Como Helpych, se podría decir, escribí en colaboración. Igor (Ayuda) me permitió usar como ejemplo un caso de su práctica, A Andrey (Pravlalab) , así que en general, respondiendo a mi pregunta, pintó todo para que tuviera miedo de editar. 
Y por supuesto Andrey Nuikin (Agencia. PrivacyGuard) quien, como especialista en seguridad de TI, comentó el artículo.
Como resultado, hubo material que la junta editorial del Director Comercial de la revista redujo a la mitad e hizo dos artículos. Esto: se lanzó en la edición de junio, la próxima se lanzará en agosto.
Ahorramos activos no regulatorios
Kirill Skazin,
CEO, Programas de seguridad inteligente
Como compañero constante de la competencia en los negocios, siempre ha habido inteligencia competitiva. Y la administración de cualquier empresa, al construir una estrategia de desarrollo, es plenamente consciente de que en una sociedad dependiente de la información, la recepción oportuna de la información y su análisis es una de las principales ventajas sobre los competidores. El gerente debe comprender que también es probable que se recopile información sobre su empresa y, por lo tanto, proteger la información sobre su negocio no es menos importante que poder aprender sobre la de otra persona.
La organización y el desarrollo de quizás cualquier tipo de negocio es, ante todo, una lucha. Primero, la lucha por ingresar al mercado, luego, para aferrarse, ganar terreno y crecer. Y casi siempre, una empresa se somete a pruebas de resistencia en un entorno competitivo bastante agresivo.
=================================================== ============
Kirill Skazin Graduado de VIPTS del Ministerio del Interior de la Federación de Rusia. Teniente coronel retirado de la policía. De 2003 a 2009 trabajó en la estructura de seguridad de la empresa Renault. En 2009, se convirtió en uno de los fundadores de los programas de seguridad inteligente.
Programas de seguridad intelectual CJSC (grupo IPS) brinda servicios de seguridad. Entre los clientes se encuentran Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=================================================== ============
En riesgo
El mayor riesgo de perder información existe en empresas de sectores empresariales con un umbral bajo para ingresar al mercado y productos importantes en forma de activos intangibles (encuestas, proyectos, exámenes, consultoría). Por ejemplo, gestión de eventos, donde cada vendedor contacta a los clientes y tiene su propia base de clientes clave. Su salida de la empresa conlleva molestias psicológicas o financieras. Pero si su base de clientes (sin la participación del propio empleado) migra a los competidores, hay un defecto en el sistema de protección de la información comercial. Y esta es responsabilidad directa del director comercial y el jefe del departamento de ventas.
Protege lo principal
Seguramente nadie tiene el deseo de volverse paranoico, prohibiendo maníacamente cualquier intento de usar bases comunes. Por lo tanto, lo primero que debe hacerse es identificar áreas, puntos específicos que requieren protección y en los que la pérdida o transferencia de datos a otras personas (por ejemplo, competidores) amenaza a las empresas con pérdidas graves.
Puede que este no sea un ejemplo completamente apropiado, pero en el fútbol, con un tiro libre, los jugadores que están parados en la pared tienen la oportunidad de recibir un golpe de pelota en cualquier parte del cuerpo, pero no protegen las piernas y la cabeza, sino solo lo que, en las circunstancias, es realmente lo más vulnerable. .
¿Qué enlace en el departamento comercial es el más vulnerable? Base de clientes? Por supuesto. ¿Innovaciones en promoción, marketing, publicidad? Seguramente. Quizás, en el sistema de capacitación gerencial, tiene tecnologías especiales que no desea compartir con sus competidores.
Al proteger cada uno de estos bloques, los métodos para organizar el control del personal y restringir el acceso a la información, así como la protección de software y hardware, son de gran importancia. Una vez identificados los puntos débiles, es necesario desarrollar métodos de protección que consuman no más del 20% del presupuesto potencial de la compañía y protegerlo al menos en un 80%, según la ley de Pareto.
Hace veinte años, los archivos de documentos relacionados con secretos oficiales y comerciales ocupaban salas aisladas bastante grandes con un modo de acceso especial; solo podían obtenerse para pintar y pintar.
Al final de la jornada laboral, asegúrese de regresar. Hoy en día, todo lo que se encuentra en estos gabinetes y cajas fuertes puede caber fácilmente en varios discos magnéticos, y cualquiera que tenga acceso a esta información puede copiar y renderizar fácilmente
reenviarlo por correo electrónico. Es por eso que hoy en día la protección efectiva de las bases de datos de los clientes, la documentación y todo lo que es una ventaja competitiva de la compañía es imposible sin el uso de tecnologías de TI modernas.
Las empresas crean sistemas de seguridad de la información serios, no solo por iniciativa propia, sino también a pedido de la ley y los estándares de la industria (Ley Federal No. 152 "Sobre la Protección de Datos Personales" y el estándar PCI DSS para organizaciones financieras y bancos). En este sentido, es necesario tener en cuenta la certificación de los equipos de protección de acuerdo con los requisitos de la legislación y las normas de la industria.
=================================================== ============
Opinión
¿Defensa a toda costa?
Andrey Nuykin , Especialista Certificado en Seguridad de la Información
El mercado de sistemas DLP se está desarrollando activamente; en los últimos años, han aparecido muchas soluciones nuevas. El costo de cada uno de ellos depende de los requisitos del cliente y puede variar desde varias decenas de miles de rublos para un sistema simple para una pequeña empresa hasta varios millones para crear sistemas para grandes corporaciones.
Por experiencia, puedo decir que los complejos sistemas DLP de los desarrolladores rusos se ajustan a 3-4 millones de rublos. a un parque de 250 computadoras. Si es necesario, el costo del equipo (servidores, sistemas de almacenamiento de datos, etc.) y el costo de las licencias de software (SO, DBMS, etc.) también deben agregarse aquí.
Pero, en cualquier caso, la elección y el costo de un sistema DLP en particular depende de muchos factores (costo de la información protegida, modelo de amenaza y modelo de intrusos, modo de operación del sistema DLP en línea o fuera de línea, posibles canales de fuga, etc.).
En la versión más simple para una empresa promedio, puede sobrevivir con medidas organizativas y herramientas de software simples y alcanzar 20-30 mil rublos. Sin embargo, el nivel de protección será apropiado.
Con el aumento de los requisitos, el costo aumenta, y es muy importante encontrar un equilibrio entre el costo de la protección, el costo de la información protegida y la facilidad de uso.
Bueno, no debemos olvidarnos del eslabón más débil: el hombre. Ningún sistema proporcionará una protección del 100%. Una de las funciones más importantes es la sensibilización de las personas en el campo de la seguridad de la información.
Andrey Nuykin graduado del Instituto Militar de Comunicaciones del Gobierno en Orel. Certificación aprobada de la organización internacional ISACA: auditor certificado de seguridad de la información (CISA) y gerente certificado de seguridad de la información (CISM). Experiencia en el campo de la seguridad de la información: más de ocho años.
=================================================== ============
Tecnología inteligente menos descuido
Los métodos informáticos de protección de la información se basan en el uso de sistemas de software especiales, por ejemplo, sistemas DLP (prevención de pérdida de datos, prevención de fuga de datos). La implementación del sistema le permite reconocer y clasificar información en el objeto (por ejemplo, en un mensaje de correo electrónico, archivo, aplicación),
que se almacena en la memoria de la computadora, está en uso o se transmite a través de canales de comunicación. DLP permite
aplique dinámicamente diferentes reglas a estos objetos, comenzando con el envío de notificaciones y terminando con el bloqueo
(Tabla 1).
¿En qué medida debe un gerente conocer las tecnologías de protección de datos de TI? ¡La mejor respuesta es no! Si este frente está cubierto por un buen especialista y nunca ha encontrado el problema del robo de información, su distribución ilegal y no deseada. Si al menos una vez que ocurre un desastre así, debe encontrar el tiempo y controlar la creación (cambio) del sistema de seguridad de TI.
Cómo justificar la necesidad de gastos
Hay una respuesta simple a esta pregunta: si el líder es adecuado y, siendo un mercenario, aprecia su posición y ser
el dueño es su dinero, él mismo debe comprender el valor de la información clave. Sin embargo, si es necesario
evidencia, la mejor manera es un ejemplo práctico. No tienes que convertirte en un espía para esto. Explicar la necesidad de introducir una regulación sobre los secretos comerciales, reestructurar los procesos comerciales, incluida la restricción del acceso de los empleados a la información estratégica, no pierda un tiempo precioso hablando. Siéntese en la computadora de la secretaria, el gerente o cualquier otra persona que permaneció durante el almuerzo de un empleado y copie todo lo que considere valioso en una tarjeta de memoria flash. A continuación, puede ir al CEO con un informe de que su competidor directo ha recibido datos sobre ... más abajo en la lista. Seguramente el líder estará lo suficientemente furioso como para aprobar la introducción de un sistema de medidas de protección en la empresa y el bombeo de TI el mismo día.
Factor humano
Por supuesto, la implementación del trabajo de los sistemas DLP para proteger la información está lejos de ser limitada. Tecnologías de TI: esta es solo una parte, un elemento separado que aún no se ha creado, creando un sistema de seguridad integrada y protección de la información.
Sin embargo, los documentos en sí mismos no son una garantía de bienestar absoluto en términos de información.
seguridad. En mi práctica, a menudo había compañías que tenían todo: y regulaciones cuidadosamente prescritas,
y profesionales de TI inteligentes con software de seguridad de la información de última generación. Y las filtraciones continuaron.
En este caso, vale la pena prestar atención al factor humano, más precisamente, a cómo se organiza la gestión de la empresa.
y monitorea la implementación de los procedimientos de seguridad de la información y cómo los empleados realizan estos procedimientos. Al respecto
leer en la edición de julio de la revista.
=================================================== ============
Opinión
Amenazas de información
Julia Nikitina , Director de Marketing, Código de Seguridad
Es lamentable observar que las tecnologías que ayudan al desarrollo de las empresas también sirven a los intrusos cuyo propósito es el activo de información de las empresas. El desarrollo y el uso generalizado de la tecnología informática lleva al hecho de que es necesario proteger la información almacenada y procesada en los sistemas informáticos de una gran cantidad de amenazas (tabla 2).
Ejemplos de la práctica mundial cuando las empresas se utilizan para inteligencia competitiva o con fines comprometedores.
La tecnología informática, más que suficiente, recuerda al menos el incidente del año pasado en HSBC. Despedido
El empleado del banco robó los detalles de 15,000 clientes. Las cuentas de usuario del sistema bancario en línea se vieron afectadas,
principalmente residentes de Suiza y Francia (después del incidente, el banco cambió el sistema de seguridad, lo que le costó $ 94 millones).
