`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Николай Луцкевич

Пока гром не грянет…

+77
голосов

Когда нам говорят, что нужно пристегиваться, передвигаясь в автомобиле, делать прививку от гриппа, мыть руки перед едой и проводят прочие «нравоучительные беседы», мы обычно только отмахиваемся. Никто из нас не хочет верить в то, что нечто плохое может произойти и с нами, поэтому соблюдение мер безопасности кажется нам избыточным и бесполезным. Но лишь до тех пор, пока не случится что-то действительно неприятное. Похожая ситуация наблюдается и с утечками информации.

Конечно, не думать о неприятностях – это в разумных пределах нормально и даже правильно, ибо если думать о них все время, можно и параноиком стать. И все же если соблюдение простых правил на деле способно уберечь от серьезных угроз, их игнорирование – непозволительная беспечность. Кто-нибудь горит желанием прогуляться поздно вечером по району с криминальной репутацией, вертя в руках iPhone последнего поколения? А ведь некоторые весьма солидные компании идут примерно на тот же риск, не защищая критичную для своего бизнеса информацию от утечек.

Возможно, проблема в том, что руководство организаций просто не придает большого значения последствиям утечек критичных для бизнеса данных в силу загруженности, как может показаться, более важными делами или просто неинформированности в данной области. Такая позиция и вправду соответствует известной поговорке: «Пока гром не грянет…» Ведь если утечка произойдет как раз в переломный для компании момент… Но даже в спокойные времена утечка информации может обернуться для компании многомиллионными исками от пострадавших партнеров и клиентов, а также астрономическими суммами недополученной прибыли из-за потери конкурентного преимущества и испорченной репутации.

Может быть, некоторые руководители полагают, что раз их бизнес не связан с информационными технологиями, то и бояться утечек информации им не следует. Это заблуждение легко развеять: достаточно посмотреть ленту новостей об утечках информации, чтобы увидеть, что страдают от них буквально все: медицинские организации, банки, нефтедобывающие компании, автопроизводители… Если у вас есть клиенты, технологические разработки, бизнес-планы, то вы уязвимы перед утечками информации. Если всего вышеперечисленного нет... Что ж, позвольте вас поздравить: похоже, вы открыли совершенно новый и уникальный способ ведения бизнеса!

К сожалению, даже когда утечка информации происходит, многие руководители так и не приходят к правильному и вроде бы очевидному выводу о необходимости защиты корпоративных данных организации. И тут уж молния вполне может бить в одно место не дважды, а бесконечное количество раз. Да-да, до тех пор, пока «мужик не перекрестится». Яркий пример тому – компания Sony, которая в последнее время часто фигурирует в новостях в связи с утечками данных клиентов ее развлекательных сервисов. Несмотря на то, что первая из целой серии утечек произошла достаточно давно, проблема до сих пор не решена. Надо думать, у такой крупной корпорации как Sony есть возможности и ресурсы для того, чтобы защитить информацию своих клиентов – значит, налицо как раз управленческая некомпетентность в сфере информационной безопасности.

Так что нужно посмотреть правде в глаза и признать, что, к сожалению, утечка информации – это зло, от которого не застрахован никто, и оно может повлечь за собой губительные последствия для допустившей ее организации. Поэтому защита от утечек – это надежные инвестиции в будущее, не омраченное подобными инцидентами.

 

+77
голосов

Напечатать Отправить другу

Читайте также

Руководители зачастую предпочитают уволить "нашкодившего" сотрудника, а не искать причину, по которой утечка стала возможной. Грамотный руководитель должен как минимум помнить о трёх важнейших составляющих, которые способны обеспечить безопасность "секретам" фирмы: хороший HR-директор с навыками психолога, соглашение о неразглашении информации и надёжная DLP-система.

Подход «раз инсайдер – уволить!» в принципе неверен. Три причины могут толкнуть человека на кражу данных: деньги, неприязнь к начальству и желание насолить коллеге. Первые две проблемы решаются увеличением зарплаты, третья – перетасовкой коллектива. И часто проще (и выгодней) сохранить сотрудника на его рабочем месте, чем уволить. Ведь обычно становятся инсайдерами профессионалы – не каждому дадут доступ к конфиденциальной информации.

