Ваш бизнес растет! А что вам теперь делать с информационной безопасностью?

Сначала подумайте, что вы хотите получить в итоге и что усовершенствовать. Только затем приступайте к поиску и построению ИТ-решения.
Насколько безопасность в вашей компании должна быть сильной? Это вопрос вашего бизнеса. Это зависит от того, насколько вам важна защита вашего бизнеса, его активов, ваших клиентов, а также возможно и вас самих от некоторых рисков.

Подбираете набор, быть может взаимо-компромиссных решений, а затем внедряете  и постепенно адаптируйте под ваши  технологии ведения бизнеса. Звучит просто. И сложно. Но таков бизнес.  Эта статья поможет понять основные моменты организации информационной безопасности вашего бизнеса.

Помните, вы не сможете обогнать ваших конкурентов, занимаясь только простыми задачами. Только сложные, трудоемкие дела могут способствовать значительному росту. Но простые задания были и остаются основополагающими, и неумение их выполнять приведет к вылету из гонки. Поэтому вы должны уметь делать и то, и другое. Причем, вам не нужно быть специалистом в области информационных технологий, вы должны это делать в деловой, бизнес манере. Это ваша работа!
 

Корпоративная политика вашей компании

Обычно у каждой компании есть свой собственный набор целей и задач, которые направлены на развитие компании. Многие организации структурированы в функциональные единицы (такие как производство, продажи, маркетинг, финансы, операционная деятельность и т.п.) для достижения определенных целей. Некоторые организации структурированы по разным направлениям бизнеса. Все организации состоят из отдельных сотрудников, исполнителей и принимающих решения. Корпоративная политика соединяет все структуры организации и направляет их на развитие и достижение поставленных целей. Корпоративные принципы описывают деятельность вашей компании в независимости от того, отображены ли они в корпоративных правилах или неформально витают в воздухе, как фраза «мы просто так ведем наш бизнес, как знаем». Они рассказывают нам, кто и что должен делать, и при каких условиях. Например, правило - "Сотрудники могут принимать подарки от поставщиков при условии, если они не дороже 3000 рублей и не нарушают корректность ситуации". Они также рассказывают вашим сотрудникам, что они не могут, либо не должны делать -"Сотрудникам не разрешено использовать офисные принадлежности в личных целях". Вы уже, наверное, убедились, что корпоративная политика тесно связана с системами безопасности компании. Хорошее решение в области безопасности поможет вам внедрить корпоративные принципы, направленные на использование информационных систем для различных сервисов. Лучшее ИТ-решение по безопасности поможет поддерживать и расширять бизнес. А решение по безопасности, которое требует от вас изменить ваш стиль ведения бизнеса, чтобы соответствовать заложенной в него функциональности, это совсем не то, что вам нужно. Безопасность невероятно важна для того, чтобы поддерживать корпоративную политику, которая, в свою очередь, помогает вам безопасно и эффективно управлять компанией. Убедитесь, что вы, на самом деле, знаете свою корпоративную политику и периодически пересматривайте и обновляйте ее. Бизнес и конкурентная среда постоянно меняются, и ваши принципы должны соответственно им меняться. Каждый сотрудник в вашей компании должен знать текущие корпоративные принципы. Сообщите специалистам, которые будут внедрять вам систему безопасности, что у вашей компании своя собственная корпоративная политика и что она должна присутствовать в дизайне систем безопасности, и что вы должны быть способны легко обновлять их в будущем.

[Перепечатка материалов 12NEWS.ru разрешается только с предварительного согласования с редакцией или автором. Если вы читаете этот материал на другом ресурсе, пожалуйста, сообщите нам об этом на 12news@inbox.ru]

Какой объем безопасности вам нужен?

Некоторые специалисты предлагают искать ответ на этот вопрос в том, насколько сильна потребность в защите данных вашего бизнеса: вам не следует тратить на защиту чего-либо больше, чем стоит его замена. Некоторые акцентируют внимание на безопасности информационных решений и электронной коммерции и поэтому не рекомендуют тратить больше, чем требуется для превосходства над конкурентами. Как и любой другой выбор, который приходится делать в бизнесе, выбор решений по безопасности вовлекает в себя множество факторов, которые должны быть объективно, а многие из них и субъективно, качественно взвешены и продуманы. Речь идет о защите балансовых отчетов, объемах производства, продаж, количества занятых сотрудников и других ваших конкурентных данных, а также, что немаловажно, вашей репутации. Как вам сделать выбор в области решений по безопасности? Также как вы делаете любой другой выбор в решениях, касающихся вашего бизнеса. Ниже приведены наши советы, с чего начать.

Какие риски?

Слова «риск» и «угроза» нередко употребляются как будто они синонимы. Но у них разные значения. Риск означает степень потери вашего бизнеса от неблагоприятного события, иными словами, это возможность или вероятность реализации угрозы или опасности. Угрозы же – то, что именно может причинить вред. Некоторые риски, с которыми вы можете столкнуться – это, например, потеря списка всех ваших контактов, либо ваша организация может быть закрыта на день или два по какому либо законному решению. Некоторые угрозы, с которыми обычно сталкиваются – забастовка недовольных сотрудников, или удаление важных файлов некомпетентным специалистом, либо отказ обслуживания вашего провайдера Интернета. Вам необходимо сфокусироваться на определении и оценке рисков, которые действительно существенны для вашего бизнеса. Определение угроз системе безопасности является чисто техническим вопросом, и делать это должен квалифицированный специалист службы информационной безопасности, как только вы назовете ему наиболее важные риски для вашего бизнеса.

