Корпоративная безопасность – явление совсем не новое. То, что лишь недавно стали называть этим термином, существует еще с тех пор, как только зародилась торговля. Каждый купец стремился уберечь свои профессиональные секреты от конкурентов, чтобы не потерять прибыль. По сути, современная корпоративная безопасность мало чем отличается от давнишней. Меняются лишь реалии, в которых бизнесмены должны вести свое дело. Любая компания  хочет быть надежно защищена не только от внешних угроз, но и от внутренних. Эту проблему и решают специалисты по корпоративной и информационной безопасности. Перед ними стоит задача проводить целый комплекс мер, включающих в себя практически все сферы жизни компании:

• защита коммерческой тайн;
• внутренняя работа с сотрудниками;
• внутренняя контрразведка;
• служебные расследования;
• экономичная безопасность;
• техническая и физическая защита.

Если есть проблемы хотя бы по одному из этих пунктов – быть беде. Не так давно в Великобритании разразился скандал – жесткие диски  с данными пациентов клиник, которые должны были быть уничтожены, оказались вдруг на аукционах eBay. Больницы передавали списанные диски компании-подрядчику, которая, в свою очередь, пользовалась услугами частного лица. Предприимчивый англичанин, вместо того чтобы добросовестно выполнить свои обязанности – уничтожить носители -  выставлял диски с данными на продажу. В этом случае «слабыми звеньями» можно назвать два пункта – внутренняя работа с сотрудниками и техническая защита. Разберемся, почему. К утечке привела слишком длинная цепочка посредников, в результате чего заказчик даже не был в курсе, кто непосредственно занимается уничтожением дисков и чьи действия необходимо было проконтролировать. Кроме того, уже сам факт, что больницы передавали диски с незащищенными личными данными пациентов третьим лицам – техническое упущение сотрудников. Ответственный подход к обеспечению корпоративной информационной безопасности помог бы избежать данной ситуации. Разберемся, что же необходимо предпринять, чтобы получить на выходе реально работающую систему информационной защиты.

Три непростых шага

Прежде чем приступать к построению эффективной системы информационной безопасности, необходимо тщательно проанализировать уже существующую на предприятии систему хранения и обработки данных. Есть три основных шага, которые необходимо для этого сделать: 1.    Выявление критически важной информации. 2.    Выявление слабых мест в корпоративной безопасности. 3.    Оценка возможностей защиты этой информации. Все эти действия можно выполнить либо силами своих сотрудников, либо заказать у специалистов аудит информационной безопасности компании. Преимущества первого способа – более низкая стоимость и, что немаловажно, отсутствие доступа к корпоративным данным для третьих лиц. Однако если в организации нет хороших штатных специалистов по аудиту безопасности, то лучше всего прибегнуть к помощи сторонних компаний – результат будет надежнее. Это поможет избежать наиболее распространенных  ошибок в обеспечении информационной безопасности.

«Самые частые ошибки - это недооценка и переоценка угроз предпринимательской деятельности, – считает Александр Доронин, эксперт в области экономической безопасности и автор книги «Бизнес-разведка» -  В первом случае, в системе безопасности предприятия зияют дыры, что для организации оборачивается прямым ущербом от утечки конфиденциальной информации, корпоративного мошенничества и откровенного воровства что под руку попадется.

