Корпоративная защита что это
Как защитить информацию внутри компании: на бумаге или в электронных документах
Сотрудница одной компании отправляла секретные документы, и ей за это ничего не было. А в другой компании за похожее нарушение сотрудники получили по 2 года условно.
Виктория Краснова
Юрист по интеллектуальной собственности
Одна компания обнаружила, что сотрудница отправляет в соцсети фотографии конфиденциальных документов, и уволила ее. Но суд обязал компанию восстановить сотрудницу и выплатить компенсацию и моральный ущерб.
Другая компания узнала, что работники продают секретную документацию. Суд дал каждому 2 года условно.
Решение суда в таких делах зависит от того, насколько грамотно компания охраняет свои секреты.
Мы запускаем серию статей о том, как правильно защитить информацию внутри компании. Это первая обзорная статья, в ней собрали самое важное по теме.
Выберите информацию, которую стоит защитить
Компании хотят защитить информацию, которая помогает им зарабатывать.
Фирменное блюдо в кафе — салат с уникальным соусом. Посетители становятся в очередь, чтобы его попробовать, за ним приезжают из других городов. Хорошо бы хранить рецепт соуса в секрете: если сотрудник продаст его соседнему кафе, выручка упадет и бизнес серьезно пострадает.
В законе нет исчерпывающего списка сведений, которые можно защищать. Руководитель решает это сам.
Обычно компании защищают технологии производства товара, списки поставщиков и клиентов, условия сделок, финансовую отчетность, планы развития. Такую информацию можно включить в коммерческую тайну.
Есть перечень сведений, которые нельзя скрывать:
В таблице — примеры информации, которую можно и нельзя включить в коммерческую тайну:
| Можно | Нельзя |
|---|---|
| — Список клиентов и поставщиков |
— Способы и принципы ценообразования
— Маркетинговые исследования и рекламные кампании
— Технологические сведения о продукции
— Особенности производственных процессов
— Информация о методах управления и внутренней организации предприятия
— Деловая переписка
— Состав и квалификация персонала
— Потребительская информация о товаре — из чего состоит, когда произведен, условия использования и другое
— Задолженность по зарплате
— Список лиц, которые могут представлять организацию без доверенности
— Номер лицензии на осуществление деятельности
Защитите секретную информацию от сотрудников и сторонних партнеров
Чтобы защитить секретные данные, компании нужно пройти четыре шага:
Ввести режим коммерческой тайны. Это минимальная мера защиты информации. Она поможет объяснить сотрудникам, чем они не могут делиться и какое наказание будет, если они разболтают коммерческий секрет.
Чтобы ввести режим коммерческой тайны, компании нужно:
Стоит сделать неправильно — и вы уже не сможете оштрафовать или уволить сотрудника, который передает ценные сведения конкурентам.
Подробнее об этом расскажем в следующих статьях.
Сотрудницу уволили за разглашение коммерческой тайны, но компании пришлось ее восстановить и выплатить зарплату
Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.
В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.
Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.
Заключить договоры на создание продуктов. Во многих компаниях сотрудники разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.
Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.
Компания не заключила договор с сотрудником и потеряла разработанный продукт
Сотрудник компании «Амедико» разработал мессенджер для телемедицины. После увольнения он открыл новую компанию — «Телепат», передал этой компании исключительные права на мессенджер и стал его продавать.
«Амедико» обратилась в суд с требованием, чтобы «Телепат» прекратил продажи мессенджера и выплатил компенсацию 5 млн рублей. Но компания не смогла подтвердить, что мессенджер был создан в рабочее время и в рамках служебных обязанностей. Суд отказал в удовлетворении иска.
Защитить интеллектуальную собственность компании. Вы можете защитить:
Если интеллектуальную собственность для компании создают сотрудники, главное — договор на создание произведения, о котором мы уже говорили. При работе с подрядчиками тоже важно прописать в договоре, что права на продукт переходят вам.
Если заказываете логотип в дизайнерском бюро, проверьте, чтобы в договоре была прописана передача прав на логотип и авторский гонорар за это. Также в договору должны прилагаться техническое задание и акту приема-передачи.
Ввести режим конфиденциальности с внешними партнерами. Так партнеры не смогут использовать вашу информацию в своей работе. Если это случится, вы сможете потребовать, чтобы партнер прекратил это делать и выплатил компенсацию.
Вы дали разработчику пароль от вашей CRM, а он скачал себе базу клиентов и продал ее конкурентам. Если по договору это была конфиденциальная информация, можно обратиться в суд.
Режим конфиденциальности может сработать и в более мирных условиях.
Владельцу пекарни нужно оборудование на кухню. Он нашел поставщика, который не только привезет нужные приборы, но и установит их. Пекарю важно, чтобы детали сделки оставались в секрете, и он подробно расписал в договоре, что нельзя рассказывать: название оборудования, стоимость, количество и другие детали поставки.
Поставщик привлек подрядчика для установки оборудования и рассказал, что и в каком количестве нужно установить в кафе. В таком случае хозяин пекарни можете подавать на поставщика в суд и требовать штраф: условия конфиденциальности были нарушены.
Без коммерческой тайны ввести режим конфиденциальности нельзя.
Компания дала сотрудникам доступ к личному кабинету партнера и заплатила за это 400 000 ₽
По договору компания «Терминал Сервис» гарантировала компании «Виакард», что логин и пароль от личного кабинета в их системе будут доступны только одному сотруднику в компании. Но фактически логин и пароль были вывешены на сайте «Терминал Сервис» в свободном доступе. Любой мог зайти в личный кабинет.
Суд счел это нарушением конфиденциальности и оштрафовал «Терминал Сервис» на 400 000 ₽.
Когда секретная информация защищена сама по себе
Есть несколько случаев, когда информацию нельзя разболтать или использовать в личных целях, даже если у компании нет режима коммерческой тайны и конфиденциальности:
Переговоры. Если во время переговоров по сделке вы рассказали партнеру секретную информацию, он не имеет права передавать ее или использовать в личных целях, даже если договор в итоге не заключили.
Договор на научно-исследовательские и опытно-конструкторские работы. Если вы заказываете разработку детали для графического планшета, который хотите выпустить на рынок, или строительный план здания, где будет ваш офис, — партнеры обязаны сохранить в тайне предмет договора, особенности рабочего процесса и его результаты.
Договор подряда. Например, вы передали подрядчику конфиденциальную информацию, которая нужна для выполнения работ. Он не имеет права передавать ее кому бы то ни было без вашего разрешения. Даже заключать договор субподряда, раскрывая ключевые сведения вашего соглашения.
Корпоративный договор — это соглашение, которое учредители подписывают, когда открывают компанию. В нем они договариваются, как будут управлять компанией, как распоряжаться имуществом компании и как из нее выйти, прописывают правила приема новых учредителей. По общему правилу все, что написано в корпоративном договоре непубличного общества, конфиденциально.
Наказать за раскрытие коммерческой тайны
Если не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:
| Ответственность | Наказание | Основание |
|---|---|---|
| Дисциплинарная | В зависимости от вины, по решению руководителя компании: |
—замечание
Закон не запрещает применять материальное и дисциплинарное наказание за одно и то же нарушение
Штраф для должностных лиц — от 4000 до 5000 ₽
В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.
Сотрудники решили продать конфиденциальные сведения и получили по 2 года условно
Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.
Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.
В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.
Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.
ИП нарушил условия агентского договора о конфиденциальности и выплатил штраф
ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.
Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.
Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.
Главное
Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.
Для защиты ценной информации:
За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.
Подписка на новое в Бизнес-секретах
Подборки материалов о том, как вести бизнес в России: советы юристов и бухгалтеров, опыт владельцев бизнеса, разборы нового в законах, приглашения на вебинары с экспертами.
Сейчас читают
Необоснованная налоговая выгода: что это такое и как бизнесу избежать штрафов и доначисления налогов
Если ФНС выявит необоснованную налоговую выгоду, бизнесу могут доначислить налоги и назначить штраф. Разбираем, как экономить на налогах без негативных последствий
Оферта: что это и зачем она нужна
Одному бизнесу оферта поможет ускорить заключение договоров с клиентами, а другому — будет нужна по закону. Что включить в оферту и как избежать типовых ошибок — в статье
Что может проверить Роспотребнадзор в продуктовом магазине
Каким санитарным нормам должен соответствовать продуктовый магазин и что будет проверять Роспотребнадзор
Рассылка для бизнеса
Получайте первыми приглашения на вебинары, анонсы курсов и подборки статей, которые помогут сделать бизнес сильнее
© 2006—2021, АО «Тинькофф Банк», Лицензия ЦБ РФ № 2673 — Команда проекта
Тинькофф Бизнес защищает персональные данные пользователей и обрабатывает Cookies только для персонализации сервисов. Запретить обработку Cookies можно в настройках Вашего браузера. Пожалуйста, ознакомьтесь с Условиями обработки персональных данных и Cookies.
Чтобы скачать чек-лист,
подпишитесь на рассылку о бизнесе
После подписки вам откроется страница для скачивания
Корпоративная безопасность предприятия
Защита данных
на базе системы
З ащита конфиденциальных и персональных данных от инсайдеров и внешних атак – первоочередная задача ИБ-подразделения компании. Степень важности угроз для сохранности информации возрастает с ростом технической оснащенности злоумышленников, и службы корпорации должны быть готовы оценить и предотвратить новые угрозы. Стройность защитной системы зависит от комплексности ее разработки и внедрения.
Виды угроз
Корпоративные системы подвержены различным угрозам информационной безопасности – от хищения данных сотрудниками до внешнего вмешательства с целью уничтожить работоспособность средств защиты. Это побуждает предприятия выстраивать собственную модель угроз, опирающуюся на бизнес-задачи и характеристику системы. Для небольшого бизнеса забота о корпоративной безопасности предприятия не менее актуальна в связи с трендом на цифровизацию деловой активности, постепенным переводом деятельности в виртуальное пространство.
Центральной задачей ИБ-подразделения становится выстраивание такой системы корпоративной безопасности предприятия, которая могла бы справиться с наиболее распространенными типами угроз:
Модель угроз должна рассматривать риски, исходящие от внешних источников и инсайдеров. Последние часто виноваты в большинстве утечек информации, намеренном или ненамеренном заражении сети вредоносными программами.
Компании теряют существенные средства в следующих случаях:
Сегодня российские компании чаще всего атакуют хакерские группировки из России. Специалисты по компьютерной безопасности из Check Point предположили, что атаки на ресурсы российских компаний происходят в два раза чаще, чем в среднем по миру, и кроме кражи паролей, популярным способом кибератак становится использование информационных систем компаний для майнинга криптовалют. Российские компании в среднем атакуют 893 раза в неделю, в общемировой статистике этот показатель составляет 465.
Крайне серьезный риск для банков и организаций финансового рынка несет небрежность в обращении с персональными данными клиентов. Утечки, в основном из-за работы действий инсайдеров, происходят постоянно. Это приводит к оттоку клиентов и существенной потере прибыли. Результаты проверки системы корпоративной безопасности предприятия регулятором.
Оценивая риски, нельзя экономить на корпоративной информационной безопасности предприятия. Вложенные средства не всегда окупаются в полной мере, дополнительным риском становится некомпетентность ИТ-подразделений, настаивающих на незаменимости и заставляющих тратить существенные ресурсы на программные и технические средства, в приобретении которых нет необходимости.
Средства должны быть потрачены планомерно и целенаправленно на решение задач безопасности информации:
Рекомендации по созданию защищенных систем можно найти в руководящих документах ФСТЭК России. Они подскажут оптимальные способы выбора сертифицированных и эффективных программных продуктов.
Способы решения задачи защиты
Особенности корпоративных систем защиты информации определяются структурой бизнеса и его разветвленностью. Часто в сети компании, банка, крупной общественной организации используются технические средства не только разных производителей, но и разных поколений. Это делает информационную систему малоуправляемой, а затраты на ее администрирование превышают степень эффективности вложенных средств.
Также необходимо учитывать неоднородность стандартной корпоративной информационной системы с точки зрения архитектуры сети. В ее формировании участвуют разные локальные и распределенные сети.