Какой вид защиты выбрать?

Вряд ли система безопасности вашей компании входит в Национальную cистему безопасности. Вероятнее всего, вы не являетесь и объектом шпионажа со стороны систем безопасности более могущественной корпорации. И, возможно, вам не надо использовать те же методы в безопасности, которыми пользуются национальные службы безопасности. К несчастью, в настоящее время большинство технологий безопасности на рынке основаны на требованиях военной и национальной систем безопасности. Такой вид системы безопасности часто не подходит для ведения бизнеса. Тот продукт безопасности, который работает в ФСБ или в Госуправлении, не подойдет для вашей компании. С другой стороны, не надо расслабляться. И не надо полагать, что, если вы не сталкиваетесь с многочисленными рисками, то и безопасность не нужна в вашей организации.

Простой пример

Представьте организацию, в которой информационные технологии сводятся к электронному офису – сеть компьютеров пользователей, которые обрабатывают текстовые данные, подготавливают счета, некоторые расчетные таблицы, и тому подобное. Пользователи делят между собой один или два принтера, или возможно, даже делят подготовку документов. Если эта работа не связана с Интернетом, то такой офис не нуждается в усиленной защите, но и ему бы не помешали некоторые элементы системы безопасности. Многие стандартные программные продукты, включая операционные системы и обычные офисные модули, предполагают наличие, по крайней мере, некоторой "службы безопасности", которая может идентифицировать одного пользователя от другого. Для чего? Для того, чтобы работать более эффективно. Например, это позволяет добавлять свои комментарии и редактировать документы, назначать права на изменения документов; адаптировать рабочую обстановку и инструменты в соответствии со своими личными предпочтениями и задачами. Система помогает своим пользователям контролировать то, чем они занимаются, и быстро находить необходимые документы. Также это дает возможность отслеживать – кто и чем занимается, кто и когда изменил документ и кому принадлежит какой файл. В свою очередь, это помогает избежать рисков, с которыми сталкиваются практически все компании: сотрудники могут ошибочно загрузить не тот документ, либо удалить важный файл, злонамеренно редактировать его или просто повредить созданные другими сотрудниками документы. Это был очень простой пример и мы выбрали его для того, чтобы проиллюстрировать несколько простых моментов. Два из них гласят: «безопасность основана на деятельности пользователя», и «риски возникают даже в небольших делах». И мы хотели бы подвести вас к двум важным заключениям: «готовность и способность сокращать риски», и «не существует большой разницы между функциями безопасности и функциями бизнеса». Весьма вероятно, что вы используете свою информационную систему не только для автоматизации офиса. И вы, скорее всего, подключены к Интернету хотя бы для того, чтобы работать с электронной почтой. Поэтому ваши нужды будут более конкретизированы, чем в вышеупомянутом примере автоматизации офиса. Вы можете обладать уязвимой к вторжению информацией, либо можете использовать ваши системы для контроля и управления бизнес-процессами. Ваши системы могут быть подключенными к Интернету и, возможно, вы позволяете своим сотрудникам, клиентам или бизнес партнерам пользоваться вашими системами дистанционно. Однако всегда помните основные моменты, приведенные выше на примере автоматизации офиса. Они применимы к каждому случаю.

Информация в зоне риска

Решения по безопасности должны защищать информацию вашей компании. Они должны также защищать информацию, которая хранится в компании, но принадлежит другим, например, вашим бизнес партнерам, сотрудникам, и клиентам. Важно определить, какая информация действительно нуждается в защите. Это особенно актуально, если ваши системы содержат данные, принадлежащие другим лицам, либо на использование которых они имеют право. Сюда относится информация, исходящая от ваших партнеров, поставщиков и других компаний. Но, тем не менее, наиболее сложно оценить информацию о людях. Вы знаете, что файлы отдела кадров являются наиболее уязвимыми, и должны быть защищены подобающим образом. Но вы когда-либо думали, каким образом ваши сотрудники оценивают данную информацию? Какую материальную ценность для них представляет содержание данной информации закрытой? И как мы можем сравнить их ценность с той ценностью, которую вы видите в собственной информации компании?

Тщательно продумайте ответы на вышеупомянутые вопросы, прежде чем планировать систему безопасности для сотрудников. Похожая ситуация и с информацией, которую вы собрали о ваших клиентах. Их кредитные истории, покупательская способность, демографическая информация, и любые подобные данные, которые представляют ценность для них, или, вероятнее всего, им гораздо важнее, чтобы она не стала общедоступной. Неадекватная система безопасности вашей информации может ввести вас в зону риска. Насколько вы будете уязвлены, если ваш конкурент о чем-то узнает? А если информацию об этом опубликуют газеты? Сколько будет стоить восстановление? Как долго сможет простаивать ваша компания, пока вы попытаетесь восстановить информацию. В принципе, вам знакомы все подобные вопросы, и, возможно, вы знаете ответы на многие их них. Это основные вопросы бизнеса, а не специфичные вопросы, связанные с безопасностью данных. Вам не обязательно понимать деятельность хакеров для того, чтобы представлять данные риски.
 

Алексей Маринин
©12NEWS

© Издание 12NEWS (ИП Маринин А.Л.), 2010


Комментарии на публикацию Ваш бизнес растет! А что вам теперь делать с информационной безопасностью?

Сначала подумайте, что вы хотите получить в итоге и что усовершенствовать. Только затем приступайте к поиску и построению ИТ-решения.
Гость
Тема/заголовок:
Комментарий: