С И І N
л ц и Н • Комментарии
Александр Чачава,
президент
ЦПА ГГ-сотрапу
И
нсайдеры есть в любой компании,
просто чаще всего руководители
не подозревают об их существовании.
Поэтому я считаю, что происшествие
в «ЛанФорс» — не катастрофа, а, ско-
рее, повод задуматься об организаци-
онных недостатках и по возможности
устранить их. Я не понаслышке знаю:
многие начинают принимать меры про-
тив инсайдеров только после подобных
неприятностей.
Похоже, в «ЛанФорс» никто даже не
представляет себе, что такое информа-
ционная безопасность, а главные сило-
вики — Ильин и Громов — действуют
в высшей степени непрофессионально.
Мне кажется, Шестакову нет смысла
бороться с прежними утечками — они
уже нанесли компании серьезный урон.
Публикация вышла, дальневосточного
интегратора перекупили,«кры:у» найти
практически невозможно. Громов ско-
рее наломает дров и испортит отноше-
ния в коллективе, чем вычислит злоу-
мышленника. Поэтому все силы нужно
Шестакову в первую очередь нужно привлечь
толковых консультантов и с их помощью создать
временную «линию контроля» утечки данных.
бросить на то, чтобы предотвратить по-
добные случаи в будущем. А поскольку
инсайдером в принципе может стать
любой сотрудник, очень важно вырабо-
тать системный подход к решению этой
проблемы.
Выйти из сложившейся тут ситуации
в кратчайшие сроки не так-то просто.
Нарушать законодательство, используя
силовые методы, очень рискованно. Да
и срочное внедрение системы контроля
едва ли что-нибудь изменит, тем более
что ее эффективность во многом будет
зависеть от участия менеджеров раз-
ного уровня — значит, сохранить все
в тайне не удастся.
Я думаю. Шестакову в первую очередь
нужно привлечь толковых консультантов
и уже с их помощью создать временную
«линию контроля» утечки данных. За-
тем следует провести первичное обсле-
дование всей системы информацион-
ной безопасности компании, проверить
соответствующую документацию и ме-
ханизмы защиты данных. И уже потом
заняться построением системы управ-
ления
информационной
безопасно-
стью (СУИБ). При этом очень важно
проанализировать все бизнес- и ИТ-
риски и соотнести сумму возможного
ущерба со стоимостью процессов: СУ И Б
не должна негативно влиять на эффек-
тивность бизнеса. Адекватные сценарии
снижения рисков необходимо выбирать
исходя из экономической целесообраз-
ности, то есть затраты на организаци-
онные и технические меры контроля
не могут превышать стоимость инфор-
мации. Судя по моему опыту, инвести-
ции в информационную безопасность,
как правило, меньше сэкономленных
средств в 25— 30 раз.
Скрывать от сотрудников компании
тот факт, что за ними установлен конт-
роль, однозначно не стоит. Если кон-
фиденциальная информация не оформ-
лена должным образом, а люди не
подписывали соответствующее прило-
жение к трудовому договору, то любой
контроль незаконен.
Создав полноценную систему управ-
ления информационной безопасно
стью, можно будет внедрять процеду
ру внутреннего аудита — она позволит
регулярно устранять возможные несо-
ответствия и неполадки. Как вариант,
можно отдать построение этой системы
на аутсорсинг профильной компании
и даже застраховать риски. Тогда ни
один сотрудник не решится нарушить
принятые в компании правила — все
будут знать, что за преступлением обя-
зательно последует строгое наказание.
Но главное, руководитель компании
едва ли еще когда-нибудь попадет
в щекотливую ситуацию, ведь у него
появится реальная возможность уп-
равлять рисками.
38
Нагу.т1 ВиЧіК"" Ксуієу. Річнім
предыдущая страница 39 Harvard Business Review Russian 2007.12 читать онлайн следующая страница 41 Harvard Business Review Russian 2007.12 читать онлайн Домой Выключить/включить текст