Как оценить бизнес-риски, связанные с утечкой информации?

01.07.2016

Вернуться к списку новостей
У каждой серьезной компании наверняка найдутся такие «коммерческие тайны», о которых не следует знать никому, кроме сотрудников самой компании. Достаточно вспомнить скандал с «прослушкой» журналистами газеты News of the World, который в итоге привёл к её закрытию (британский таблоид, издавался с 1843 по 2011 год. Газета была закрыта из-за скандала с прослушкой телефонных разговоров звёзд).

Эксперты подсчитали, что в шести случаях из десяти для банкротства компании достаточно утечки всего лишь 20% ее коммерческих секретов.

Список того, что не следует показывать широкой публике, изменяется в зависимости от вида деятельности фирмы, но в общих чертах состоит из следующих пунктов:

  • Документы, характеризующие финансовое состояние и планы организации (финансовые отчеты, различная бухгалтерская документация, бизнес-планы, договора и т.д.);

  • Персональные данные клиентов и сотрудников организации;

  • Технологические и конструкторские разработки, ноу-хау компании и т.п.;

  • Внутренние документы (служебные записки, аудиозаписи совещаний, презентации «только для сотрудников» и т.д.);

  • Технические сведения, необходимые для несанкционированного доступа в сеть организации третьих лиц (логины и пароли, сведения об используемых средствах защиты и т.п.).


Большинство руководителей сходятся во мнении, что информацию надо защищать . Как это сделать, могут подсказать начальники службы безопасности компании. Важным шагом в укреплении позиций компании в области ИБ становится внедрение DLP-системы (от англ. Data Leak Prevention). Это программное решение призвано противостоять утечкам конфиденциальной информации и при грамотном внедрении, подготовке процедурных документов и необходимых частных политик, все это позволит существенно снизить вероятность несанкционированного перемещения конфиденциальных данных вовне.

С ЧЕГО НАЧАТЬ?


В теории все просто. Для принятия решения о необходимости установки DLP-системы следует сделать три «шага»:

  • Оценить вероятность наступления события. (Палка стреляет раз в год, а сколько раз в год в компании происходят утечки информации?);

  • Оценить возможный ущерб. (Сколько нам это будет стоить?);

  • Сопоставить полученную цифру со стоимостью внедрения системы.


Мировая практика показывает, что если полученная цифра возможного ущерба хотя бы равна стоимости внедрения, то внедрять стоит. Но чаще всего стоимость утечки информации в несколько раз превышает затраты на внедрение DLP. По данным компании SearchInform, основанным на исследованиях Ponemon Insitute, средняя стоимость утечки информации в мире составляет $2,7 млн. И эта цифра, к сожалению, год за годом лишь увеличивается.

ОЦЕНКА РИСКОВ ВНУТРИ КОМПАНИИ


Прежде всего следует определить, какие именно риски являются наиболее критичными для вашей компании. В большинстве случаев, необходимо защищать следующее:

  • Финансовая и бухгалтерская документация;

  • Планы и прогнозы по развитию бизнеса;

  • Внутренние документы, представляющие ценность для конкурентов;

  • Протоколы совещаний;

  • Персональные данные сотрудников;

  • Шаблоны договоров и отчетов;

  • Описание «ноу-хау» и технологических процессов;

  • Программный код, разработанный в компании.


После составления списка того, на что могут «позариться» конкуренты или нерадивые сотрудники, следует для каждого пункта указать информационные каналы, через которые может произойти утечка. Чаще всего важные документы «утекают» через электронную почту, ICQ, Skype и посредством переносных USB-накопителей.

ПОДВОДЯ ИТОГИ


Резюмируя все вышесказанное, для комплексной оценки бизнес-рисков необходимо:

  • Составить список возможных рисков;

  • Соотнести с каждым риском каналы, по которым может произойти утечка информации;

  • Соотнести с каждым риском возможные убытки;

  • Внедрить DLP-систему и получить возможность анализировать реальные отчеты по инцидентам, произошедшим за тестовый период эксплуатации.


И помните, если стоимость работ по внедрению продукта, анализ бизнес-рисков, величина затрат на обучение персонала и написание процедур и политикбезопасности хотя бы сопоставимы со стоимостью одной утечки, то внедрять DLP-систему безусловно стоит. В конце концов, любую болезнь целесообразнее предупредить, чем лечить ее осложнения.