Нормативные акты и действия регуляторов
Информация с повышенной степенью конфиденциальности защищается нормативно-правовыми актами разной степени значимости. Основные законы, действующие в этой сфере: «Об информации», «О защите персональных данных», «О коммерческой тайне», «Об объектах критической информационной инфраструктуры». Отдельные вопросы регулирования оборота коммерческой тайны и преследования за ее незаконное распространение упомянуты в Гражданском и Уголовном кодексах.
Регуляторы требуют выстраивать концепцию безопасности, опираясь на следующие принципы:
Организационные, программные и технические средства
При построении системы необходимо использовать комплексный подход, учитывающий совместимость программных и технических средств и выстраивающий ее по единому плану. При «лоскутном» методе построения зачастую одни характеристики улучшаются за счет ухудшения других, ресурсов системы, кадрового и финансового потенциала не хватает на одновременное поддержание жизнеспособности всех узлов и модулей, обновление и техническое сопровождение программного обеспечения.
Выбор программных и технических средств для создания единой системы корпоративной безопасности предприятия индивидуален для каждой компании, а организационные едины почти для всех участников рынка, являющихся операторами персональных данных или работающих с конфиденциальной информацией высокой ценности.
Организационные меры
Регулятор предписывает оператору персональных данных создать стройную систему организационных мер, в которой они иерархически подчиняются друг другу. На верхнем уровне находятся два документа:
1. Политика или стратегия работы системы информационной безопасности, содержащая все необходимые параметры, определяющие механизм ее функционирования: порядок ранжирования ресурсов по степени конфиденциальности, методы избегания несанкционированного доступа, порядок определения степени допуска, правила по использованию ресурсов.
2. Политика обработки персональных данных, в которой описываются цели и методы обработки, права пользователей. Документ открывается для общего обозрения и размещается на интернет-странице компании. Нарушение этого требования может вызывать замечания, штрафы или предписания при проверках регулятора.
На более низком уровне регулирования системы корпоративной безопасности предприятия необходимо подготовить и утвердить:
Кроме документов, необходимо принять процедурные меры, направленные на защиту конфиденциальной информации, – установку электронных замков, введение пропускного режима, определение правил обучения пользователей. Вместе с решением этих задач происходит внедрение технических и программных мер защиты.
Программные и аппаратные средства защиты информации
ФСТЭК в руководящих документах определяет требования к составу программных средств, необходимых для обеспечения безопасности компании:
Реализация этих решений поможет выстроить системы корпоративной безопасности предприятия на комфортном уровне, не перегружая ресурсы ИС и персонал и но гарантируя максимально возможную степень безопасности.
Основной инстинкт бизнеса: грани корпоративной безопасности
Вы когда-то пробовали внедрить в компании новые регламенты и инструкции? Если да, то наверняка знаете, какая буря возмущения обрушивается со стороны коллектива. Как минимум, вас начинают тихо ненавидеть, как максимум — появляются сплетни, какие-то немотивированные заявления об уходе и общая паника. Стоит ли откатывать процесс? Нет. Если появилось возмущение и сопротивление такому «ограничению свободы», скорее всего вы задели чьи-то интересы. И вроде вы не перегибаете, а вводите минимальные меры по защите, но по мнению части сотрудников, закручиваете гайки, насаждаете режим, давите авторитетом и перекрываете воздух свободы. Успокойтесь — вы на правильном пути. И перекрыв тот самый «воздух свободы», вы позволяете своей компании не про*****, а сохранить «полимеры». Потому что работаете с корпоративной безопасностью, которая в последние несколько лет изменила лицо. Так что давайте познакомимся с ней снова.
А что, нам кто-то или что-то угрожает?
Этой статьи не должно было быть — в планах стояли совсем другие, мирные темы. Но обсуждение предыдущего поста в комментариях и не только натолкнуло нас на мысль, что с безопасностью в российском бизнесе дела обстоят примерно так же, как и с CRM-системами: крупные и опытные и так всё знают, а остальным не надо — «эксельки» (MS Excel) хватит. Тем удивительнее было видеть некоторые высказывания именно на Хабре. Нет, ребята. Проблема безопасности стоит абсолютно перед любой компанией вне зависимости от её размера, отраслевой принадлежности и оборота. Просто потому что ваша компания работает во внешней среде, в ней есть сотрудники, компьютеры, сети, программное обеспечение, клиенты и сам продукт или услуга. И если никто не пытается вас хакнуть или DDoS-ить, это не значит, что компания в полной безопасности. Слишком много аспектов стоит брать во внимание.
