Давненько что-то не было постов про информационную безопасность. Давайте сегодня поговорим именно о ней.
Нет принципиального отличия в масштабе бизнеса – и стратегическому заводу и среднему торговому предприятию нужна защита. Разница лишь в выборе инвестиций и инструментарии, который применяется. А подход к организации информационной безопасности стандартен.
Например, у производства есть промышленная сеть, которую нужно отделить от офисной фаерволами , демилитаризованной зоной и прочими техническими вещами. А в торговом центре производственной сети, скорее всего, не будет — там только периметр офисной корпоративной сети.
Как делиться данными с подрядчиками и партнерами?
1. Классифицируйте информацию, чтобы знать, насколько важны те или иные данные для бизнеса. Нужно понимать, где:
коммерческая тайна, которую нужно оставить конфиденциальной;
информация для внутреннего пользования;
информация, которой можно делиться со всем миром.
2. Поймите, какой информацией имеете право делиться с подрядчиком и какой информацией он имеет право делиться с нами.
Информацию нужно лимитировать принципом минимальных привилегий: обмениваться только тем, что необходимо для работ по договору или проекту.
3. Установите контроль. Каждому типу информации нужен соответствующий контроль.
Например, дайте доступ к вашему облаку только тем подрядчикам, которые имеют право работать по проекту с этой информацией. Выстраивайте контроль, при котором все действия подрядчика (копирование, загрузка, удаление) регистрируются в системе — и он об этом знает.
4. Пропишите соглашение о неразглашении и проговорите ответственность, которую будет нести подрядчик, если нарушит обязательства — вплоть до уголовного преследования в случае нарушения режима коммерческой тайны.
5. Обсудите, как подрядчик будет защищать информацию. Важно понимать его уровень зрелости в вопросах информационной безопасности. Убедитесь, что:
его сотрудники знают правила работы с вашей информацией;
внутри организации есть правила защиты информации и в компании их соблюдают;
вы своевременно узнаете об увольнении или уходе из проекта сотрудника, чтобы отключить ему доступ к информационной системе;
нового сотрудника правильно обучат работе с вашей информацией и будут вовлекать в рабочие процессы.
И базовое правило: перед подготовкой договора по проекту с потенциальным подрядчиком проговорите все моменты относительно информационной безопасности. А потом подпишите базовое соглашение о неразглашении.
К чему может привести утечка информации
Новостные ленты каждый день пестрят показательными историями. Даже если нет прямых потерь — есть репутационные. И это не менее важно.
В 2017 году была вспышка активностей по программам-шифровальщикам. Все помнят атаку «Плохого кролика» или Wanna Cry, от которых пострадал энергетический сектор Украины, России и других европейских стран. Например, в крупных международных компаниях из-за заражения этим шифровальщиком остановилось много IT-ресурсов, и последствия этих атак до сих пор влияют на бизнес.
И самое главное. Каждый руководитель бизнеса должен спросить себя, что компания будет делать, если:
не будет возможности обслуживать клиентов и поддерживать другие процессы;
IT-системы компании будут недоступны или информация в них исказится;
план маркетинговой кампании или рецепт нового продукта станет доступным конкурентам раньше времени.
Кибербезопасность влияет не только на текущее состояние, но и на развитие бизнеса. Нужно понимать, что в результате кибератаки компания может быстро потерять конкурентное преимущество.