Una de las formas más económicas de proteger los datos es la separación de los derechos de acceso a la información procesada en la infraestructura virtual entre el administrador de TI y el administrador de seguridad.
Si existe una amenaza para la seguridad de la información, no siempre se puede encontrar al culpable. A menudo, un administrador del sistema es reconocido como culpable de una fuga, quien, como deber, distribuyó los derechos de acceso a los usuarios.
Por lo tanto, es correcto garantizar que los empleados tengan acceso a la información con el conocimiento del servicio de información.
seguridad.
"Código de seguridad" - Desarrollador ruso de software y hardware que proporciona protección.
sistemas de información. Entre clientes: más de 2500 organizaciones estatales y comerciales en Rusia y países
CIS Sitio oficial - [DLMURL] https://www.securitycode.ru [/ DLMURL]
=================================================== ============
Y por supuesto Andrey Nuikin (Agencia. PrivacyGuard) quien, como especialista en seguridad de TI, comentó el artículo.Como resultado, hubo material que la junta editorial del Director Comercial de la revista redujo a la mitad e hizo dos artículos. Esto: se lanzó en la edición de junio, la próxima se lanzará en agosto.
Ahorramos activos no regulatorios
Kirill Skazin,
CEO, Programas de seguridad inteligente
Como compañero constante de la competencia en los negocios, siempre ha habido inteligencia competitiva. Y la administración de cualquier empresa, al construir una estrategia de desarrollo, es plenamente consciente de que en una sociedad dependiente de la información, la recepción oportuna de la información y su análisis es una de las principales ventajas sobre los competidores. El gerente debe comprender que también es probable que se recopile información sobre su empresa y, por lo tanto, proteger la información sobre su negocio no es menos importante que poder aprender sobre la de otra persona.
La organización y el desarrollo de quizás cualquier tipo de negocio es, ante todo, una lucha. Primero, la lucha por ingresar al mercado, luego, para aferrarse, ganar terreno y crecer. Y casi siempre, una empresa se somete a pruebas de resistencia en un entorno competitivo bastante agresivo.
=================================================== ============
Kirill Skazin Graduado de VIPTS del Ministerio del Interior de la Federación de Rusia. Teniente coronel retirado de la policía. De 2003 a 2009 trabajó en la estructura de seguridad de la empresa Renault. En 2009, se convirtió en uno de los fundadores de los programas de seguridad inteligente.
Programas de seguridad intelectual CJSC (grupo IPS) brinda servicios de seguridad. Entre los clientes se encuentran Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=================================================== ============
En riesgo
El mayor riesgo de perder información existe en empresas de sectores empresariales con un umbral bajo para ingresar al mercado y productos importantes en forma de activos intangibles (encuestas, proyectos, exámenes, consultoría). Por ejemplo, gestión de eventos, donde cada vendedor contacta a los clientes y tiene su propia base de clientes clave. Su salida de la empresa conlleva molestias psicológicas o financieras. Pero si su base de clientes (sin la participación del propio empleado) migra a los competidores, hay un defecto en el sistema de protección de la información comercial. Y esta es responsabilidad directa del director comercial y el jefe del departamento de ventas.
Protege lo principal
Seguramente nadie tiene el deseo de volverse paranoico, prohibiendo maníacamente cualquier intento de usar bases comunes. Por lo tanto, lo primero que debe hacerse es identificar áreas, puntos específicos que requieren protección y en los que la pérdida o transferencia de datos a otras personas (por ejemplo, competidores) amenaza a las empresas con pérdidas graves.
Puede que este no sea un ejemplo completamente apropiado, pero en el fútbol, con un tiro libre, los jugadores que están parados en la pared tienen la oportunidad de recibir un golpe de pelota en cualquier parte del cuerpo, pero no protegen las piernas y la cabeza, sino solo lo que, en las circunstancias, es realmente lo más vulnerable. .
¿Qué enlace en el departamento comercial es el más vulnerable? Base de clientes? Por supuesto. ¿Innovaciones en promoción, marketing, publicidad? Seguramente. Quizás, en el sistema de capacitación gerencial, tiene tecnologías especiales que no desea compartir con sus competidores.
Al proteger cada uno de estos bloques, los métodos para organizar el control del personal y restringir el acceso a la información, así como la protección de software y hardware, son de gran importancia. Una vez identificados los puntos débiles, es necesario desarrollar métodos de protección que consuman no más del 20% del presupuesto potencial de la compañía y protegerlo al menos en un 80%, según la ley de Pareto.
Hace veinte años, los archivos de documentos relacionados con secretos oficiales y comerciales ocupaban salas aisladas bastante grandes con un modo de acceso especial; solo podían obtenerse para pintar y pintar.
Al final de la jornada laboral, asegúrese de regresar. Hoy en día, todo lo que se encuentra en estos gabinetes y cajas fuertes puede caber fácilmente en varios discos magnéticos, y cualquiera que tenga acceso a esta información puede copiar y renderizar fácilmente
reenviarlo por correo electrónico. Es por eso que hoy en día la protección efectiva de las bases de datos de los clientes, la documentación y todo lo que es una ventaja competitiva de la compañía es imposible sin el uso de tecnologías de TI modernas.
Las empresas crean sistemas de seguridad de la información serios, no solo por iniciativa propia, sino también a pedido de la ley y los estándares de la industria (Ley Federal No. 152 "Sobre la Protección de Datos Personales" y el estándar PCI DSS para organizaciones financieras y bancos). En este sentido, es necesario tener en cuenta la certificación de los equipos de protección de acuerdo con los requisitos de la legislación y las normas de la industria.
