ЗащИТи ИТ!
Зачем тратиться на безопасность? Странный вопрос. У каждой организации есть свои секреты. Например, информация, на основе которой строятся бизнес-процессы и формируются активы, может стоить очень недешево, поэтому случаи ее утраты не так уж редки. Данные могут стать недоступны или быть похищены и изменены из-за действий конкурентов, личных врагов или недовольных сотрудников. Для защиты активов и нужна система информационной безопасности.
Перед созданием собственной системы информационной безопасности необходимо понять ее основное предназначение. С одной стороны, есть формальные требования регуляторов, требующие защитить персональные данные клиентов и сотрудников, с другой – есть риск-ориентированный подход, когда защита информации (активов) строится в зависимости от угроз. Поэтому для начала следует определиться с целью: вы хотите защитить информацию или выполнить формальные требования регуляторов?
Зачастую выполнить требования проще, но эта процедура не снижает риски для вашей компании. Перед тем как начать строить систему безопасности, необходимо ответить на ряд вопросов. Сколько этот актив стоит для меня и компании? Сколько я могу потерять, если этот актив у меня украдут конкуренты или он исчезнет? Сколько будет стоить защита этого актива? И если окажется, что ваш актив гораздо дороже системы защиты, значит, пришло время строить качественную систему безопасности.
Сначала надо разработать план размещения и внедрения средств защиты – технический проект. Для этого необходимо провести аудит и собрать полную информацию об ИТ-системах и процессах. Затем следует закрепить задачи защиты за конкретными людьми – разработать организационно-распорядительные документы, обозначив зону ответственности каждого сотрудника. При закупке средств защиты целесообразно рассмотреть предложения нескольких компаний и выбрать наиболее подходящее. Причем надо понимать, что в вопросе построения системы информационной безопасности наименьшая цена решения не всегда является определяющим фактором. Быстрая русскоязычная поддержка или профессиональный сервис куда более привлекательны, нежели начальная экономия. Обращаться к системным интеграторам или производителям решений – выбирать вам. Специалисты производителя лучше разбираются в каждом отдельном продукте, а эксперты интегратора имеют больший кругозор и опыт внедрения разных продуктов в существующие системы заказчиков.
Защититься от «нападения» инсайдеров помогут также системы защиты от утечек и системы контроля действий администраторов. Для бизнеса, связанного с онлайн-услугами, нужны системы защиты канала от атак типа DDoS и шифрования данных в открытых сетях. В результате внедрения системы защиты удастся сохранить активы, снизить риски, а также выполнить требования законодательства.