Информационная безопасность вышла за рамки борьбы с утечками данных. Теперь это полноценная защита бизнеса от различных угроз: краж, мошенничеств, коррупции, шпионажа в пользу конкурентов и других преступных схем. Кроме того, с помощью некоторых инструментов защиты можно бороться с бездельем, саботажем и с другими негативными явлениями в коллективе.
О том, как выстроить информационную безопасность (ИБ) в любом бизнесе, с чего начать и какие решения сегодня есть на рынке «Эксперт-Онлайн» поговорил с председателем совета директоров «СёрчИнформ» Львом Матвеевым.
– Для чего в современных реалиях нужно обеспечивать информационную безопасность?
– Цифровизация привела к тому, что вся информация в компании хранится, обрабатывается и передается в электронном виде, а значит, все эти потоки данных можно и нужно отслеживать с помощью технических средств. Как в офисах обязательно имеется охранная система, противопожарные датчики, система оповещения, так и информационный периметр организации требует защиты от действий внутренних и внешних нарушителей. Никто в здравом уме не оставит сейф с деньгами открытым, чтобы проверить, честные вокруг люди или нет. То же самое с коммерческой информацией, персональными данными, стратегическими планами, юридическими и другими документами – все имеет ценность, в том числе в денежном выражении.
Не нужно провоцировать людей совершать нарушения, оставляя данные без защиты.
– Что базово нужно сделать, чтобы обеспечить информационную безопасность компании?
– Во-первых, нужен специалист по информационной безопасности (ИБ). В идеале – специальный отдел, который возьмет на себя задачи по защите данных, выявлению нарушений и их расследованию.
Во-вторых, нужны защитные средства, специализированное программное обеспечение. Сюда входят различные классы систем – антивирусы, файрволлы, DCAP, DLP, SIEM и прочее. Термины сложные, но на практике, одни средства служат для защиты компании от вторжения извне, вторые – защищают от внутреннего нарушителя, инсайдеров и так далее. Наша компания разрабатывает решения для защиты от внутренних инцидентов и утечек информации:
В-третьих, нужны регламенты и обучение персонала. Потому что сотрудники – основная причина утечек данных и других нарушений. Существенная часть инцидентов происходит по незнанию, халатности, случайно. Мы рекомендуем заказчикам проводить регулярное обучение сотрудников основам информационной безопасности. Сами проводим такие курсы бесплатно для любых организаций, не только для клиентов. За три года у нас прошли обучение более 50 000 сотрудников коммерческих и государственных структур.
– Похоже, что обеспечить информационную безопасность – это дорого и доступно далеко не для каждой компании?
– На это я всегда отвечаю: смотря с чем сравнивать. Компании выделяют средства для обеспечения пожарной безопасности, на охранные системы, ДМС, да даже на корпоративы и чай с кофе сотрудникам. В таком случае для защиты конфиденциальных данных точно есть ресурсы. Тем более, что это не траты, а инвестиции, которые по нашему опыту, окупаются спустя 3-4 месяца использования защитных средств.
Да, каждому руководителю хочется верить, что все его сотрудники «белые и пушистые», но на практике это в 99% случаев оказывается не так. И за довольно короткий срок в компаниях выявляется и работа на сторону, в том числе на конкурентов, и мошенничества, и сливы данных, и безделье – иногда половина команды работает от силы четыре из восьми рабочих часов. Все это деньги компании – зарплата, аренда офиса, другие расходы. Я уже не говорю о персональных данных сотрудников и клиентов, защита которых должна быть обеспечена по закону.
– Кстати, про законы, что вы думаете про оборотные штрафы за утечки персональных данных? Действительно ли это поспособствует более надежной защите данных граждан?
– Штрафы однозначно нужно повышать. Сейчас они смехотворные. По факту проще платить по 60 000 руб. за утечку, чем обеспечить адекватную защиту информации. Ведь хороший специалист по безопасности, качественное программное обеспечение, соблюдение требований регуляторов, обучение персонала основам инфобеза – все это требует ежемесячных вложений, и они в разы превышают нынешние штрафы за утечки.
Наказание должно учитывать уровень информационной защиты в компании. Если она предприняла максимальные меры для сохранности данных, то штраф за утечку для нее должен быть умеренным. Если же организация была как «открытая книга» для инсайдеров и других злоумышленников, то за утечку информации должны последовать полноценное наказание и серьезные штрафные санкции. Здесь будет логично введение гибкой шкалы штрафов.
Еще очень важный момент – нужно, чтобы внутри компаний был специальный фонд для закупки защитных решений. Об этом говорят руководители ИБ-отделов наших заказчиков, когда обсуждаем тему штрафных санкций. Отчисление определенного процента в фонд для покупки защитных решений такая же необходимость, как и установка пожарных извещателей или социальное страхование сотрудников.
– Но все же как быть тем компаниям, которые вот прямо сейчас не могут позволить себе нанять специалистов по безопасности, купить защитные решения и прочее? Сейчас и так непростая экономическая ситуация, откуда бизнес возьмет дополнительные средства?
– Решение есть всегда. На самом деле рынок ИБ не стоит на месте и старается облегчить жизнь заказчикам – предлагает гибкие условия, бесплатно обучает основам информационной безопасности, помогает с методологиями, чтобы соответствовать требованиям регуляторов и прочее. Кроме того, на рынке уже несколько лет есть предложение по аутсорсингу ИБ. Это как раз тот случай, когда у компании-заказчика нет своих ИБ-специалистов, нет необходимого оборудования и программного обеспечения, очень ограничен бюджет на эту статью, а защищать информацию нужно очень хорошо. Аутсорсинг информационной безопасности закрывает все эти потребности и доступен практически любой компании, особенно, где всего 50-100 ПК.
Мы предоставляем такую услугу: устанавливаем наше ПО на компьютеры заказчика, при этом от него не требуется специальных знаний, собственных серверов, еще каких-то вложений. Все делаем мы сами. Далее уже наш опытный аналитик начинает мониторить ситуацию в компании, предоставлять еженедельные отчеты, а о критичных инцидентах предупреждать в онлайн-режиме. По нашему опыту полная картина о происходящем в организации складывается уже в первый месяц-полтора. Руководитель знает обо всех нарушениях или попытках их совершить, получает регулярные отчеты от нашего аналитика, по сути – вся компания в любое время и в любом месте у него как на ладони. Это существенно экономит время, деньги и нервы владельца бизнеса.
– Что вы можете сказать компаниям, которые только задумываются о том, чтобы внедрить защитное ПО, но у них остаются сомнения?
– Не все осознают риски информационной безопасности, особенно связанные с внутренними нарушениями. По нашим данным, порядка 80% инцидентов происходит по вине сотрудников. Последствия инсайдерства – сливы данных, мошенничества, воровство, корпоративный шпионаж и прочее. Громкие утечки, которые в последнее время появлялись в СМИ, подтверждают эту статистику. Но риски можно снизить и предотвратить, только используя специальные технические средства.
Мы знаем это по опыту заказчиков, которые используют защитные решения «СёрчИнформ» не один год. Клиенты делятся с нами
В целом я считаю, что всегда нужно пробовать, особенно если бесплатно. Мы даем бесплатный триал на месяц – уже за этот срок, используя «СёрчИнформ КИБ» с полной функциональностью, можно оценить ситуацию в своей компании и на личном опыте убедиться, какую пользу приносит защитное решение.
На правах рекламы