=================================================== ============
Opinión
¿Defensa a toda costa?
Andrey Nuykin , Especialista Certificado en Seguridad de la Información
El mercado de sistemas DLP se está desarrollando activamente; en los últimos años, han aparecido muchas soluciones nuevas. El costo de cada uno de ellos depende de los requisitos del cliente y puede variar desde varias decenas de miles de rublos para un sistema simple para una pequeña empresa hasta varios millones para crear sistemas para grandes corporaciones.
Por experiencia, puedo decir que los complejos sistemas DLP de los desarrolladores rusos se ajustan a 3-4 millones de rublos. a un parque de 250 computadoras. Si es necesario, el costo del equipo (servidores, sistemas de almacenamiento de datos, etc.) y el costo de las licencias de software (SO, DBMS, etc.) también deben agregarse aquí.
Pero, en cualquier caso, la elección y el costo de un sistema DLP en particular depende de muchos factores (costo de la información protegida, modelo de amenaza y modelo de intrusos, modo de operación del sistema DLP en línea o fuera de línea, posibles canales de fuga, etc.).
En la versión más simple para una empresa promedio, puede sobrevivir con medidas organizativas y herramientas de software simples y alcanzar 20-30 mil rublos. Sin embargo, el nivel de protección será apropiado.
Con el aumento de los requisitos, el costo aumenta, y es muy importante encontrar un equilibrio entre el costo de la protección, el costo de la información protegida y la facilidad de uso.
Bueno, no debemos olvidarnos del eslabón más débil: el hombre. Ningún sistema proporcionará una protección del 100%. Una de las funciones más importantes es la sensibilización de las personas en el campo de la seguridad de la información.
Andrey Nuykin graduado del Instituto Militar de Comunicaciones del Gobierno en Orel. Certificación aprobada de la organización internacional ISACA: auditor certificado de seguridad de la información (CISA) y gerente certificado de seguridad de la información (CISM). Experiencia en el campo de la seguridad de la información: más de ocho años.
=================================================== ============
Tecnología inteligente menos descuido
Los métodos informáticos de protección de la información se basan en el uso de sistemas de software especiales, por ejemplo, sistemas DLP (prevención de pérdida de datos, prevención de fuga de datos). La implementación del sistema le permite reconocer y clasificar información en el objeto (por ejemplo, en un mensaje de correo electrónico, archivo, aplicación),
que se almacena en la memoria de la computadora, está en uso o se transmite a través de canales de comunicación. DLP permite
aplique dinámicamente diferentes reglas a estos objetos, comenzando con el envío de notificaciones y terminando con el bloqueo
(Tabla 1).
¿En qué medida debe un gerente conocer las tecnologías de protección de datos de TI? ¡La mejor respuesta es no! Si este frente está cubierto por un buen especialista y nunca ha encontrado el problema del robo de información, su distribución ilegal y no deseada. Si al menos una vez que ocurre un desastre así, debe encontrar el tiempo y controlar la creación (cambio) del sistema de seguridad de TI.
Cómo justificar la necesidad de gastos
Hay una respuesta simple a esta pregunta: si el líder es adecuado y, siendo un mercenario, aprecia su posición y ser
el dueño es su dinero, él mismo debe comprender el valor de la información clave. Sin embargo, si es necesario
evidencia, la mejor manera es un ejemplo práctico. No tienes que convertirte en un espía para esto. Explicar la necesidad de introducir una regulación sobre los secretos comerciales, reestructurar los procesos comerciales, incluida la restricción del acceso de los empleados a la información estratégica, no pierda un tiempo precioso hablando. Siéntese en la computadora de la secretaria, el gerente o cualquier otra persona que permaneció durante el almuerzo de un empleado y copie todo lo que considere valioso en una tarjeta de memoria flash. A continuación, puede ir al CEO con un informe de que su competidor directo ha recibido datos sobre ... más abajo en la lista. Seguramente el líder estará lo suficientemente furioso como para aprobar la introducción de un sistema de medidas de protección en la empresa y el bombeo de TI el mismo día.
Factor humano
Por supuesto, la implementación del trabajo de los sistemas DLP para proteger la información está lejos de ser limitada. Tecnologías de TI: esta es solo una parte, un elemento separado que aún no se ha creado, creando un sistema de seguridad integrada y protección de la información.
Sin embargo, los documentos en sí mismos no son una garantía de bienestar absoluto en términos de información.
seguridad. En mi práctica, a menudo había compañías que tenían todo: y regulaciones cuidadosamente prescritas,
y profesionales de TI inteligentes con software de seguridad de la información de última generación. Y las filtraciones continuaron.
En este caso, vale la pena prestar atención al factor humano, más precisamente, a cómo se organiza la gestión de la empresa.
y monitorea la implementación de los procedimientos de seguridad de la información y cómo los empleados realizan estos procedimientos. Al respecto
leer en la edición de julio de la revista.
=================================================== ============
Opinión
Amenazas de información
Julia Nikitina , Director de Marketing, Código de Seguridad
Es lamentable observar que las tecnologías que ayudan al desarrollo de las empresas también sirven a los intrusos cuyo propósito es el activo de información de las empresas. El desarrollo y el uso generalizado de la tecnología informática lleva al hecho de que es necesario proteger la información almacenada y procesada en los sistemas informáticos de una gran cantidad de amenazas (tabla 2).
