Сохранение конфиденциальности корпоративной информации — сегодня одно из главных условий конкурентоспособности бизнеса. Ведь в современной экономике компания любого профиля работает прежде всего с собственной базой данных, в которой фиксируются результаты труда ее сотрудников.

 

О том, насколько в нашей стране распространено хищение конфиденциальной информации, можно судить хотя бы по обилию коммерческих и государственных баз данных, продающихся в интернете и рынках. Разумеется, это только вершина айсберга, поскольку информация обычно крадется вовсе не для передачи в широкую продажу. Обычно она предлагается конкретному «клиенту».

 

Платим и заказываем

 

Потери от информационных утечек могут быть очень велики именно потому, что часто они провоцируются заинтересованной стороной из числа конкурентов. Заказчики, как правило, заранее знают, за что платят, и имеют четкие планы по дальнейшему использованию полученных данных. А вот человек, который непосредственно организует утечку, может не понимать реальной ценности информации, которую он передает.

 

На Западе уже давно пришли к пониманию того факта, что как бы дорого ни обходилась защита критически важных данных, убытки, вызванные их разглашением, обычно оказываются выше. Причем сохранение конфиденциальности зачастую связано не только с финансовыми, но и с этическими вопросами. Летом этого года большинство из 200 членов советов директоров американских компаний, участвовавших в соответствующем опросе, заявили о своей поддержке любых легальных способов идентификации утечки конфиденциальной информации, включая анализ электронной переписки сотрудников. Около половины опрошенных считают также, что нужно использовать и данные по телефонным переговорам, если такой метод будет признан законным.

 

Технологии и люди

 

Проблема защиты информации имеет три аспекта: правовой, организационный и технологический. Пытаться обеспечить конфиденциальность информации исключительно техническими средствами — задача безнадежная. Самое лучшее инженерное решение не будет работать, если в компании не создана четкая организационная структура доступа к информации.

 

И все же начинать стоит именно с технологий. Системы защиты информации и системы ее взлома развиваются так же, как и любые средства обороны и атаки, использующиеся в военных целях. Например, в средние века были созданы совершенные защитные системы, применявшиеся тяжеловооруженной кавалерией. Но изобретение огнестрельного оружия сделало рыцарей анахронизмом. Такова потенциальная судьба и любой системы, которая стоит на защите вашей информации.

 

Топ в помощь

 

Западные исследования показывают, что проникновение злоумышленника в информационную систему компании обычно связано либо с некорректными действиями администратора сети, либо с «помощью» сотрудника компании.

 

В большинстве случаев «помощником» выступает кто-то из руководителей. Это легко объяснить, учитывая, что именно управленцы не только имеют обычно наиболее широкий доступ к информации, но и понимают ее ценность.

 

Противодействие распространению информации через топов — это очень сложная задача, связанная с введением жестких схем ограничения доступа. В малом и среднем бизнесе эту проблему, как правило, стараются решать неформально. Руководители таких компаний во многих случаях — это давние проверенные партнеры, которые могут полностью доверять друг другу. Ограничения на доступ к информации распространяются здесь обычно только на персонал среднего и низшего уровней.

 

Однако чем более крупной становится компания, тем больше формальных правил, направленных на распространение и хранение информации, ей приходится вводить. Часто подобные меры не находят понимания среди сотрудников. С точки зрения работников это свидетельствует о недоверии со стороны руководства. Поэтому очень важно не просто объявлять о новых правилах, но и разъяснять их смысл, подчеркивая, что главная цель охраны информации — это защита бизнеса. Ведь, в конце концов, данные можно раскрыть и без злого умысла.

 

В самом деле, может получиться так, что сотрудник, которого не предупредили о нежелательности распространения той или иной информации, окажется в весьма неприятной ситуации, просто рассказав о жизни компании кому-нибудь из своих друзей.

 

Уровни доступа

 

Как правило, уровень доступа к корпоративной информации определяется в зависимости от компетенций сотрудника. Рядовые специалисты и менеджеры по работе с клиентами имеют доступ лишь к тем документам, которые нужны им для повседневной работы.

 

Управленцы, ответственные за тактические решения, работают как с данными своих подчиненных, так и с информацией более высокого уровня. Наконец, люди, ответственные за стратегический менеджмент компании, имеют полный доступ к информации. С топ-менеджерами в этом смысле могут сравниться только специалисты в области ИТ. Их задача состоит как в организации бесперебойной работы информационной базы предприятия, так в и защите данных. А следовательно, от надежности этих людей полностью зависит сохранность вашей коммерческой тайны.

 

Во многих компаниях, деятельность которых связана с накоплением и переработкой уникальной информации (например, речь может идти о научно-технических разработках), существует практика создания специальных банков данных. В таких случаях, каждый сотрудник компании имеет доступ только к тому сегменту банка данных, с которым непосредственно связана его рабочая группа. А запросы на доступ к остальной информации идут через руководителя группы, который несет ответственность за принятие решений об открытии информации.

 

По материалам газеты «Бизнес»