До недавнего времени мысль о том, что кто-то из сотрудников компании совершит предательство и скомпрометирует конфиденциальные данные, была практически немыслима. Консенсус заключался в том, что угрозы для компании исходят извне, а не изнутри, и меры безопасности были созданы в соответствии с ними. Ситуация резко изменилась, когда мир узнал об Эдварде Сноудене – доселе анонимном подрядчике, который украл и слил секретные файлы АНБ.
В дополнение к делу Сноудена, разоблачительный доклад «Боскома» также поставил под сомнение мнение о том, что основная угроза данным компании исходит извне: от хакеров, промышленных шпионов и других конкурентов. Этот отчет раскрывает тревожный факт: почти восемьдесят пять процентов бывших сотрудников любой компании покинули свое место работы с конфиденциальными данными, если не с реальными документами. В то время как кража Сноудена из АНБ была заметной и заслуживающей освещения в прессе на глобальном уровне, доклад Boscom показывает, как легко сотрудникам во всем мире просто уйти с сокровищницами конфиденциальных данных.
В свете вышесказанного легко понять, почему компаниям трудно поддерживать безопасность данных, особенно когда наибольший риск исходит от их собственных сотрудников, и когда доступ сотрудников к данным жизненно важен не только для их работы, но и для успеха компании в целом. Вот почему решение об ограничении доступа к данным, которое является интуитивным ответом, является проблематичным — оно по своей сути снижает способность компании функционировать. Значит ли это, что компании столкнулись с проблемой, решения которой нет?
Давайте рассмотрим эту головоломку на практическом сценарии, который имеет отношение к нашей отрасли: брокерская компания Forex. Брокерская компания имеет несколько отделов, каждый из которых нуждается в доступе к определенным данным для адекватного функционирования. От торговых представителей до членов маркетинговой команды (например, маркетологов по электронной почте), различные аспекты информации о клиентах должны быть видны разным людям, и только адекватное программное обеспечение может обеспечить разделение. Когда сотрудники получают доступ к информации, они не должны видеть, что самые большие нарушения безопасности становятся возможными, поэтому важность разделения невозможно переоценить. Это единственный способ, с помощью которого брокерская компания может защитить информацию от потенциальных угроз изнутри без ущерба для производительности.
На техническом уровне два самых важных инструмента в распоряжении брокерской компании — это хорошая CRM и хорошее шифрование. Первый позволяет руководству определять, кто имеет доступ к каким данным, а второй предотвращает несанкционированный доступ к информации через компьютеры, не принадлежащие компании («хакеры»). Еще одно преимущество хорошего шифрования заключается в том, что оно не позволяет недобросовестным сотрудникам отправлять конфиденциальные данные, так как это бесполезно без надлежащей расшифровки, которой у них нет.
Чтобы наилучшим образом реализовать эти контрмеры, важно сначала принять решение о политике безопасности данных, которая будет поддерживаться и реализовываться с помощью этих средств. Это означает, что технические меры определяются политикой, а не политикой доступными средствами. В дополнение к используемым техническим мерам, руководство также должно четко определить внутренние правила и нормы, такие как запрет на использование USB-накопителей на территории компании, запрет на вход в систему с использованием другого имени пользователя сотрудника и многое другое. Хотя это кажется очевидным, ничто не очевидно, когда речь идет о защите ваших данных.
Эдвард Сноуден сделал уязвимость в данных видимой. В конце концов, если всемогущее АНБ уязвимо для кражи, то какова позиция остальных из нас? Но в контексте частного сектора адекватные контрмеры значительно снижают уязвимость компании. Помня о Сноудене, нужно также помнить о том, кто крадет информацию и его ресурсы: национальные разведывательные агентства имеют больше ресурсов, чем конкурирующие компании, и их оперативники готовы идти на больший риск, чтобы получить информацию. Такие люди, как Сноуден, крадут информацию по идеологическим причинам, в то время как бизнес-разведка движима деньгами и прибылью. Таким образом, контрмеры, необходимые для предотвращения хищений в частном секторе, также являются более ценовыми и доступными.
В конце концов, мы живем в мире, где наши данные постоянно находятся под угрозой, однако существует множество технологических решений и стандартных операционных процедур, которые значительно снижают этот риск. Помните, что вы должны быть бдительны и опережать потенциальные угрозы, но также помните, что даже эти угрозы, какими бы значительными они ни были, также поддаются контролю, и что поддержание безопасности данных не должно происходить за счет производительности и прибыли.