до лампочки все длп-системы.

пока есть деньги и пока есть люди, готовые продавать свою бессмертную душу за презренный металл, ниикакие длп-системы не спасут.

ограничьте все каналы передачи данных - интернет, флешка, принтер - все вообще - но остается человек, согласно своим служебным полномочиям видящий эти данные на экране. и если этот человек готов продать свою бессмертную душу, то он срисует эти данные себе на ладошку. или на бумажку. или если их много, то сфотографирует с экрана на мобильный.
и вынесет их.
и продаст.

поэтому в данном раскладе спасти могут только корпоративные расстрельные стенки во дворах офисов и практика публичных корпоративных расстрелов.

его величество страх и осознание неизбежности наказания.

только они может остановить крысятничество как данных, так и денег.

"как контролировать контролёров?" - извечная проблема. ответа нет, ибо это в менталитете и на генном уровне править надо.

ответ есть: кто - все остальные, как - разумно, после поправки менталитета. понятно что проблема, но неправильные движения - вечная тема рекурсивной подмены одной проблемы на другую

Как-то уж очень глобально мыслите. Понятно, что DLP-системы не остановят того, кто очень хочет продать кому-то корпоративные секреты. Это должны делать безопасники, а DLP-система - их глаза и уши. Ведь им тоже надо знать, кого наказывать, прежде чем применять наказание.

И то не поможет, только цены вырастут...

Уже было: http://ko.com.ua/node/46224
И толку? :)

Тут как попугай. Повторяй-не повторяй, толку мало. Если начальник не идиот (да и безопасник смог правильно объяснить who is ху), шанс обзавестись приличной DLP-системой всё же есть.

ответ Homer Simpson
То есть из ваших слов можно сделать вывод, что DLP-системы устанавливать вообще не нужно, раз сотрудники компании за деньги могут «продать душу дьяволу». Я конечно согласна с тем, что если опытный и хороший работник захочет слить информацию, у него это получиться без труда. Но кроме этого пути утечки информации есть миллион других. Именно для этого и созданы такие решения по защите данных. Хотя они не могут отследить всё, я думаю им можно отдать дань хотя бы по той причине, что неисчислимое количество пользовательских данных было сохранено с их помощью и участием.

таня, я хотел сказать именно то, что я и сказал:)

длп-системы не в состоянии остановить кражу информации. они просто лишают вора комфорта. вместо простого копипаста и сэндресива ему придется достать свой телефон и пофоткать несколько экранов с монитора своего служебного компьютера.

и опытность работника тут по цымбалам - пользоваться камерой на телефоне умеют даже дети.

вопрос только и исключительно лояльности работника. если человек по своим корпоративным правам имеет доступ к информации, то он ее можеть украсть. и тут никто и ничто не спасет.

другое дело - проникновение извне. от кулхацкеров нужно и должно защищаться самыми-самыми-самыми изысканными методами.

Частично поддерживаю.
DLP может быть полезна для защиты от случайных утечек, по незнанию/глупости пользователя. Но от намеренного слива DLP не защитит. Если у человека есть доступ к данным и он захочет их унести с собой - вопрос только в цене. Блокнот и карандаш еще никто не отменял.
Зато для людей, которые хотят концентрироваться на работе, а не на выяснении, соттветствует ли отправляемое ими письмо всем 100500 политикам безопасности и конфиденциальности - самое оно.

арсен, так я и не говорю, что длп не нужен. я говорю, что длп не в состоянии защитить от умышленной кражи информации. и нефиг руководителю успокаиваться, если он внедрит у себя в конторе длп - типа все, капец, инфу не стырят.

а как защита от случайностей - конечно нужно. самый простой пример - цепляешь к письму файлы и случайно мышкой клацаешь на файл, который никак не должен быть передан по почте.

а вообще враг хитёр и коварен. и об этом нужно помнить всегда:)))

:)

Плюс протоколирование - всегда видно кто и когда "по дурости" слил. Ну и заодно косвенно поможет при разграничении прав доступа.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT