!
Мы пишем о великих руководителях прошлого, значимых персонах настоящего, о саморазвитии, личностном росте, позитивном мышлении, о путешествиях, досуге.
- Главная
- Бизнес
- Технологии
- Информационная безопасность бизнеса
Подписка на новости
Спасибо, что подписались на нас!
Подписавшись на нас, Вы сможете получать каждую неделю самые интересные и полезные статьи себе на почту.
Информационная безопасность бизнеса
- Бизнес
- Технологии
02.04.2016 2750 
Ничто не дается бизнесу столь дешево и не обходится столь дорого, как ошибки в системе защиты корпоративной информации. Лучше учиться на чужих ошибках безопасности.
Кибератаки и DLP-системы
В 2010 году сотрудник HSBC- банка, входящего в полусотню самых надежных банков мира при увольнении прихватил с собой реквизиты 15 тыс. клиентов (преимущественно из Швейцарии и Франции). Этот обошлось банку в $94 млн, потраченных на замену неэффективной системы безопасности.
Куда больший ущерб нанесли добропорядочным гражданам киберпреступники, взломавшие Twitter-аккаунт Associated Press. Взломщики кратко «прощебетали»: «Два взрыва в Белом доме, Барак Обама ранен». Индекс Dow Jones упал на 150 пунктов, а голубые фишки сократили свою суммарную капитализацию на $200 млрд. Правда, после того как появилось опровержение, паника прекратилась, и индекс вернулся к прежнему значению. Но те, кто поспешили сбросить акции по ползущим вниз ценам, изрядно прогорели. Ответственность за взлом взяла на себя некая «Сирийская электронная армия». Однако утверждать наверняка, что это была не чисто экономическая диверсия, нельзя. Уж слишком точно было выбрано время: сразу же после теракта на Бостонском марафоне.
На Всемирном экономическом форуме в числе глобальных рисков для мировой экономики, таких как коррупция, демографический кризис, истощение природных ресурсов, были впервые в истории названы и кибератаки. Угрозы, подстерегающие и компании, и государственные структуры, могут быть как внешними, так и внутренними. Собственно кибератаки – это внешняя угроза. Внутренние угрозы – необязательно результат злого умысла. Вполне лояльные, но некомпетентные в области IT сотрудники могут случайно запустить вложенную в электронное письмо вредоносную программу, по ошибке стереть нужную папку, забрести на сайт, нашпигованый троянами. В результате важная для компании информация может либо бесследно исчезнуть, либо попасть в руки конкурентов или каких-нибудь «борцов за справедливость», одержимых идеями спасения человечества от глобализма и прочих язв капитализма, тоталитаризма etc. Статистика показывает, что наибольший вред компании терпят от своего же персонала.
Проблема компьютерной безопасности возникла сразу, как только американская компания Eckert-Mauchly Computer Corporation в 1951 году выпустила первый серийный компьютер UNIVAC I. Долгое время эта проблема носила скорее теоретический характер. Все изменилось после изобретения Интернета и лавинообразного разрастания Всемирной паутины.
Для противодействия киберпреступности понадобилась целая новая индустрия. Каждый год российские и иностранные компании выпускают все новые и новые антивирусы, криптографические программы, продукты, предотвращающие фишинг и ddos-атаки и т. п. Программы постоянно совершенствуются, возникают новые их разновидности. В частности, сравнительно недавно на рынок средств информационной безопасности вышли DLP-системы (Data Leak Prevention), предотвращающие утечку информации из корпоративных сетей.
Полноценная и полнофункциональная DLP-система обладает следующими функциями:
- тотальный и постоянный контроль всех каналов потенциальной утечки информации;
- анализ всего трафика, выходящего за пределы корпоративной сети на предмет наличия конфиденциальной информации;
- блокирование передачи конфиденциальной информации, под которой понимаются не только корпоративные секретные данные, но и оскорбительные высказывания, непристойные видеоролики, а также почтовые рассылки, по той или иной причине негативно влияющие на корпоративный имидж;
- блокирование приема нежелательной и вредоносной информации;
- архивирование перехваченного несанкционированного трафика с целью расследования возникших инцидентов.
Необходимо отметить, что DLP-системы не отменяют актуальность прежних категорий продуктов, таких как антивирусы, криптографические программы, электронные замки с повышенной степенью идентификации пользователей и прочее. Однако весь этот инструментарий за последние 2–3 года стал более уязвимым. Причиной тому два глобальных IT-тренда: экспансия мобильных устройств и облачные вычисления.
Новые уязвимости
В настоящий момент на руках у россиян находится около 50 млн мобильных устройств – смартфонов, планшетов, нетбуков, ноутбуков и т. д. В этом году показатель увеличится еще на 12 млн, а к 2015-му превысит 70 млн. Согласно прогнозу аналитической компании International Data Corporation, мобильные устройства по частоте выхода в Интернет превзойдут персональные компьютеры уже в ближайшие месяцы.
И все эти устройства создают потенциальные уязвимости как для самой корпоративной сети, так и для хранящейся в ней конфиденциальной информации. У хакеров сейчас в большой моде вредоносные программы для смартфонов, работающих под управлением ОС Android. И поскольку сотрудники пользуются смартфонами и на работе, и дома, и на отдыхе, и в транспорте, вероятность инфицирования серверов, входящих в состав корпоративной сети, резко повышается.
Есть угроза и иного рода. Известны как минимум три случая, когда либо подгулявшие, либо перетрудившиеся сотрудники британской контрразведки MI-5, теряли свои ноутбуки с секретной информацией в самых неподходящих местах – в метро, такси, кафе. А смартфон, согласитесь, потерять куда легче, чем ноутбук.
Бороться с «тотальной мобилизацией» офиса бесполезно. Да и невыгодно: ведь сотрудники благодаря смартфонам и планшетам могут работать и дома или на отдыхе. По данным «Лаборатории Касперского», сейчас категорически запрещено использовать на работе мобильные устройства лишь четвертой части сотрудников всех компаний. Полный доступ к корпоративным ресурсам имеют 34% владельцев смартфонов, 38% – планшетов, 45% – ноутбуков. Для остальных введены ограничения различных уровней доступа.
Как же обеспечить информационную безопасность в эпоху мобильного Интернета и облачных вычислений? Задача непростая. Ведь рабочие станции и сервера корпоративных сетей работают под управлением одних ОС (Windows или Unix), их безопасность поддерживается встроенными в систему средствами. А мобильные устройства мало того, что используют свои ОС, так еще и не располагают эффективными средствами защиты, потому что они задумывались как устройства индивидуального, а не корпоративного пользования. Ситуация усугубляется еще и тем, что контролировать местонахождение мобильного устройства и источник подключения, а также то, в чьих руках оно находится, организационными методами невозможно.
Как правило, эти проблемы решаются программными средствами за счет усиления защитного контура системы, адаптирования корпоративной системы безопасности ко всему многообразию мобильных устройств и установки на них необходимых защитных приложений. Однако возможен и иной способ – выдать сотрудникам корпоративные защищенные планшеты и смартфоны.
Отечественный производитель средств компьютерной безопасности «Код Безопасности» выпустил планшет «Континент Т-10», работающий под управлением ОС Android 4 и оснащенный всеми необходимыми средствами для безопасной удаленной работы как самого планшета, так и приложений корпоративной системы, к которым он подключается через защищенный шлюз. Этот мобильный девайс полностью интегрирован в корпоративную систему безопасности и не требует никаких дополнительных адаптационных мероприятий.
Серьезные проблемы создают и облачные вычисления. Российский рынок облачных услуг уже превысил годовой оборот в $150 млн и растет ежегодно на 50%. При этом большая часть рынка приходится на частные облака, то есть создаваемые внутри корпорации. Частные облака существенно отличаются от корпоративных сетей жесткой конфигурации с точки зрения информационной безопасности. И требуют собственных средств защиты.
По линейке
Российский рынок информационной безопасности стремительно развивается и уже превысил объем в $600 млн. 15% рынка контролируют пять крупнейших игроков: «Астерос», «Крок», «Информзащита», Leta и «Инфосистемы Джет». Что же касается мирового рынка, то при ежегодном приросте в 30%, его объем приблизился к $1 млрд. Среди международных лидеров значатся такие гиганты, как Symantec, McAffee, TrendMicro, Check Point, Cisco Systems.
И российские, и западные производители, решая общие задачи, выпускают схожие продукты. Для того чтобы гарантированно защитить информацию от всего спектра существующих угроз, необходим комплексный подход, учитывающий все аспекты функционирования корпоративных сетей, не только технические, но и психологические, связанные с человеческим фактором. Наилучшие результаты достигаются при использовании всей линейки продуктов, обеспечивающих защиту информации: антивирусов, межсетевых экранов, антиспамов, криптографических средств, систем предотвращения потери данных и т. п. Одна единственная брешь в защитном контуре системы способна привести к непредсказуемому ущербу.
Но каждый отдельный отечественный производитель предлагают не всю продуктовую линейку. Возникает ситуация, получившая название «зоопарка систем», когда использование различных продуктов, имеющих различную идеологию, требует создания сложных схем управления. В исключительных случаях это может привести к отказу системы.