При переоценке угроз система безопасности не только тяжким бременем ложится на бюджет предприятия, но и неоправданно затрудняет работникам организации исполнение возложенных на них обязанностей. Это грозит потерями возможной прибыли и утратой конкурентоспособности». Выявление критически важной информации. На этом этапе происходит определение тех документов и данных, безопасность которых имеет огромное значение для компании, а утечка – несет огромные убытки. Чаще всего к такой информации относятся сведения, составляющие коммерческую тайну, но не только. Например, после принятия новой редакции федерального закона «О персональных данных» в охране нуждаются и все сведения, собираемые организацией о своих сотрудниках и клиентах. Серия прошлогодних утечек из Мегафона, интернет-магазинов и «РЖД», а также штрафы, полученные виновниками этих инцидентов – лучшее доказательство необходимости защиты такой информации. Важно помнить: сторонние специалисты-аудиторы не могут самостоятельно составить список всех документов, которые необходимо защищать. Работа аудитора должна выполняться совместно с сотрудником предприятия, хорошо знающим особенности документооборота. Выявление слабых мест в корпоративной безопасности. Эта задача выполняется непосредственно специалистами, проводящими аудит. От результатов этой работы зависит выбор схемы построения информационной безопасности. При выявлении брешей в информационной и, как следствие, корпоративной безопасности оцениваются не только технические средства. Очень важный момент – наличие разграничения прав доступа сотрудников к той или иной информации,  соглашения о неразглашении корпоративной информации. Важно также оценить лояльность работников к руководству и взаимоотношения в коллективе – всё это входит в обязанности отдела по работе с персоналом. Недавний пример ситуации, когда штатный сотрудник воспользовался своим положением и похитил информацию – кража кенийским представительством Google сведений о стартапе Mocality (онлайн-база бизнес-информации). Google  был вынужден принести официальные извинения пострадавшим, а глава представительства, по вине которого произошёл инцидент, был смещен со своей должности. Оценка возможностей защиты информации. Это завершающий этап аудита, в ходе которого на основании  проведенного анализа составляется список конкретных мер, которые необходимо принять для охраны корпоративных секретов компании. Рекомендации могут носить как технический, так и организационный характер. Кроме того, на этом этапе анализируются и финансовые возможности компании по защите информации, поскольку многие средства защиты информации могут оказаться слишком дорогими для предприятия. А некоторые из этих мер попросту не целесообразны для малого бизнеса. Особая необходимость в DLP-системе возникает, если в организации используется 50 и более компьютеров.

Двусторонняя защита

Информационная безопасность – лишь один из многих способов (пусть и самый важный) обеспечить корпоративную защиту. Необходим комплекс мер – технических и организационных. К техническим решениям по защите корпоративных секретов относится установка DLP-системы  (от англ. Data Leak Prevention – «предотвращение утечек данных»). Этот комплекс программных средств отслеживает все информационные потоки в организации – от электронной почты до программ, использующих алгоритмы шифрования, (к примеру, Skype) или протокол HTTPS. Под контролем также находятся все съемные носители информации, корпоративные компьютеры и ноутбуки. Важная особенность DLP-систем – их автономность. Компании нет необходимости содержать целый отдел, который занимался бы информационной безопасностью. Достаточно всего нескольких специалистов. Последние исследования SearchInform, ведущего игрока на российском рынке информационной безопасности, показали, что сейчас в России и странах СНГ DLP-системы не пользуются большой популярностью. Только чуть более половины организаций (58%) планируют в скором времени установку комплексной защиты. Остальные не считают нужным ее внедрение либо полагают, что достаточно и частичной защиты. Однако, информационная безопасность только тогда будет на оптимальном уровне, когда обеспечена комплексная защита. DLP-система позволяет не только обеспечить надежную защиту секретов. Их функции намного шире: при правильном подходе можно получить информацию о настроениях сотрудников в коллективе, проследить движение ключевых документов, входящие и исходящие сообщения. Как следствие, использование DLP-систем – это еще и эффективное подспорье в таких важных для корпоративной безопасности мероприятиях, как внутренняя контрразведка или служебное расследование. Впрочем, одной лишь технической безопасности данных и отслеживания действий сотрудников недостаточно. Важны и организационные мероприятия, работа с сотрудниками, разработка внутренней документации.

«Система корпоративной безопасности должна быть комплексной, иначе будет как в анекдоте: на проходной охранник строго проверяет у работников предприятия пропуска, а через двадцать метров от проходной имеется дырка, через которую на территорию фирмы может проникнуть любой желающий», - делится своим опытом Александр Доронин.

Организационная работа включает в себя информирование персонала о наличии в организации систем информационной безопасности, о необходимости соблюдать коммерческую тайну и возможных последствиях ее разглашения, как для компании, так и для самого сотрудника. Создание благоприятной рабочей атмосферы – еще один ключевой момент организационных мер. Корпоративная безопасность невозможна, если сотрудники недоверчиво косятся один на одного. Такая «холодная война» будет изрядно тормозить бизнес-процессы. Поэтому ещё раз стоит напомнить о важной роли отдела по работе с персоналом. Что касается разработки внутренней документации, то должны быть четко прописаны обязанности работников, а также их права доступа к тем или иным документам. Каждый отдел должен выполнять возложенные на него задачи – не больше, но и не меньше. Нельзя забывать и о таких, казалось бы, элементарных вещах, как работа службы безопасности. Физическая защита сотрудников на рабочих местах – тоже немаловажная часть корпоративной безопасности. Только добившись такой двусторонней - технической и организационной - защиты, не преувеличив и не преуменьшив угрозы, можно создать надежную корпоративную защиту компании.