Как обезопасить компанию от утечек персональных данных сотрудников, клиентов и партнеров?

Как обезопасить компанию от утечек персональных данных сотрудников, клиентов и партнеров?
Давно уже не было в нашем корпоративном блоге сугубо практических постов. Что ж, давайте попробуем хотя бы немного, но исправить ситуацию и поговорим о благодатной для всякого безопасника теме - персональных данных.
Данные о клиентах и партнерах – святая святых любой компании, которая мало-мальски дорожит собственной репутацией. В то же время, эти данные представляют значительный интерес для конкурентов, журналистов и прочих лиц, которые не должны иметь к ним доступа. Всё это создает благоприятную почву для сотрудников, желающих подзаработать на перепродаже закрытых корпоративных данных третьим лицам.
Отдельно стоит отметить необходимость защиты персональных данных клиентов. Эта защита не просто является законодательным требованием – её необходимость продиктована той ролью, которую сегодня играют персональные данные в жизни общества и каждого человека. С помощью одних только персональных данных мошенники имеют возможность получить доступ к электронной почте и другим информационным ресурсам человека, а также к его банковским счетам. Особенно опасны утечки персональных данных из финансовых организаций: банков, страховых компаний, коллекторских агентств, поскольку их базы содержат исчерпывающую информацию, необходимую для осуществления мошеннических операций.
Пожалуй, ничто так не вредит репутации компании, как утечка персональных данных клиентов, многие из которых после подобных инцидентов оказываются для неё безвозвратно потерянными. Среди них могут оказаться и крупные клиенты, уход нескольких из которых серьезно подорвет позиции компании на рынке. Впрочем, при утечке данных о корпоративных клиентов исход, как правило, аналогичен: многие из них предпочитают уйти к конкурентам, лучше справляющимся с защитой своей информации. Партнеры компании, как правило, также весьма щепетильно относятся к разглашению своих данных, и поэтому утечка информации может стать причиной расторжения многих договоров с ними.
Утечка данных о клиентах и партнерах может являться как случайной, так и преднамеренной, т.е. некоторые сотрудники могут специально передавать эту информацию за пределы организации. К счастью, сегодня у компаний есть возможность одинаково эффективно противостоять и халатности сотрудников, и их злому умыслу с помощью специальных средств защиты от утечек данных, например, таких, как «Контур информационной безопасности SearchInform».
Проводить мониторинг утечек данных о клиентах и партнерах компании целесообразно по названиям соответствующих организаций с использованием простого фразового поиска. Для этого нужно создать алерт, в котором в качестве запроса указать список основных партнеров и клиентов организации. Имеет смысл проводить подобный мониторинг для всех без исключения каналов передачи информации, хотя такой подход и увеличивает нагрузку на сервер, поскольку интерес представляют не только факты передачи документов, связанных с клиентами или партнерами, за пределы организации, но и обсуждение ключевых клиентов и партнеров сотрудниками по Skype, ICQ и т.д. Эти обсуждения могут иметь также важное значение для обеспечения информационной безопасности компании.
Для отслеживания персональных данных клиентов можно воспользоваться советами по борьбе с утечками персональных данных сотрудников компании.
В случае обнаружения случайной непреднамеренной утечки, как и при большинстве других инцидентов, связанных с нарушениями политик информационной безопасности, лучше всего провести с сотрудником разъяснительную беседу и инструктаж. А вот в случае преднамеренной передачи закрытых данных за пределы компании необходимо инициировать расследование и поднимать вопрос о гораздо более серьезных санкциях по отношению к виновному.
Р. Идов,
ведущий аналитик компании SearchInform
Alt text

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.