Защита конфиденциальной информации в IT компании
В деятельности IT компаний понятие «конфиденциальность» может иметь много граней, а поэтому вопрос защиты конфиденциальности также является многогранным. В процессе деятельности Вашей компании важно не допустить разглашение уникальной клиентской базы или взлома серверов, может возникнуть необходимость сохранять в тайне информацию о проекте, который только разрабатывается, но который взорвет рынок и т.д. Поэтому понимание путей и способов защиты конфиденциальной информации Вашей компании является одним из основных залогов ее успешной деятельности.
Зачем серьезно подходить к вопросу защиты конфиденциальной информации?
Сохранение внутренней информации IT компании в тайне выгодно для каждого бизнеса ввиду нескольких довольно очевидных причин:
- Конкурентное преимущество: еще Ротшильды сказали, что тот, кто владеет информацией – владеет миром. Если у Вас появилась идея революционного проекта или невероятного технологического решения, вряд ли Вы захотите, чтобы о нем узнали Ваши конкуренты. Хранить в тайне информацию о проектах, корпоративной культуре, методиках подбора персонала и т.д. – значить всегда иметь козырь в рукаве.
- Ценность конфиденциальной информации: особенно в случае с IT компаниями, стоимость информации или данных, которыми они владеют (клиентская база, уникальный софт, алгоритмы работы и т.д.) может во много раз превышать стоимость их материальных активов (офисное помещение, оборудование, техника и т.д.). В случае разглашения клиентской базы или информации о грядущем проекте потери компании в моменте могут быть колоссальными, не говоря о потерях в перспективе.
- Работа с иностранными клиентами: в своем большинстве, клиенты отечественных IT компаний находятся за рубежом – США, Европа, Великобритания и т.д. С одной стороны, зарубежные контрагенты ценят, когда бизнес ведется четко, правильно, надежно и в полном соответствии с законом (что включает в себя отлаженные механизмы защиты информации). С другой стороны, при работе с иностранными клиентами вы получаете в распоряжение их секреты, их информацию, а поэтому становитесь ответственными уже не только перед самими собой, но и перед клиентами. Поэтому для спокойного сна по ночам нужно иметь надежную систему защиты.
- Требование законодательства: самая банальная, но из-за этого не менее важная причина – требования законодательства. Законодательство каждой страны устанавливает свои собственные, но неизменно строгие и конкретные обязательства по защите конфиденциальной информации и персональных данных. Если Ваша компания не будет их соблюдать – Вы запросто можете оказаться в суде лицом к лицу с представителями госорганов или клиентом/заказчиком, с конфиденциальной информацией которого случилась неприятность.
Как IT компаниям защищать конфиденциальную информацию?
Прежде всего, Вам следует определить, что же в компании является этой конфиденциальной информацией. В каждой компании есть как стандартные категории такой информации (например, размер заработной платы, условия работы, построение бизнес-процессов и т.д.), так и специальные категории, которые зависят от деятельности компании (например, для тех, кто арендует помещение – система паролей и доступов; для тех, кто занимается размещением онлайн-рекламы – алгоритмы поиска паблишеров и рекламодателей и т.д.).
Как только Вы определились с этим и составили исчерпывающий перечень информации, которая является конфиденциальной, Вам нужно прибегнуть к 2 видам защиты, которые должны осуществляться неразрывно друг от друга.
Первый вид защиты – документальный. Он заключается в необходимости закрепить все Ваши принципы, решения, правила, способы защиты и т.д. на бумаге. Это должно включать в себя следующие действия:
- Составление и подписание соглашения о неразглашение конфиденциальной информации (NDA) с каждым из сотрудников, клиентов, инвесторов, поставщиков, подрядчиков, контрагентов и т.д. Для душевного спокойствия, NDA стоит подписывать даже со стажерами и посетителями, так как они тоже могут, случайно или нет, получить доступ к конфиденциальной информации.
