21 июля 2013

Редко упоминаемые аспекты обеспечения информационной безопасности



Несмотря на всю важность защиты от утечек информации, обеспечение информационной безопасности организации на ней не заканчивается. Для того чтобы компания или государственное учреждение могли себя чувствовать защищенными в информационном аспекте, необходимо наблюдать за кулуарной борьбой внутри организации, осуществлять мониторинг информации о компании, появляющейся на интернет-ресурсах; следить за соблюдением сотрудниками должностных инструкций, касающихся работы с информацией.
 http://www.dot-communications.co.uk/assets/images/HeadersLogos/security.jpg
Пренебрежение этими вопросами, как показывает опыт некоторых организаций, с которыми мы работали, может закончиться весьма печально и для компании, и для самого сотрудника. В одной фирме начался постепенный, но неуклонный уход сотрудников, который, на первый взгляд, не был обоснован вообще ничем: не было ни ухудшений финансовых условий, ни увеличения нагрузки, ни переезда офиса в неудобное для кого-либо место… После того, как сразу двое ценных сотрудников, работавших там уже не один год, подали заявление об увольнении по собственному желанию, руководство решило срочно пресечь «бегство» своих подчиненных и выяснить, в чем же дело. В ходе приватной беседы с руководителем кадрового отдела выяснилось, что поводом для увольнения стала полученная ими из неизвестного источника информация о грядущих кадровых переменах в руководстве компании. Только благодаря приобретенной этой организацией DLP-системе удалось выявить сотрудника, рассылавшего с помощью Skype сообщения о кадровых перестановках. Как выяснилось позже, этот сотрудник надеялся таким способом сместить одного из руководителей и занять его место. Сложно сказать, удалось бы ему это, или нет, но нанести своей компании серьезный ущерб, связанный с уходом ведущих кадров, он вполне смог бы – но руководство фирмы мудро и своевременно озаботилось вопросами информационной безопасности.
Другой пример, который хочется привести, связан как раз с поведением сотрудников одной из организаций во Всемирной паутине. В одну из компаний позвонил клиент, который выразил удивление тем фактом, что на одном из наиболее популярных форумов данной тематики оставлен анонимный отзыв. Он был написан якобы от лица одного из сотрудников указанной компании, и выставлял её руководство в крайне неприглядном виде, что совершенно не соответствовало реальному положению вещей в организации. Простейший поиск с помощью «Яндекса» позволил обнаружить еще несколько форумов и блогов, на которых также периодически размещались подобные комментарии. Мониторинг корпоративного интернет-трафика очень быстро выявил сотрудника отдела продаж, который таким образом мстил руководству компании за незаслуженное, по его мнению, лишение премии. Сотрудник, конечно же, был уволен, но скольких клиентов недосчиталась компания из-за пренебрежения вопросами информационной безопасности и недостаточного контроля за деятельностью своих сотрудников, сложно даже представить.
Мониторинг исполнения сотрудниками должностных инструкций также, как ни странно, лежит в сфере информационной безопасности. Так, например, нередко сотрудники, работающие сразу в двух местах, нарушают правила внутреннего распорядка одного работодателя в интересах второго. Так, к примеру, сотрудница одного из банков, одновременно подрабатывающая в логистической компании, способствовала получению кредита последней, хотя данная компания не имела достаточно средств для обеспечения такого крупного кредита. А случаи злоупотребления своим служебным положением в интересах родственников и знакомых и вовсе не поддаются никакому счету. Кроме того, нельзя забывать и о неумышленных утечках, когда сотрудники, для того, чтобы поработать с теми или иными документами дома, пересылают их на почтовые ящики на бесплатных сервисах, подвергая, таким образом, своего работодателя риску утечки информации. Именно поэтому и есть необходимость в мониторинге активности сотрудников на рабочих местах.
Стоит обратить внимание на то, что современные DLP-системы позволяют в полной мере контролировать работу сотрудников, перехватывая любую отправляемую последними информацию и предоставляя специалистам по безопасности удобные инструменты для её анализа. Таким образом, современные DLP-системы можно считать не просто средствами предотвращения утечек данных, а универсальными средствами контроля сотрудников и обеспечения информационной безопасности организации.
Р. Идов,
ведущий аналитик компании SearchInform

Комментариев нет:

Отправить комментарий