Как оценить бизнес-риски, связанные с утечкой информации?

Главная — Блог — Как оценить бизнес-риски, связанные с утечкой информации?

01.07.2016

У каждой серьезной компании наверняка найдутся такие «коммерческие тайны», о которых не следует знать никому, кроме сотрудников самой компании. Достаточно вспомнить скандал с «прослушкой» журналистами газеты News of the World, который в итоге привёл к её закрытию (британский таблоид, издавался с 1843 по 2011 год. Газета была закрыта из-за скандала с прослушкой телефонных разговоров звёзд).

Эксперты подсчитали, что в шести случаях из десяти для банкротства компании достаточно утечки всего лишь 20% ее коммерческих секретов. Список того, что не следует показывать широкой публике, изменяется в зависимости от вида деятельности фирмы, но в общих чертах состоит из следующих пунктов:

Документы, характеризующие финансовое состояние и планы организации (финансовые отчеты, различная бухгалтерская документация, бизнес-планы, договора и т.д.);
Персональные данные клиентов и сотрудников организации;
Технологические и конструкторские разработки, ноу-хау компании и т.п.;
Внутренние документы (служебные записки, аудиозаписи совещаний, презентации «только для сотрудников» и т.д.);
Технические сведения, необходимые для несанкционированного доступа в сеть организации третьих лиц (логины и пароли, сведения об используемых средствах защиты и т.п.).

Большинство руководителей сходятся во мнении, что информацию надо защищать . Как это сделать, могут подсказать начальники службы безопасности компании. Важным шагом в укреплении позиций компании в области ИБ становится внедрение DLP-системы (от англ. Data Leak Prevention). Это программное решение призвано противостоять утечкам конфиденциальной информации и при грамотном внедрении, подготовке процедурных документов и необходимых частных политик, все это позволит существенно снизить вероятность несанкционированного перемещения конфиденциальных данных вовне.

С ЧЕГО НАЧАТЬ?

В теории все просто. Для принятия решения о необходимости установки DLP-системы следует сделать три «шага»:

Оценить вероятность наступления события. (Палка стреляет раз в год, а сколько раз в год в компании происходят утечки информации?);
Оценить возможный ущерб. (Сколько нам это будет стоить?);
Сопоставить полученную цифру со стоимостью внедрения системы.

Мировая практика показывает, что если полученная цифра возможного ущерба хотя бы равна стоимости внедрения, то внедрять стоит. Но чаще всего стоимость утечки информации в несколько раз превышает затраты на внедрение DLP. По данным компании SearchInform, основанным на исследованиях Ponemon Insitute, средняя стоимость утечки информации в мире составляет $2,7 млн. И эта цифра, к сожалению, год за годом лишь увеличивается.

ОЦЕНКА РИСКОВ ВНУТРИ КОМПАНИИ

Прежде всего следует определить, какие именно риски являются наиболее критичными для вашей компании. В большинстве случаев, необходимо защищать следующее:

Финансовая и бухгалтерская документация;
Планы и прогнозы по развитию бизнеса;
Внутренние документы, представляющие ценность для конкурентов;
Протоколы совещаний;
Персональные данные сотрудников;
Шаблоны договоров и отчетов;
Описание «ноу-хау» и технологических процессов;
Программный код, разработанный в компании.

После составления списка того, на что могут «позариться» конкуренты или нерадивые сотрудники, следует для каждого пункта указать информационные каналы, через которые может произойти утечка. Чаще всего важные документы «утекают» через электронную почту, ICQ, Skype и посредством переносных USB-накопителей.

ПОДВОДЯ ИТОГИ

Резюмируя все вышесказанное, для комплексной оценки бизнес-рисков необходимо:

Составить список возможных рисков;
Соотнести с каждым риском каналы, по которым может произойти утечка информации;
Соотнести с каждым риском возможные убытки;
Внедрить DLP-систему и получить возможность анализировать реальные отчеты по инцидентам, произошедшим за тестовый период эксплуатации.

И помните, если стоимость работ по внедрению продукта, анализ бизнес-рисков, величина затрат на обучение персонала и написание процедур и политикбезопасности хотя бы сопоставимы со стоимостью одной утечки, то внедрять DLP-систему безусловно стоит. В конце концов, любую болезнь целесообразнее предупредить, чем лечить ее осложнения.

ВЕРНУТЬСЯ К СПИСКУ СТАТЕЙ

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.