В современном мире информационных технологий работать с информацией стало просто даже очень просто. Вам не нужно двадцать раз перепечатывать на пишущей машинке документ из-за найденной ошибки всё сделает встроенная в Word система проверки орфографии; не нужно идти на почту и отправлять телеграмму есть электронная почта, ICQ и Skype, и вы можете общаться, не выходя из офиса или из дома. Но у каждой медали есть обратная сторона. Если раньше для того, чтобы украсть информацию, взламывали сейфы и пускали под откос курьерские поезда, то сегодня вполне достаточно вынести из офиса ноутбук с ценной информацией. Взломав почтовый сервер конкурентов, можно от их имени поругаться с заказчиками, а украв со стола их главного конструктора «флэшку» с чертежами можно серьёзно сэкономить на финансировании перспективных разработок.
Самое печальное во всем это – то, что для того, чтобы пострадать от утечки конфиденциальной информации, нет никакой необходимости самому становиться виновником этой утечки. Сегодня огромное количество компаний во всем мире доверяют свои данные, включая коммерческие секреты, другим компаниям. И безопасность критически важных для их бизнеса данных зависит от качества организации защиты в компании-партнере.
Выход? Очевидно, что вариант «ни с кем не сотрудничать и никому не передавать свои данные» ‑ тупиковый. Даже целая страна не может себе позволить в современном мире международную изоляцию, о чем красноречиво свидетельствует печальный опыт Северной Кореи – современные технологии развиваются так быстро, что любая изоляция ведет к деградации и отставанию. Поэтому правильным вариантом будет тщательные отбор компаний, с которыми устанавливаются партнерские отношения – отбор, в том числе, и по признаку качества организации обеспечения информационной безопасности в этих компаниях.
Как определить, с какой компанией стоит работать, а с какой нет? В целом, порядок в остальных делах говорит о том, что шансы на порядок в области ИБ тоже достаточно велики. И ведущие компании знают, что в этом есть и экономический смысл: по исследованиям Ponemone Institute, расходы организаций, не соблюдающих правила безопасности, в среднем превышают расходы организаций, их соблюдающих, более чем в два с половиной раза. Но, конечно, встречаются и исключения – многие руководители до сих пор не хотят тратиться на «ненужную» информационную безопасность.
Говорить о действительно качественной защите информации вашим партнером можно только в том случае, если в компании имеется отдел, ответственный за обеспечение информационной безопасности (пусть даже этот отдел и состоит всего лишь из пары человек), также в компании должны быть работающие политики информационной безопасности и внедренные инструменты её обеспечения. Из последних важнейшим является DLP-система, и именно на её наличие у вашего потенциального партнера необходимо обратить особое внимание.
Если ваш партнер еще только планирует внедрение DLP-системы, но не может сказать точно, когда она у него появится, напомните ему о том, что исследования компании SearchInform говорят, что сотрудники готовы и к продаже информации, принадлежащей работодателю, при условии предложения за неё адекватной цены. Лишь 19.2% работников готовы ответить твёрдым отказом на предложение о продаже конфиденциальной информации, в то время как 43.7% не устоят перед соблазном лёгкого заработка, а 12 процентов и вовсе поделятся всеми доступными им корпоративными секретами совершенно бесплатно.