Давайте начнём с обзорной схемы корпоративной безопасности компании.
Как видите, в списке угроз субъектам деятельности бизнеса нет ничего неординарного — с подобными аспектами работы сталкивается каждый бизнес, и все они таят угрозы. Рвануть может там, где вы и не ждёте.
Теперь у нас вырисовываются компоненты корпоративной безопасности, о половине которых компании не помнят, а то и вовсе не знают.
Информационная безопасность — на сегодня это тот тип безопасности, обеспечением которого нужно заняться всем. Риск есть на всех уровнях: начиная от нечаянного запуска вредоноса из почтового сообщения, заканчивая рисками, связанными с облачными технологиями, сторонними сервисами и злонамеренными действиями сотрудников.
Экономическая (финансовая) безопасность должна противостоять всем источникам «ухода» либо неполучения денег. Она также актуальна для любой компании и напрямую сопряжена с работой с документами, уплатой налогов, бухгалтерским учётом, вложениями в рекламу и маркетинг и т.д. Кстати, этот тип безопасности наиболее уязвим перед человеческим фактором.
Правовая безопасность — защита от неправомерных действий и правонарушений, идущих вразрез с нормами законодательства: подделка документов, использование мошеннических схем в работе, откаты и проч. Отличается от экономической тем, что нарушения этого типа безопасности чаще всего направлены не на чью-то финансовую выгоду, а на защиту интересов от уже свершившихся фактов (провёз лишний груз — купил маршрутный лист, перерасходовал деньги — подделал акт, потерял пару серверов — сфабриковал акт списания и т.д.).
Физическая и личная безопасность сотрудников — защита сотрудников от проникновения недоброжелателей на территорию компании и от покушения на их жизнь и здоровье. Формулировка звучит утрированно и её полнота восприятия зависит от статуса компании. Но обычно минимальные требования к физической безопасности соблюдаются (охрана, пропускная система, камеры, иные типы аутентификации).
Физическая безопасность инфраструктуры — защита оборудования, сетей и программ от доступа посторонних и лиц, в служебную деятельность которых не входит контакт с этими элементами инфраструктуры. Обязательно должен быть внешний и внутренний контур безопасности. Нарушения безопасности в этой сфере со стороны сотрудников не всегда злонамеренны — иногда это может быть пролитый на дорогостоящее оборудование чай или тонер, рассыпанный вблизи чувствительных приборов.
Безопасность управления рисками — один из самых неочевидных типов, который любит шутить шутки с теми, кто им пренебрегает. Риски нарушения этого вида безопасности связаны с тем, что топ-менеджмент не оценивает проекты, инвестиции и иные перспективы, в которые вкладывает какие-либо ресурсы. Сюда можно отнести рисковые венчурные инвестиции, закупку б/у оборудования, работу с ненадёжными поставщиками за скидку и т.д.
Кадровая (HR) безопасность — защищает компанию от «утечки мозгов». Хорошие специалисты нужны всем, поэтому если ваша компания хотя бы немного засветилась на рынке, ваши сотрудники уже стали желанными кандидатами у конкурентов (идеально — если с вашими наработками или клиентской базой, об этом мы писали). Кроме того, отвечает за систему мер, связанных с обучением сотрудников безопасному диалогу с конкурентами и иными внешними агентами — например, во время интервью, конференций, митапов, семинаров и т.д.
Репутационная безопасность — защита деловой репутации и имиджа компании на рынке. В современных условиях высокоскоростного распространения информации потерять несколько уровней своей репутации — дело одного твита/статьи/выступления/жалобы… Неудачная реклама, неграмотная контентная политика, взломы и утечки данных, попытки влиться в интересы не своей аудитории — всё это может ударить по компании и неминуемо привести к финансовым потерям.
Новая парадигма ответственности и палки в колёсах
Служба безопасности не справится
А теперь давайте посмотрим, в чём же произошла главная трансформация. Кто отвечает за безопасность управления рисками? Топ-менеджмент. Кто отвечает за кадры? HR-служба, менеджер по внутреннему PR, если вы разработчик, то ещё и DevRel. Кто отвечает за репутацию? Пиарщик, маркетолог, менеджер по рекламе. За всем служба безопасности больше не способна уследить (особенно, если её в компании нет). Каждый своими действиями отвечает за безопасность на своём месте, часто не подозревая об этом. И это неправильно. Итак, встаёт задача минимум:
Универсальный, в общем-то, совет. Но трудно исполнимый
Что больше всего мешает выстраивать систему безопасности?
Бизнес в отношении безопасности часто надеется «на авось». В предыдущем посте мы провели опрос и получили такие результаты: 64% из ответивших имеют проблемы с безопасностью, при этом самыми популярными методами обеспечения информационной безопасности являются сложные политики для паролей, отказ от облачных систем, запрет публичных дисков и хранилищ и выделение пула IP-адресов. Чуть больше трети не делают ничего. Конечно, выборка не ахти, но определённые сигналы можно уловить. Причины невнимания к безопасности у каждой компании свои, но есть пять базовых факторов, которые встречаются в компаниях любых размеров и любой отраслевой принадлежности.
Какие задачи стоят перед системой безопасности компании?
Думать, что безопасность это только тотальный контроль и строгая отчётность, может лишь человек не в теме. Перед комплексом корпоративной безопасности стоят серьёзные задачи, напрямую связанные с успехом компании.
Принципы обеспечения безопасности в компании
Подотчётность данных. Вся информация в компании должна быть обязательно классифицирована и ранжирована, чтобы сотрудники имели чёткое понимание, какие доступы у них есть и насколько информация может транслироваться за пределы его компетенций. Например, информация о компании может иметь полностью конфиденциальный характер, иметь хождение внутри фирмы, быть общей для всех филиалов и партнёров и свободно распространяемой.
Установленные политики. Политики безопасности в первую очередь должны касаться сетевой инфраструктуры и рабочих станций сотрудников, чтобы предотвращать вторжение со стороны либо утечку информации. Дополнительно должны существовать регламентирующие политики для распространения коммерческой и иной значимой информации (например, пиарщик в пресс-релизе может сообщить, что оборот компании за два года вырос на 27%, а вот какой он в денежном отношении — нет, если только ваша компания не является публичной, а информация о финансовых показателях открытой).
Постреакция на инциденты, выводы из ситуации. Каждый случай нарушения безопасности должен быть проанализирован и обработан — по итогам стоит сформировать комплекс упреждающих мер и внести правки в базу знаний об управлении безопасностью. Если из инцидента не извлечены уроки — скорее всего, он к вам вернётся.
Управление безопасностью не должно быть лоскутным — хорошая стратегия обеспечения безопасности даёт общую картину текущей ситуации и позволяет управлять безопасностью в комплексе. Целостный подход помогает отслеживать взаимосвязи между бизнес-процессами и охватывать все стороны деятельности компании, не позволяя отбрасывать не важные на первый взгляд факторы. Кстати, современные CRM-системы — хорошее подспорье для максимального обзора бизнес-процессов, ведь они давно не сосредоточены на одних лишь продажах, а автоматизируют максимум аспектов деятельности компаний (особенно универсальные — такие как RegionSoft CRM).
Хотите реальную историю про комплексность безопасности? Один мужчина создал бизнес, связанный с довольно нужной В2В-услугой. Нанял сотрудников, даже безопасника, потихоньку раскачался. Ему не хватало маркетолога. Он взял маркетолога, но чем-то они не сошлись — новый сотрудник хотел гор до небес, желательно золотых. Маркетолог решил хлопнуть дверью, бухгалтер сплошала и вовремя не перечислила расчёт. Злой бывший сотрудник решил, что мир несправедлив и написал в пожарную инспекцию, что нет огнетушителя, в трудовую, что сразу не сделали запись в книжку, в налоговую с сообщением «о возможных нарушениях», в соцсети о том, как его обидели (наврал). На бедного молодого бизнесмена обрушились все органы, какие только могли. Компания закрылась. А всего-то: вовремя сделать свою работу кадровику и бухгалтеру, купить огнетушитель безопаснику, проконтролировать сеть админу, т.к. этот маркетолог ничего на работе не делал и это можно было «вылить» хотя бы на его посты в соц. сетях, не говоря уже о более серьёзных мерах. Вот вам и комплексность для малого бизнеса.
Непрерывность безопасности. Работать над снижением рисков в компании необходимо постоянно, а не от случая к случаю, и тем более от инцидента к инциденту. Каждый сотрудник, выполняя свои обязанности, должен помнить о том, что он отвечает за свои бизнес-процессы, за их безопасное функционирование и за безопасность всех интересов компании в целом.
Безопасность должна быть экономной. Можно нанять компанию на аутсорсе, создать службу безопасности, вложиться в дорогостоящие системы мониторинга, понатыкать камеры, но это выйдет в три раза дороже чем стоят все активы вашей компании, включая клиентскую базу. Выстраивая систему безопасности, исходите из соображений целесообразности, то есть не должен теряться экономический смысл мер. Нелишне также помнить, что дешевле всего обходятся своевременная профилактика и упреждение, а дороже всего — реагирование и ликвидация последствий инцидента.
Безопасность должна быть скоординированной. На этапах упреждения, обнаружения, реагирования и анализа все подразделения должны работать слаженно, быстро и профессионально. На этапе обнаружения и реагирования не стоит устраивать разборки на тему «Кто виноват?», на это у вас будет время сразу после окончания действий по обеспечению безопасности. Для того, чтобы координация была оптимальной, нужно тщательно прописать должностные инструкции и регламенты действий в критической ситуации.
Безопасность должна быть понятной, прозрачной, но открытой для ограниченного круга лиц. Все сотрудники должны понимать, какие действия могут привести к нарушениям безопасности, что нужно делать в случае наступления проблем и какие последствия несёт то или иное событие. Все постулаты, изложенные в инструкциях и донесённые до сотрудников, должны трактоваться однозначно. Но полное видение ситуации, равно как и арсенал средств по защите и минимизации ущерба должен быть в руках нескольких ответственных лиц. Чем больше сотрудников владеют информацией о системе противодействия различным нарушениям, тем выше вероятность инцидентов.
Управлять безопасностью должны профессионалы. Безусловно, большинству компаний малого и среднего бизнеса не по карману содержание службы безопасности. Первый и очевидный вариант — отдать безопасность на аутсорсинг, даже здесь, на Хабре, немало таких компаний для разных сфер, не только ИТ. Второй вариант — приоритизировать угрозы безопасности и сформировать «группу реагирования» на базе своих сотрудников по самым критичным точкам. Это довольно действенная мера, поскольку знание и понимание бизнес-процесса не менее важно, чем арсенал инструментов, которые вы выберете и изучите в процессе мер по упреждению. К тому же, соотнесение целей компании и вероятностей угроз, то есть формирование приоритетов безопасности, даёт хорошую экономию расходов на меры защиты. Главное — не оставлять корпоративную безопасность без внимания и ответственных.
И помните — о безопасности бизнеса прежде всего должны заботиться его владельцы и сотрудники. Не стоит обижаться на хостеров, провайдеров, вендоров, поставщиков услуг, если у вас есть очевидные проблемы, начиная от физической безопасности и заканчивая информационной. В открытую дверь обязательно кто-то войдёт.
Пока мы писали статью и просматривали практики управления безопасностью, чтобы ничего не упустить, нас занесло в начало лихих 90-х на один сайт, где в развёрнутой статье про безопасность компании есть вот такой вот абзац про — внимание! — «негосударственные организации». Тоже своеобразный опыт. Надеемся, что не в ИТ-сфере 🙂
Шпаргалка распознавания угроз
Один из главных факторов успеха в борьбе с проблемами в безопасности — увидеть вовремя маркеры, которые свидетельствуют о том, что где-то что-то пошло не так. Вот базовая схема действий при управлении корпоративной безопасностью:
Картинка кликабельна
Итак, общие рекомендации по работе с угрозами корпоративной безопасности.
Наш Телеграм-канал BizBreeze. Всякое про CRM и бизнес, по уму, без копипаста и на 90% без рекламы. Вступайте в нестройные ряды.