С и т у а ц и я • Комментарии
Инсайдер ничем не рисковал, передавая
сведения конкурентам: он знал, что в компании
нет средств контроля доступа к информации.
Хапни Кемпа,
п а р т н е р
« Э р н с т ни)
Я нг
*
(С Н Г) Г>.Н.
В
данной си туации Шестаков должен
не только принять меры пэ поддер-
жанию репутации компании, но и решить
две основные задачи. Во-первых, ему нуж-
но найти злоумышленника и применить
к нему соответствующие санкции. Во-вто-
рых, повысить уровень информационной
безопасности фирмы, чтобы в будущем
избежать подобных инцидентов.
Прежде всего следует сократить число
подозреваемых. Для этого важно опреде-
лить, кто мог совершить нарушение, что
двигало этими людьми, а также по воз-
можности найти рациональное объясне-
ние данному поступку (эти действия под-
падают под «концепцию треугольника»).
Поскольку в описанной ситуации сведе-
ния были доступны всем пользователям
информационной сети «ЛанФорс»,а пре-
вентивные меры по защите данных не
предпринимались, круг подозреваемых
очень широк. Очевидно, что инсайдер не
рисковал, передавая сведения конкурен-
там или журналистам: он знал, что в ком-
пании нет необходимых средств монито-
ринга и контроля доступа к информации.
Если проанализировать вероятные мо-
тивы преступления, можно составить
портрет нарушителя. Это либо враждебно
настроенный сотрудник, например ме-
неджер, стремящийся нанести зред биз-
несу или генеральному директору по
личным причинам, — назовем его мо-
рально неудовлетворенным. Либо чело-
век, работающий на конкурентов и слива-
ющий информацию за деньги, — этакий
троянский конь. На людей, подходящих
под эти определения, и стоит обратить
внимание. Проводя расследование, не-
обходимо соблюдать законодательство,
прежде всего в том, что касается конфи-
денциальности частной почтовой пере-
писки и телефонных разговоров.
Чтобы снизить вероятность утечек и
минимизировать их последствия, нужно
предпринять ряд серьезных мер. В част-
ности, следует классифицировать дан-
ные по степени важности и пересмотреть
права пользователей на доступ к конфи-
денциальным сведениям в соответствии
с дополнительными обязанностями со-
трудников. Классификация данных —
сложный и трудоемкий процесс. Однако
он необходим для того, чтобы создать
правильную политику безопасности
и разработать эффективный план обеспе-
чения непрерывности бизнес-процессов
и их восстановления после сбоев.
У всех данных и систем в организации
должны быть владельцы. Как правило, это
руководители отделов, ответственные за
создание и использование информаци-
онных ресурсов. Они отвечают за то, что-
бы важные сведения были надлежащим
образом защищены в ходе обработки,
хранения, передачи, копирования, печа-
ти, переноса на съемные носители и т.д.
Чтобы сотрудники осознавали, что дан-
ные, с которыми они работают, а также
продукты их труда принадлежат фирме,
об этом должно быть сказано в трудовом
договоре. Кроме того, руководству следует
довести до сведения сотрудников пра-
вила пользования информационными
ресурсами, например интернетом, инт-
ранетом и электронной почтой. Люди, ра-
ботающие в компании,должны знагьевои
права и обязанности, а также понимать,
что работодатель вправе проводить мо-
ниторинт использования ресурсов и при
необходимости расследовать нарушения.
Всем сотрудникам нужно обязательно
подписывать документы, которые регули-
руют все вышеперечисленные вопросы.
В заключение отмечу, что ошибка Шес-
такова типична для российских руково-
дителей. Во многих компаниях об ин-
формационной безопасности начинают
задумываться слишком поздно, когда
ситуацию уже трудно исправить.
40
Н л гу л ч і
В іш ік « Всуісш России
предыдущая страница 41 Harvard Business Review Russian 2007.12 читать онлайн следующая страница 43 Harvard Business Review Russian 2007.12 читать онлайн Домой Выключить/включить текст