Поэтому при выборе системы безопасности следует руководствоваться не только полнотой функционала и масштабируемостью, но и управляемостью, зависящей от единства концепции всех ее компонентов. Из российских вендоров, этому требованию удовлетворяет, например, компания «Код Безопасности», имеющая самую широкую продуктовую линейку. Ее продукты, инсталлированные по «бесшовной» технологии, позволяют оперативно отслеживать происходящие события из единой точки контроля всех защитных систем.
Информационная безопасность в бизнесе (стр. 1 из 3)
Руководители компаний должны осознать важность информационной безопасности, научиться прогнозировать тенденции в этой области и управлять ими.
Сегодняшний бизнес не может существовать без информационных технологий. Известно, что около 70% мирового совокупного национального продукта зависят тем или иным образом от информации, хранящейся в информационных системах. Повсеместное внедрение компьютеров создало не только известные удобства, но и проблемы, наиболее серьезной из которых является проблема информационной безопасности.
Наряду с элементами управления для компьютеров и компьютерных сетей стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.
Несомненно, данная тема курсовой работы очень актуальна в современных условиях.
Объект курсовой работы: информационная безопасность профессиональной деятельности организации.
Предмет исследования: обеспечение информационной безопасности.
В курсовой работе планируется создать проект управленческого решения по организации информационной безопасности на базе реально существующей организации.
Глава 1. Информационная безопасность профессиональной деятельности
Обеспечение информационной безопасности является сравнительно новой областью профессиональной деятельности специалистов. Основными целями такой деятельности являются:
— обеспечение защищенности от внешних и внутренних угроз в сфере формирования, распространения и использования информационных ресурсов;
— предотвращение нарушений прав граждан и организаций на сохранение конфиденциальности и секретности информации;
— обеспечение условий, препятствующих преднамеренному искажению или сокрытию информации при отсутствии для этого законных оснований.
Заказчиками специалистов в данной области являются:
— федеральные органы государственной власти и управления РФ;
— органы государственной власти субъектов РФ;
— государственные учреждения, организации и предприятия;
— органы местного самоуправления;
— учреждения, организации и предприятия негосударственной формы
собственности.
Появление в свободной, хотя и нелегальной продаже базы данных клиентов компании сотовой связи МТС вновь и вновь вынуждает обращаться к проблеме компьютерной безопасности. Похоже, эта тема неисчерпаема. Ее актуальность тем больше, чем выше уровень компьютеризации коммерческих фирм и некоммерческих организаций. Высокие технологии, играя революционную роль в развитии бизнеса и практически всех других сторон современного общества, делают их пользователей весьма уязвимыми с точки зрения информационной, а в конечном счете экономической безопасности.
Это проблема не только России, но большинства стран мира, в первую очередь западных, хотя там и действуют законы, ограничивающие доступ к персональной информации и предъявляющие жесткие требования к ее хранению. На рынках предлагают различные системы защиты компьютерных сетей. Но как защититься от собственной “пятой колонны” — недобросовестных, нелояльных, или просто безалаберных сотрудников, имеющих доступ к закрытой информации? Скандальная утечка клиентской базы данных МТС не могла, видимо, произойти без сговора, либо преступной халатности служащих компании.
Такое впечатление, что многие, если не большинство предпринимателей просто не осознают всей серьезности проблемы. Даже в странах развитой рыночной экономики, согласно некоторым исследованиям, 80% компаний не имеют продуманной, спланированной системы защиты хранилищ, операционных баз данных. Что же говорить о нас, привыкших полагаться на знаменитое “авось”.
Поэтому не бесполезно обратиться к теме опасностей, которыми грозят утечки конфиденциальной информации, поговорить о мерах по снижению таких рисков. В этом нам поможет публикация в “Legal Times” (October 21, 2002) — издании, посвященном правовым вопросам (Марк М. Мартин, Эван Вагнер, “Уязвимость и защита информации”). Авторы перечисляют наиболее типичные виды и способы информационных угроз. Какие именно?
— Рассекречивание и кража коммерческой тайны. Тут все более или менее понятно. Классический, уходящий в древнюю историю, экономический шпионаж. Если раньше секреты хранились в потайных местах, в массивных сейфах, под надежной физической и (позднее) электронной защитой, то сегодня многие служащие имеют доступ к офисным базам данных, нередко содержащим весьма чувствительную информацию, например, те же данные о клиентах.
— Распространение компрометирующих материалов. Здесь авторы имеют в виду умышленное или случайное использование сотрудниками в электронной переписке таких сведений, которые бросают тень на репутацию фирмы. К примеру, название компании отражено в домене корреспондента, допускающего в своих письмах диффамацию, оскорбления, короче все, что может скомпрометировать организацию.
