Бизнес за семью замками

По результатам исследования «Лаборатории Касперского», в прошлом году 9 из 10 компаний (96 % респондентов в России, 91 % в мире) хотя бы один раз сталкивались с угрозами информационной безопасности. В результате в каждой третьей компании в мире и в половине организаций в России произошла утечка конфиденциальных данных. Тем не менее большинство управленцев и специалистов в области безопасности убеждены, что внутренняя информация их компании не нуждается в дополнительной защите. 

 

Бизнес зачастую напоминает военные действия, где есть свои нападающие, партизаны и разведчики. И защититься от поползновений «противника» поможет только тщательная подготовка. 

Не так давно в нижегородскую консалтинговую фирму за помощью обратилась крупная производственная компания. Предприятие решило расширить масштабы бизнеса и выйти на высококонкурентный розничный рынок. В течение месяца для топ-менеджеров была собрана информация обо всех крупных игроках в отрасли — не только общеизвестная, но и внутренняя, финансовая. Были определены конкурентные преимущества каждой компании на рынке, обнаружены ноу-хау и даже схемы ухода от налогов. Но главное — были выбраны методы конкурентной борьбы с каждым из игроков. 

С таким «козырем» в руках компания-заказчик в короткие сроки расширила свою долю на рынке с 4 % до 12 %. При этом на вопрос «Что Вы сделаете, если аналогичная «разведоперация» будет проведена конкурентами против вас?» руководитель компании ответил: «Это исключено, мы закроем любую информацию о нашем предприятии». Скорее всего, остальные игроки данного рынка тоже считали себя «неприступной крепостью», но их надежды не оправдались. 

 

Какие именно сведения скрывать от «посторонних глаз», топ-менеджеры каждой фирмы решают индивидуально. 

Стремление к полной информационной закрытости не предвещает для бизнеса ничего хорошего, кроме недоверия со стороны клиентов и контрагентов. Это крайность, которой следует избегать. Так же, как и другой крайности — обеспечения свободного доступа к внутренней информации компании (например, через сайт). Безопасность же подразумевает некую золотую середину. Управленцы должны понимать, чем можно поступиться.

Любое мероприятие по безопасности стоит денег, и немалых. Поэтому нужно всегда трезво оценивать вероятность риска, соизмерять уровень затрат и потенциальных потерь.

Показательна здесь система безопасности, созданная лет десять назад на одном из нижегородских заводов, который практиковал не слишком прозрачный бизнес. Раскрытие внутренней информации этого предприятия могло стоить собственнику и денег, и, вероятнее всего, свободы. Поэтому для него информационная безопасность была поставлена в приоритет. В случае малейшей угрозы распространения закрытых сведений они подлежали уничтожению. Выглядело это так: серверная стойка находилась в пуленепробиваемом помещении. Там же дежурил вооруженный охранник. При первом тревожном сигнале (у охранника над головой была красная лампочка) он должен был снять ружье и картечью расстрелять сервер.

 

Разумеется, большинству компаний подобная система «защиты» не нужна. В целом угрозы информационной безопасности нужно оценивать с точки зрения потерь для бизнеса. Принцип очень простой. Необходимо составить обычную табличку: в ней с одной стороны оценить степень вероятности наступления определенного риска, с другой — тяжесть последствий. Лишь трезво оценив ситуацию, стоит принимать решения об уровне инвестиций в безопасность. И лучше если это решение будет коллегиальным — это позволит максимально снизить вероятность субъективизма в оценке рисков.

Дело в том, что любую безопасность, в том числе информационную, можно рассматривать в объективном и субъективном аспектах. 

Субъективный взгляд на безопасность зависит от психологического восприятия действительности. По определенным причинам вы можете ощущать, что подвержены высокому риску быть обманутым, среднему риску быть убитым и низкому риску хищения персональных данных. А ваш коллега, сидящий за соседним столом, ощущает большее беспокойство, связанное с персональными данными, среднее — с обманом, и низкое — с возможностью быть убитым.

Иными словами, вы можете быть в безопасности, даже когда не чувствуете этого. А можете чувствовать себя в безопасности, хотя в действительности это не так.

Другое дело — объективная оценка безопасности. Здесь все базируется на статистике и вероятностной математике. В нашем случае пример такой оценки — вышеописанная таблица. Строгий расчет поможет избежать крайностей в выборе степени закрытости корпоративной информации.

 

Хотя наивно было бы полагать, что информационную безопасность можно обеспечить только технологическими методами. Даже при колоссальных затратах на современные способы защиты остается риск «случайного» распространения данных для внутреннего пользования. Ведь основной источник их «утечки» — это персонал, и в первую очередь сами собственники и директора компаний.

В свое время крупная розничная сеть задумала переформатировать свои магазины. На разработку стратегии развития ушло около полугода. Была проделана колоссальная работа, и для реализации задуманного требовалось еще год-полтора. Дабы имеющиеся наработки не стали достоянием конкурентов, дальнейшую деятельность решено было вести в условиях строжайшей коммерческой тайны. Но генеральный директор, выступая на форуме в Москве, в присутствии конкурентов рассказал о планах своей сети. Мало того что компания потеряла несколько миллионов рублей, потраченных в рамках проекта, — она проиграла в стратегической борьбе: компания оказалась на грани выживания, поскольку конкуренты теперь могли выработать систему противодействия в течение одного месяца, раньше, чем данная сеть закончит запланированные процедуры по изменению курса развития. 

Чтобы не повторить подобного сценария на корпоративном совете, следует четко определить перечень сведений, оглашать которые нельзя, и корректировать этот перечень с учетом изменяющихся реалий.