Корпоративная безопасность вашего предприятия: самое слабое звено - люди!

Эта статья была написана два года назад для Technodrive.Ru, но до сих пор не потеряла своей актуальности. 

На сегодняшний день для многих компаний не допустить утечки коммерческой информации — одна из основных задач. Но, к сожалению, мало кто из руководителей имеет четкое представление о решении данной проблемы, либо подходит к этому решению с одной стороны, забывая или не понимая, что поставить на вход/выход злого дядьку с автоматом — не панацея. Необходимо понять, что сохранность коммерческой тайны — трудоемкий и очень многогранный процесс, основные “грани” которого мы рассмотрим.

Прежде всего, необходимо уяснить, что в основе любой системы безопасности стоят люди — самое слабое звено этой системы. И никакие решения, даже стоящие десятки тысяч, не помогут если не учесть человеческий фактор. Существует отличная аксиома о том, что если стоимость получения информации больше стоимости самой информации — то затрачивать силы и средства на ее получение — бессмысленно. Но из-за того же человеческого фактора стоимость получения может стремится к нулю. Как обезопасить себя в этом случае?

Во-первых, если вы даете сотруднику доступ к какой-либо информации, представляющей коммерческую тайну, то значит вы ему доверяете? А на чем строится это доверие? Если оно просто построено на умении руководителя «чувствовать» человека — о безопасности можно забыть. Понять, насколько обоснованно это доверие должна помочь собственная служба безопасности. Но не стоит надеяться только на СБ — это прежде всего тоже люди, которые могут ошибаться, быть заинтересованными в утечке какой-то информации, и даже быть подосланы конкурентами. Проверка должна быть разносторонней, с использованием любых имеющихся возможностей.

Далее идет человек, имеющий неограниченный доступ к любой информации — системный администратор. Кроме различных проверок необходимо постоянно быть в курсе его «рыночной» стоимости. И не забывать о премиях и повышениях зарплаты без его напоминаний. Ведь человека банально могут перекупить, а это не рядовой менеджер, имеющий доступ только к небольшой части «корпоративного пирога». Есть отличное правило: «Увольняя системного администратора начальник должен рассчитаться с ним по всем долгам, выплатить премию, проводить до двери, помочь одеть пальто и пожать руку». Запомните его.

Но лояльность человека к компании еще не является полной гарантией. Пример тому, подобная ситуация:

В разгар рабочего дня в операционном зале банка раздается звонок. Молодая операционистка поднимает трубку телефона и слышит мужской голос:

— С вами говорит администратор сети, Иван. Как вас зовут?

— Оля!

— Олечка, мы сейчас проводим плановую модификацию программного обеспечения «Операционный день банка». Ты не могла бы назвать мне свой пароль?

— А мне говорили, что чужим нельзя называть свой пароль.

— Так я ведь не чужой! Я свой, я сотрудник отдела информатизации. Мой начальник — Петр Петрович Петров. Я хочу всю работу сделать поскорее. А то и тебе и мне придется оставаться после работы. А у тебя, наверняка, есть дела вечером. К тому же, твоему начальнику тоже придется задержаться после работы. А он будет этим недоволен, что может отразиться и на тебе. Ты согласна?

— Да, согласна.

— Тогда назови свой пароль и все будет ОК.

— Мой пароль olja.

— ОК. Спасибо за помощь!

Из этого вытекает еще один немаловажный фактор — административный: необходимо иметь четко описанные инструкции с правами и обязанностями сотрудников о доступе к какой-либо информации. И обязательно должна быть обозначена ответственность за действия любого сотрудника, повлекшие утечку — финансовая, юридическая и т. д.

Теперь перейдем к технической части вопроса. Не всегда очень дорогая система дает 100% гарантию. Можно построить такую систему самостоятельно, если в штате есть подходящий специалист. Если нет — вырастите его сами. Конечно, можно нанять специалиста со стороны, но доверяете ли вы этому человеку? Даже если это будет какая-либо известная компания — доверяете ли вы ее сотрудниками. Еще один совет: не экономьте на оборудовании, потому что экономия может вылиться в утечку информации, либо дополнительные затраты. Если оборудование стоит тысячу — не стоит покупать «вон там на рынке, оно дешевле в два раза».

Можно привести огромное количество примеров, когда пренебрежение одним или несколькими из вышеописанных пунктов приводили к необратимым последствиям. Главное что нужно уяснить — самое слабое звено — человеческий фактор.

Август 28 2006 | Безопасность | Комментарии