Ejemplos de la práctica mundial cuando las empresas se utilizan para inteligencia competitiva o con fines comprometedores.
La tecnología informática, más que suficiente, recuerda al menos el incidente del año pasado en HSBC. Despedido
El empleado del banco robó los detalles de 15,000 clientes. Las cuentas de usuario del sistema bancario en línea se vieron afectadas,
principalmente residentes de Suiza y Francia (después del incidente, el banco cambió el sistema de seguridad, lo que le costó $ 94 millones).
Una de las formas más económicas de proteger los datos es la separación de los derechos de acceso a la información procesada en la infraestructura virtual entre el administrador de TI y el administrador de seguridad.
Si existe una amenaza para la seguridad de la información, no siempre se puede encontrar al culpable. A menudo, un administrador del sistema es reconocido como culpable de una fuga, quien, como deber, distribuyó los derechos de acceso a los usuarios.
Por lo tanto, es correcto garantizar que los empleados tengan acceso a la información con el conocimiento del servicio de información.
seguridad.
"Código de seguridad" - Desarrollador ruso de software y hardware que proporciona protección.
sistemas de información. Entre clientes: más de 2500 organizaciones estatales y comerciales en Rusia y países
CIS Sitio oficial - [DLMURL] https://www.securitycode.ru [/ DLMURL]
=================================================== ============
Adjuntos
Original message
Я как и Хелпыч, можно сказать, писал в соавторстве. Игорь (Хелп) разрешил мне использовать в качестве примера случай из его практики, А Андрей (Правдалаб), так тот вообще, отвечая на мой вопрос, расписал всё так, что я и править побоялся. И конечно же Андрей Нуйкин (Агентство. PrivacyGuard), который как специалист в области IT-безопасности дал комментарий к статье.
В итоге, появился материал, который редакция журнала Коммерческий Директор располовинила и сделала две статьи. Данная - вышла в июньском номере, следующая выйдет в августе.
Сохраняем не нормативные активы
Кирилл Сказин,
генеральный директор, «Интеллектуальные программы безопасности»
Как неизменный спутник конкуренции в бизнесе всегда существовала конкурентная разведка. И руководство любой компании, выстраивая стратегию развития, полностью осознает, что в информационно зависимом обществе своевременное получение информации и ее анализ — одно из основных преимуществ перед конкурентами. Руководитель должен понимать, что и о его фирме, скорее всего, тоже собирают сведения, а потому защищать информацию о своем бизнесе ничуть не менее важно, чем уметь узнавать о чужом.
Организация и развитие, пожалуй, любого вида бизнеса — это прежде всего борьба. Сначала борьба за то, чтобы войти на рынок, затем — чтобы удержаться, закрепиться и расти. И практически всегда бизнес подвергается испытаниям на прочность в довольно агрессивной конкурентной среде.
=============================================================
Кирилл Сказин окончил ВИПТШ МВД РФ. Подполковник милиции в отставке. С 2003 по 2009 год работал в структуре безопасности концерна Renault. В 2009 году стал одним из основателей компании «Интеллектуальные программы безопасности».
ЗАО «Интеллектуальные программы безопасности» (IPS group) оказывает услуги в области безопасности. Среди клиентов — Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=============================================================
В зоне риска
Наибольший риск утратить информацию существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг). Например, event-менеджмент, где каждый продавец контактирует с клиентами и обладает собственной базой ключевых заказчиков. Его уход из компании влечет психологический или финансовый дискомфорт. Но если его клиентская база (без участия самого сотрудника) перекочевывает к конкурентам — налицо недоработка в системе защиты коммерческой информации. А это уже прямая ответственность коммерческого директора и главы отдела продаж.
Защитить главное
Наверняка ни у кого нет желания становиться параноиком, маниакально запрещая любые попытки использовать общие базы. Поэтому первое, что предстоит проделать, это выделить зоны, конкретные точки, которые требуют защиты и в которых потеря или передача данных другим лицам (например, конкурентам) грозит бизнесу серьезными убытками.
Возможно, не совсем уместный пример, но в футболе при штрафном ударе игроки, стоящие в стенке, имеют шанс получить удар мячом в любую часть тела, но защищают они не ноги и не голову, а только то, что в данных обстоятельствах действительно оказывается самым уязвимым.
Какое звено в коммерческом департаменте наиболее уязвимо? Клиентская база? Безусловно. Новации в продвижении, маркетинге, рекламе? Наверняка. Возможно, и в системе обучения менеджеров у вас есть особые технологии, которыми не хочется делиться с конкурентами.
В защите каждого из этих блоков большое значение имеют как методы организации контроля персонала и ограничения доступа к информации, так и программные, технические средства защиты. Определив болевые точки, нужно разработать такие методы защиты, которые бы съедали не более 20% потенциального бюджета компании и защищали ее как минимум на 80% — по закону Парето.
Еще лет двадцать назад архивы доку-ментов, относящихся к служебной и коммерческой тайне, занимали довольно большие изолированные помещения, с особым режимом доступа, получить их можно было только под роспись и под роспись же
в конце рабочего дня обязательно вернуть. Сегодня все, что лежало в этих шкафах и сейфах, легко может поместиться на нескольких магнитных дисках, и любой, кто имеет доступ к данной информации, без труда может скопировать и вынести
ее, переслать по электронной почте. Именно поэтому сегодня эффективная защита клиентских баз данных, документации и всего того, что является конкурентным преимуществом компании, невозможна без применения современных IT-технологий.
