Хочу обсудить сегодня в нашем блоге не совсем пятничную тему: как сделать так, чтобы обеспечение информационной безопасности не стало проблемой для непрерывности бизнес-процессов?
Почему вообще возникло такое желание? Буквально каждый день приходится видеть безопасников, которые возводят свою работу в ранг едва ли не самого важного дела во всём мире. Но к сожалению, для рядового бизнеса есть вещи, как то ни странно, более важные. Собственно, об этом и будет пост.
В ряде случаев, безусловно, приоритетом является именно защита конфиденциальной информации, которая не должна попасть за пределы организации, ни при каком раскладе. Какого рода информация должна охраняться подобным образом, зависит уже от специфики деятельности самой организации. Для компаний, вкладывающих деньги в инновационные решения, подобным образом имеет смысл защищать ещё не прошедшие патентную экспертизу технологии и изобретения; для большинства других компаний сюда входят данные по намечающимся крупным сделкам и прочие подобные вещи.
Впрочем, доступ к подобной стратегически важной информации в норме имеет ограниченный круг лиц, включающий в себя, в основном, топ-менеджмент организации. Для всей остальной информации могут быть использованы менее строгие защитные меры, поскольку в данном случае приоритетом становится уже не недопущение утечек, а непрерывность бизнес-процессов. Таким образом, можно сформулировать первый принцип обеспечения защиты информации в интересах организации: степень защиты должна соответствовать степени критичности данной информации для дальнейшего существования и развития компании.
Каким образом можно определить степень важности конкретного вида информации? К сожалению, отработанных сценариев и процедур в настоящее время не существует, ведь для каждой организации существует своя специфика. Лучшие результаты, пожалуй, может дать достаточно простой мысленный эксперимент: попробуйте себе представить, что тот или иной документ оказался в руках у злоумышленников, или у конкурентов вашей компании, или был просто опубликован в интернете. Насколько серьезными будут последствия – настолько и важен этот документ (и, с большой долей вероятности, все подобные ему документы) для вашей компании. Если же никаких долгосрочных последствий подобного сценария развития событий вы себе представить не можете, то вряд ли имеет смысл тратить деньги на защиту этого документа.
Конечно, неприятно думать, что ты - всего лишь обслуживающий персонал. Но по факту для бизнеса ИБ именно таковой службой и является. Помнить об этом не очень приятно, но очень полезно.
Комментариев нет:
Отправить комментарий