- Составление Положения компании о защите конфиденциальности. Требование к наличию такого документа зачастую устанавливается законодательством для компаний, которые работают с сотрудниками по трудовым договорам. В тоже время, для компаний, которые работают по схеме договоров с подрядчиками, составление такого документа также может быть выгодным. С каждого сотрудника должно быть взято письменное обязательство, в котором сотрудник указывает, что ознакомился с текстом Положения и обязуется не нарушать его нормы.
- Составление внутренних процедур обращения с конфиденциальной информацией. Эти документы будут сугубо внутренними документами IT компании. Они должны регламентировать порядок и правила доступа к конфиденциальной информации; ее пересылки; доступа к ней третьих лиц; перечень сотрудников, которым разрешено доступ к той или иной информации; алгоритм действия в случае нарушения защиты конфиденциальной информации и т.д.
Для составления этих документов IT компании следует обратиться к профильной юридической фирме, которая бы проконсультировала компанию по этому вопросу, провела анализ ее уровня защити конфиденциальной информации и составила необходимые документы.
Второй вид защиты – технический. Он заключается в необходимости реализовать на деле все Ваши решения и планы. Это должно включать в себя следующие действия:
- Определить, кто имеет доступ к конфиденциальной информации на данный момент. Это позволит Вам понять, в каком масштабе нужно внедрять защитные алгоритмы, какие места в вопросе защиты являются наиболее уязвимыми и т.д. Одним из самых распространенных подходов является решение не давать полного доступа к конфиденциальной информации никому, в том числе – IT-специалистам.
- Установить контролирующее ПО. Всегда важна не только оценка рисков, но и дальнейший мониторинг. Поэтому после анализа ситуации с доступом к конфиденциальной информации необходимо контролировать, кто и как пользуется, пересылает, изменяет, дополняет, удаляет, просматривает и т.д. эту информацию. Также, в случае любого нарушения системы защиты такая информация и аналитика будет на вес золота.
- Внутренняя система для работы и общения сотрудников. Создание корпоративного таск-менеджера и чат-системы между сотрудниками хорошо тем, что, во-первых, это позволяет на 99% обеспечить оборот и передачу конфиденциальной информации только внутри таких корпоративных систем, а не через открытые источники (например, Telegram, Facebook и т.д.), а во-вторых, собирать данные о любой операции с конфиденциальной информации на случай возможного нарушения ее защиты.
- Пароли. Убедитесь, что доступ ко всему и вся находится под защитой. Криптографическое шифрование ПК, пароли доступа к папкам с конфиденциальной информацией, личные пароли доступа в корпоративную систему для каждого сотрудника и т.д. – все это является очевидно необходимым, а также позволяет собирать данные о доступе к конфиденциальной информации, которые могут пригодится для аналитики.
- Система защиты от кибератак. Такая система базово может включать в себя превентивные средства защиты, процедуру резервного копирования конфиденциальной информации, прописанный алгоритм действия в случае кибератаки или другого нарушения защиты конфиденциальной информации и т.д.
Отдельным меры могу понадобится IT компаниям, которые снимают большие офисы. Для таких компаний разумным будет установить обязательную уровневую систему доступа к помещениям (вход-отделы-кабинеты), иметь систему видеонаблюдения, службу охраны, защищенную Wi-Fi сеть и т.д.
Итоги
В общем и целом, защита конфиденциальной информации – это не вопрос пяти минут. Скорее, это можно сравнить с поддержанием спортивной формы: этим нужно заниматься постоянно, методично и с умом, а даже самый короткий перерыв может привести если не к необратимым последствиям, то к довольно серьезным потерям.
Также, не стоит забывать, что это должно быть комплексным процессом. Подписать со всеми сотрудниками договора без внедрения реальных механизмов обеспечения конфиденциальности или наоборот – разработать и внедрить хорошую систему и алгоритмы защиты информации, работая без документов «под честное слово» — любой из таких вариантов не будет работать. Машина без двигателя, по большому счету, бесполезна, как и двигатель – без машины.
Поэтому заботьтесь о конфиденциальности и будьте образцовой IT компанией.