Компании создают серьезные системы информационной безопасности не только по собственной инициативе, но и по требованию закона и отраслевых стандартов (ФЗ № 152 «О защите персональных данных» и стандарт PCI DSS для финансовых организации и банков). В связи с этим нужно учитывать сертификацию средств защиты в соответствии с требованиями законодательства и отраслевых стандартов.
=============================================================
Мнение
Оборона любой ценой?
Андрей Нуйкин, сертифицированный специалист по информационной безопасности
Рынок DLP-систем активно развивается, за последние несколько лет появилось множество новых решений. Стоимость каждого из них зависит от требований заказчика и может составлять от нескольких десятков тысяч рублей за простенькую систему для небольшой компании до нескольких миллионов — за создание систем для крупных корпораций.
По опыту могу сказать, что комплексные DLP-системы российских разработчиков укладываются в 3–4 млн руб. на парк из 250 компьютеров. Сюда же следует прибавить при необходимости стоимость оборудования (серверы, системы хранения данных и т. д.) и стоимость лицензий на программное обеспечение (ОС, СУБД и т.д.).
Но в любом случае выбор и стоимость конкретной DLP-системы зависит от множества факторов (стоимость охраняемой информации, модель угроз и модель нарушителя, онлайн- или офлайн-режим работы DLP-системы, возможные каналы утечки и т.д.).
В самом простом варианте для средней компании можно обойтись организационными мерами и простыми программными средствами и уложиться в 20–30 тыс. руб. Однако уровень защиты будет соответствующий.
С ростом требований растет стоимость, и здесь очень важно найти баланс между стоимостью защиты, стоимостью защищаемой информации и удобством работы.
Ну и нельзя забывать о самом слабом звене— человеке. Никакая система не обеспечит 100% защиты. Одну из значимых ролей играет повышение осведомленности людей в области информационной безопасности.
Андрей Нуйкин окончил Военный институт правительственной связи в Орле. Прошел сертификацию международной организации ISACA — certified information security auditor (CISA) и certified information security manager (CISM). Опыт работы в области информационной безопасности — более восьми лет.
=============================================================
Умные технологии минус разгильдяйство
IT-методы защиты информации базируются на применении специальных программных систем, например системы предотвращения утечек информации DLP (data loss prevention, data leak prevention). Внедрение системы позволяет распознавать и классифицировать информацию в объекте (например, в сообщении электронной почты, файле, приложении),
который хранится в памяти компьютера, находится в использовании или передается по каналам связи. DLP позволяет
динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой
(таблица 1).
В какой степени руководитель должен быть осведомлен об IT-технологиях защиты данных? Лучший ответ — ни в какой! Если этот фронт прикрывает хороший специалист и вы никогда не сталкивались с проблемой воровства информации, ее нелегального и нежелательного распространения. Если же вас хоть раз постигла такая беда, вы должны найти время и проконтролировать создание (изменение) системы IT-безопасности.
Как обосновать необходимость расходов
На этот вопрос есть простой ответ: если руководитель адекватен и, будучи наемником, ценит свою должность, а будучи
собственником — свои деньги, он сам должен понимать ценность ключевой информации. Если же все‑таки требуются
доказательства, лучший способ — практический пример. Для этого не обязательно становиться шпионом. Объясняя необходимость ввести положение о коммерческой тайне, перестроить бизнес-процессы, в том числе ограничить доступ сотрудников к стратегической информации, не тратьте драгоценное время на разговоры. Сядьте за компьютер секретаря, менеджера или любой другой, оставшийся включенным на время обеденного перерыва сотрудника, и скопируйте на флеш-карту все, что, по вашему мнению, представляет ценность. Далее можно идти к генеральному директору с докладом о том, что ваш прямой конкурент получил данные о… далее по списку. Наверняка руководитель будет достаточно взбешен, чтобы в тот же день одобрить введение системы защитных мер на предприятии и IT-прокачки.
Человеческий фактор
Разумеется, внедрением DLP-систем работа по защите информации далеко не ограничивается. IT-технологии — это только часть, отдельный элемент, к которому предстоит еще прийти, создавая систему комплексной безопасности и защиты информации.
Впрочем, сами по себе документы не являются гарантией абсолютного благополучия в плане информационной
безопасности. В моей практике нередко встречались компании, у которых было все: и тщательно прописанные регламенты,
и умные IT-специалисты с суперсовременными программными продуктами по защите информации. А утечки продолжались.
В таком случае стоит обратить внимание на человеческий фактор, точнее, на то, как руководство компании организует
и контролирует выполнение процедур по защите информации и как сотрудники выполняют эти процедуры. Об этом
читайте в июльском номере журнала.
=============================================================
Мнение
Информационные угрозы
Юлия Никитина, директор по маркетингу, «Код безопасности»
Приходится с сожалением констатировать, что технологии, которые помогают развитию компаний, служат и злоумышленникам, целью которых являются информационные активы компаний. Развитие и повсеместное использование компьютерных технологий приводит к тому, что защищать хранящуюся и обрабатываемую в информационных компьютерных системах информацию необходимо от большого количества угроз (таблица 2).
Примеров из мировой практики, когда в целях конкурентной разведки или компрометации компании используются
компьютерные технологии, более чем достаточно, вспомним хотя бы прошлогодний инцидент в банке HSBC. Уволенный
сотрудник банка похитил реквизиты 15000 клиентов. Пострадали пользовательские счета системы онлайн-банкинга,
преимущественно жителей Швейцарии и Франции (после происшествия банк сменил систему безопасности, что обошлось ему в $94 млн).
Один из наиболее доступных способов защиты данных— разделение прав доступа к информации, обрабатываемой в виртуальной инфраструктуре, между IT-администратором и администратором службы безопасности.
При возникновении угрозы информационной безопасности не всегда можно найти виновного. Часто виновным в утечке признается системный администратор, который по долгу службы раздавал права доступа пользователям.
Поэтому правильно сделать так, чтобы сотрудники получали доступ к информации с ведома службы информационной
безопасности.
«Код безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту
информационных систем. Среди клиентов — более 2500 государственных и коммерческих организаций в России и странах
СНГ. Официальный сайт — [DLMURL]https://www.securitycode.ru[/DLMURL]
=============================================================
И конечно же Андрей Нуйкин (Агентство. PrivacyGuard), который как специалист в области IT-безопасности дал комментарий к статье.В итоге, появился материал, который редакция журнала Коммерческий Директор располовинила и сделала две статьи. Данная - вышла в июньском номере, следующая выйдет в августе.
Сохраняем не нормативные активы
Кирилл Сказин,
генеральный директор, «Интеллектуальные программы безопасности»
Как неизменный спутник конкуренции в бизнесе всегда существовала конкурентная разведка. И руководство любой компании, выстраивая стратегию развития, полностью осознает, что в информационно зависимом обществе своевременное получение информации и ее анализ — одно из основных преимуществ перед конкурентами. Руководитель должен понимать, что и о его фирме, скорее всего, тоже собирают сведения, а потому защищать информацию о своем бизнесе ничуть не менее важно, чем уметь узнавать о чужом.
Организация и развитие, пожалуй, любого вида бизнеса — это прежде всего борьба. Сначала борьба за то, чтобы войти на рынок, затем — чтобы удержаться, закрепиться и расти. И практически всегда бизнес подвергается испытаниям на прочность в довольно агрессивной конкурентной среде.
=============================================================
Кирилл Сказин окончил ВИПТШ МВД РФ. Подполковник милиции в отставке. С 2003 по 2009 год работал в структуре безопасности концерна Renault. В 2009 году стал одним из основателей компании «Интеллектуальные программы безопасности».
ЗАО «Интеллектуальные программы безопасности» (IPS group) оказывает услуги в области безопасности. Среди клиентов — Baker & McKenzie, Nissan, Sanofi-Aventis, Valeo.
=============================================================
В зоне риска
Наибольший риск утратить информацию существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг). Например, event-менеджмент, где каждый продавец контактирует с клиентами и обладает собственной базой ключевых заказчиков. Его уход из компании влечет психологический или финансовый дискомфорт. Но если его клиентская база (без участия самого сотрудника) перекочевывает к конкурентам — налицо недоработка в системе защиты коммерческой информации. А это уже прямая ответственность коммерческого директора и главы отдела продаж.
Защитить главное
Наверняка ни у кого нет желания становиться параноиком, маниакально запрещая любые попытки использовать общие базы. Поэтому первое, что предстоит проделать, это выделить зоны, конкретные точки, которые требуют защиты и в которых потеря или передача данных другим лицам (например, конкурентам) грозит бизнесу серьезными убытками.
Возможно, не совсем уместный пример, но в футболе при штрафном ударе игроки, стоящие в стенке, имеют шанс получить удар мячом в любую часть тела, но защищают они не ноги и не голову, а только то, что в данных обстоятельствах действительно оказывается самым уязвимым.
Какое звено в коммерческом департаменте наиболее уязвимо? Клиентская база? Безусловно. Новации в продвижении, маркетинге, рекламе? Наверняка. Возможно, и в системе обучения менеджеров у вас есть особые технологии, которыми не хочется делиться с конкурентами.
В защите каждого из этих блоков большое значение имеют как методы организации контроля персонала и ограничения доступа к информации, так и программные, технические средства защиты. Определив болевые точки, нужно разработать такие методы защиты, которые бы съедали не более 20% потенциального бюджета компании и защищали ее как минимум на 80% — по закону Парето.
Еще лет двадцать назад архивы доку-ментов, относящихся к служебной и коммерческой тайне, занимали довольно большие изолированные помещения, с особым режимом доступа, получить их можно было только под роспись и под роспись же
в конце рабочего дня обязательно вернуть. Сегодня все, что лежало в этих шкафах и сейфах, легко может поместиться на нескольких магнитных дисках, и любой, кто имеет доступ к данной информации, без труда может скопировать и вынести
ее, переслать по электронной почте. Именно поэтому сегодня эффективная защита клиентских баз данных, документации и всего того, что является конкурентным преимуществом компании, невозможна без применения современных IT-технологий.
Компании создают серьезные системы информационной безопасности не только по собственной инициативе, но и по требованию закона и отраслевых стандартов (ФЗ № 152 «О защите персональных данных» и стандарт PCI DSS для финансовых организации и банков). В связи с этим нужно учитывать сертификацию средств защиты в соответствии с требованиями законодательства и отраслевых стандартов.
=============================================================
Мнение
Оборона любой ценой?
Андрей Нуйкин, сертифицированный специалист по информационной безопасности
Рынок DLP-систем активно развивается, за последние несколько лет появилось множество новых решений. Стоимость каждого из них зависит от требований заказчика и может составлять от нескольких десятков тысяч рублей за простенькую систему для небольшой компании до нескольких миллионов — за создание систем для крупных корпораций.
