Информационная безопасность, NDA и пользователи
Информационная безопасность в компании — вещь нужная. Вдруг инновации конкурент украдет? Да ладно б инновации, а как же персональные данные, которые почти как 3 года нужно пристально охранять? Закон о защите персональных данных сильно подогрел интерес к теме информационной безопасности. ИТ-руководители даже в небольших компаниях теперь вынуждены прибегать к услугам консультантов (либо нанимать таковых в штат). Короче говоря, поставщики решений счастливы.
А теперь вопрос в зал. Где находится основная угроза информационной безопасности компании? Вирусы-трояны? VPN? Firewall? На самом деле, я уверен, все дали правильный ответ. Основная угроза находится между монитором и креслом. Сотрудники компании — самое слабое звено. И чтобы это звено хоть как-то укрепить, чтобы у этого звена язык не болтал налево и направо обо всяком, придумали интересный документ: соглашение о неразглашении. На самом деле, с учетом всепроникающей социализации, в последнее время начал появляться документ, называется который везде по разному, но суть его в том, что он регламентирует правила и политики раскрытия сотрудниками информации о компании в социальных сетях. Ну т.е. чтобы не было у секретарши Людочки в одноклассниках указан работодатель ООО “Вектор +”, а она при этом в своем статусе не писала “Ой блин, опять зарплату задерживают :..(”. Кстати, ситуация для работодателя не из приятных, особенно если речь идет не об ООО “Вектор +”, а о публичной компании. Но суть не в этом, рассказать я хочу об интересной ситуации, которая произошла со мной на прошлой неделе.
На прошлой неделе в Москве, как всегда неожиданно, вдали морозы. Не сказать что сильные, но аккумулятор в моей небесной колеснице на утро обиделся и отказался сотрудничать. А так как я живу в загородном доме в подмосковном городе, добираться решил электричкой. На удивление электричка была свободной и я смог сесть (надо признать, что ехать до метро минут 10). Рядом со мной ехала женщина серьезного вида, лет 45. И вот у неё зазвонил телефон. Звонили, видимо, с работы. Из разговоров я понял, что женщина — главный бухгалтер, на работе какие-то проблемы с 1С, а она довольно таки серьезно подкована (для бухгалтера) в технологической составляющей вопроса. И вот, когда бухгалтер окончательно поняла, в чем проблема у её подопечных и нашла решение, она начинает диктовать это решение на весь вагон:
— “Я поняла в чем дело. Значит так. Заходишь удаленкой (речь, видимо, об удаленном доступе) на сервер по адресу xxxxxx, пользователь xxxx пароль xxxxxxx... (далее ещё какие-то инструкции, которые я не запомнил)”.
Я конечно понимаю, что на этот сервер, наверное, можно зайти только из локальной сети, что в электричке вряд ли найдутся участники промышленного шпионажа и вообще, может быть, на сервере ничего интересного и не лежало. Но ситуация мне запомнилась.
А что делать в подобных ситуациях? Вопрос не только про смекалистую бухгалтершу. По соц. сетям тоже можно информации о компании и её сотрудниках наскрести более чем достаточно. Всего не зарегламентируешь, да и регламенты мало кто соблюдает.
Есть ли у вас в компании документы, регламентирующие данный вопрос? Как они соблюдаются и контролируются?
Комментарии (6)
Комментировать[alexx88.myopenid.com], 21 февраля 2011, 22:48
Рубинштейн Кирилл [krubinshteyn], 22 февраля 2011, 12:06
Пархоменко Виталий [pva], 22 февраля 2011, 16:17
Никакие документы и инструкции, ясное дело, тут не помогут т.к. контролировать их исполнение практически невозможно, если только не устанавливать тотальный контроль за каждым сотрудником. Если человек захочет вынести информацию за пределы компании он это сделает в любом случае.. если не на флешке, то в своей голове, если и не специально, то по глупости, к сожалению.
Чижиков Владимир [Skif Swarogich], 23 февраля 2011, 00:36
Юсов Алексей [alexus], 26 февраля 2011, 01:29
Пока понимания целей ИБ нет в голове у топа, то с ИБ будет ... ну срифмуйте сами.
Чижиков Владимир [Skif Swarogich], 26 февраля 2011, 18:16