• Главная
  • Soft
  • Информационная безопасность: о масштабе бедствия

Давненько что-то не было постов про информационную безопасность. Давайте сегодня поговорим именно о ней.

Нет принципиального отличия в масштабе бизнеса – и стратегическому заводу и среднему торговому предприятию нужна защита. Разница лишь в выборе инвестиций и инструментарии, который применяется. А подход к организации информационной безопасности стандартен.

Например, у производства есть промышленная сеть, которую нужно отделить от офисной фаерволами , демилитаризованной зоной и прочими техническими вещами. А в торговом центре производственной сети, скорее всего, не будет — там только периметр офисной корпоративной сети.

Как делиться данными с подрядчиками и партнерами?

1. Классифицируйте информацию, чтобы знать, насколько важны те или иные данные для бизнеса. Нужно понимать, где:

коммерческая тайна, которую нужно оставить конфиденциальной;

информация для внутреннего пользования;

информация, которой можно делиться со всем миром.

2. Поймите, какой информацией имеете право делиться с подрядчиком и какой информацией он имеет право делиться с нами.

Информацию нужно лимитировать принципом минимальных привилегий: обмениваться только тем, что необходимо для работ по договору или проекту.

3. Установите контроль. Каждому типу информации нужен соответствующий контроль.

Например, дайте доступ к вашему облаку только тем подрядчикам, которые имеют право работать по проекту с этой информацией. Выстраивайте контроль, при котором все действия подрядчика (копирование, загрузка, удаление) регистрируются в системе — и он об этом знает.

4. Пропишите соглашение о неразглашении и проговорите ответственность, которую будет нести подрядчик, если нарушит обязательства — вплоть до уголовного преследования в случае нарушения режима коммерческой тайны.

5. Обсудите, как подрядчик будет защищать информацию. Важно понимать его уровень зрелости в вопросах информационной безопасности. Убедитесь, что:

его сотрудники знают правила работы с вашей информацией;

внутри организации есть правила защиты информации и в компании их соблюдают;

вы своевременно узнаете об увольнении или уходе из проекта сотрудника, чтобы отключить ему доступ к информационной системе;

нового сотрудника правильно обучат работе с вашей информацией и будут вовлекать в рабочие процессы.

И базовое правило: перед подготовкой договора по проекту с потенциальным подрядчиком проговорите все моменты относительно информационной безопасности. А потом подпишите базовое соглашение о неразглашении.

К чему может привести утечка информации

Новостные ленты каждый день пестрят показательными историями. Даже если нет прямых потерь — есть репутационные. И это не менее важно.

В 2017 году была вспышка активностей по программам-шифровальщикам. Все помнят атаку «Плохого кролика» или Wanna Cry, от которых пострадал энергетический сектор Украины, России и других европейских стран. Например, в крупных международных компаниях из-за заражения этим шифровальщиком остановилось много IT-ресурсов, и последствия этих атак до сих пор влияют на бизнес.

И самое главное. Каждый руководитель бизнеса должен спросить себя, что компания будет делать, если:

не будет возможности обслуживать клиентов и поддерживать другие процессы;

IT-системы компании будут недоступны или информация в них исказится;

план маркетинговой кампании или рецепт нового продукта станет доступным конкурентам раньше времени.

Кибербезопасность влияет не только на текущее состояние, но и на развитие бизнеса. Нужно понимать, что в результате кибератаки компания может быстро потерять конкурентное преимущество.

Tags: , ,

Trackback from your site.

Leave a comment

You must be logged in to post a comment.