— Посягательство на интеллектуальную собственность. Важно не забывать, что любой интеллектуальный продукт, производимый в организации, принадлежит организации и не может использоваться сотрудниками (в том числе генераторами и авторами интеллектуальных ценностей) иначе как в интересах организации. Между тем, в России по этому поводу часто возникают конфликты между организациями и служащими, претендующими на созданный ими интеллектуальный продукт и использующими его в личных интересах, в ущерб организации. Это нередко происходит из-за расплывчатой правовой ситуации на предприятии, когда в трудовом контракте нет четко прописанных норм и правил, очерчивающих права и обязанности служащих.
— Распространение (часто неумышленное) внутренней информации, не секретной, но могущей быть полезной для конкурентов. Например, о новых вакансиях в связи с расширением бизнеса, о командировках и переговорах.
— Посещения сайтов конкурентов. Сейчас все больше компаний используют на своих открытых сайтах программы (в частности, предназначенные для CRM), которые позволяют распознавать посетителей и детально отслеживать их маршруты, фиксировать время, длительность просмотра ими страниц сайта. Понятно, что если ваш заход на сайт конкурента в подробностях известен его оператору, то последнему не трудно сделать вывод, что именно вас интересует. Это не призыв отказаться от важнейшего канала конкурентной информации. Сайты конкурентов были и остаются ценным источником для анализа и прогноза. Но, посещая сайты, надо помнить, что вы оставляете следы и за вами тоже наблюдают.
— Злоупотребление офисными коммуникациями в личных целях (прослушивание, просмотр музыкального и прочего контента, не имеющего отношения к работе, загрузка офисного компьютера) не несет прямой угрозы для информационной безопасности, но создает дополнительные нагрузки на корпоративную сеть, снижает эффективность, мешает работе коллег.
— И, наконец, внешние угрозы — несанкционированные вторжения и т.п. Это тема отдельного серьезного разговора.
Как защититься от внутренних угроз? 100% гарантии от ущерба, который могут нанести собственные работники, просто не существует. Это человеческий фактор, который не поддается полному и безусловному контролю. Вместе с тем, упомянутые выше авторы дают полезный совет — разрабатывать и внедрять внутри компании четко сформулированную коммуникационную (или информационную) политику. Такая политика должна провести четкую границу между дозволенным и недозволенным в использовании офисных коммуникаций. Переход границы ведет к наказанию. Должны быть система мониторинга, кто и как использует компьютерные сети. Правила, принятые в компании, должны соответствовать как национальному, так и международно-признанным нормам защиты государственных и коммерческих тайн, персональной, приватной информации.
Глава 2. Обеспечение информационной безопасности
профессиональной деятельности в ООО «Ласпи»
2.1. Краткая характеристика ООО «Ласпи»
ООО «Ласпи» было создано в 1995 году как представительство чешской компании в России. Фирма занимается поставкой чешского оборудования и расходных материалов для производства различных бетонных изделий (начиная с тротуарной плитки и заканчивая заборами, вазонами и т.п.). Оборудование отличается высоким качеством и приемлемой стоимостью. Заказчиками, обращающимися в Самарский офис, являются организации из различных городов России и СНГ (Казань, Уфа, Ижевск, Москва, Нижний Новгород и т.д.). Естественно, такая широкомасштабная деятельность требует особого отношения к информационной безопасности внутри фирмы.
На сегодняшний день информационная безопасность оставляет желать лучшего. Различная документация (техническая, экономическая) находится в открытом доступе, что позволяет практически любому сотруднику фирмы (начиная с учредителя и заканчивая водителем) беспрепятственно с ней ознакомиться.
Особо важная документация хранится в сейфе. Ключи от сейфа есть только у директора и у его секретаря. Но здесь существенную роль играет так называемый человеческий фактор. Нередко ключи забываются в кабинете на столе и сейф может быть вскрыт даже уборщицей.
Экономическая документация (отчеты, накладные, счета, счета-фактуры и т.п.) разложены по папкам и полкам в шкафу, который не запирается.
Сотрудники не подписывают при устройстве на работу никаких соглашений о неразглашении сведений, которые относятся к коммерческой тайне, что не запрещает им распространять подобную информацию.
Набор сотрудников производится посредством собеседования, состоящего из двух этапов: 1. общение с непосредственным начальником (на котором выявляются умения и способности потенциального работника) 2. общение с учредителем (носит более личностный характер и выводом подобного диалога может быть либо «сработаемся», либо «не сработаемся»).
Источники: http://www.cfin.ru/press/pmix/2001-3/26.shtml, http://www.ceo.ru/news/business/technology/informacionnaya-bezopasnost-v-biznese, http://mirznanii.com/a/158674/informatsionnaya-bezopasnost-v-biznese