По опыту могу сказать, что комплексные DLP-системы российских разработчиков укладываются в 3–4 млн руб. на парк из 250 компьютеров. Сюда же следует прибавить при необходимости стоимость оборудования (серверы, системы хранения данных и т. д.) и стоимость лицензий на программное обеспечение (ОС, СУБД и т.д.).
Но в любом случае выбор и стоимость конкретной DLP-системы зависит от множества факторов (стоимость охраняемой информации, модель угроз и модель нарушителя, онлайн- или офлайн-режим работы DLP-системы, возможные каналы утечки и т.д.).
В самом простом варианте для средней компании можно обойтись организационными мерами и простыми программными средствами и уложиться в 20–30 тыс. руб. Однако уровень защиты будет соответствующий.
С ростом требований растет стоимость, и здесь очень важно найти баланс между стоимостью защиты, стоимостью защищаемой информации и удобством работы.
Ну и нельзя забывать о самом слабом звене— человеке. Никакая система не обеспечит 100% защиты. Одну из значимых ролей играет повышение осведомленности людей в области информационной безопасности.
Андрей Нуйкин окончил Военный институт правительственной связи в Орле. Прошел сертификацию международной организации ISACA — certified information security auditor (CISA) и certified information security manager (CISM). Опыт работы в области информационной безопасности — более восьми лет.
=============================================================
Умные технологии минус разгильдяйство
IT-методы защиты информации базируются на применении специальных программных систем, например системы предотвращения утечек информации DLP (data loss prevention, data leak prevention). Внедрение системы позволяет распознавать и классифицировать информацию в объекте (например, в сообщении электронной почты, файле, приложении),
который хранится в памяти компьютера, находится в использовании или передается по каналам связи. DLP позволяет
динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой
(таблица 1).
В какой степени руководитель должен быть осведомлен об IT-технологиях защиты данных? Лучший ответ — ни в какой! Если этот фронт прикрывает хороший специалист и вы никогда не сталкивались с проблемой воровства информации, ее нелегального и нежелательного распространения. Если же вас хоть раз постигла такая беда, вы должны найти время и проконтролировать создание (изменение) системы IT-безопасности.
Как обосновать необходимость расходов
На этот вопрос есть простой ответ: если руководитель адекватен и, будучи наемником, ценит свою должность, а будучи
собственником — свои деньги, он сам должен понимать ценность ключевой информации. Если же все‑таки требуются
доказательства, лучший способ — практический пример. Для этого не обязательно становиться шпионом. Объясняя необходимость ввести положение о коммерческой тайне, перестроить бизнес-процессы, в том числе ограничить доступ сотрудников к стратегической информации, не тратьте драгоценное время на разговоры. Сядьте за компьютер секретаря, менеджера или любой другой, оставшийся включенным на время обеденного перерыва сотрудника, и скопируйте на флеш-карту все, что, по вашему мнению, представляет ценность. Далее можно идти к генеральному директору с докладом о том, что ваш прямой конкурент получил данные о… далее по списку. Наверняка руководитель будет достаточно взбешен, чтобы в тот же день одобрить введение системы защитных мер на предприятии и IT-прокачки.
Человеческий фактор
Разумеется, внедрением DLP-систем работа по защите информации далеко не ограничивается. IT-технологии — это только часть, отдельный элемент, к которому предстоит еще прийти, создавая систему комплексной безопасности и защиты информации.
Впрочем, сами по себе документы не являются гарантией абсолютного благополучия в плане информационной
безопасности. В моей практике нередко встречались компании, у которых было все: и тщательно прописанные регламенты,
и умные IT-специалисты с суперсовременными программными продуктами по защите информации. А утечки продолжались.
В таком случае стоит обратить внимание на человеческий фактор, точнее, на то, как руководство компании организует
и контролирует выполнение процедур по защите информации и как сотрудники выполняют эти процедуры. Об этом
читайте в июльском номере журнала.
=============================================================
Мнение
Информационные угрозы
Юлия Никитина, директор по маркетингу, «Код безопасности»
Приходится с сожалением констатировать, что технологии, которые помогают развитию компаний, служат и злоумышленникам, целью которых являются информационные активы компаний. Развитие и повсеместное использование компьютерных технологий приводит к тому, что защищать хранящуюся и обрабатываемую в информационных компьютерных системах информацию необходимо от большого количества угроз (таблица 2).
Примеров из мировой практики, когда в целях конкурентной разведки или компрометации компании используются
компьютерные технологии, более чем достаточно, вспомним хотя бы прошлогодний инцидент в банке HSBC. Уволенный
сотрудник банка похитил реквизиты 15000 клиентов. Пострадали пользовательские счета системы онлайн-банкинга,
преимущественно жителей Швейцарии и Франции (после происшествия банк сменил систему безопасности, что обошлось ему в $94 млн).
Один из наиболее доступных способов защиты данных— разделение прав доступа к информации, обрабатываемой в виртуальной инфраструктуре, между IT-администратором и администратором службы безопасности.
При возникновении угрозы информационной безопасности не всегда можно найти виновного. Часто виновным в утечке признается системный администратор, который по долгу службы раздавал права доступа пользователям.
Поэтому правильно сделать так, чтобы сотрудники получали доступ к информации с ведома службы информационной
безопасности.
«Код безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту
информационных систем. Среди клиентов — более 2500 государственных и коммерческих организаций в России и странах
СНГ. Официальный сайт — [DLMURL]https://www.securitycode.ru[/DLMURL]
=============================================================
