Как защищать ценную информацию компании

На какие вопросы Вы найдете ответы в этой статье:

Соблюдайте правило фрагментирования информации о маркетинговых акциях. Ваша задача – сделать так, чтобы каждый сотрудник знал о планах лишь столько, сколько ему нужно для выполнения своих функций, а полная информация была известна только нескольким людям. Тогда у сотрудников не будет возможности проболтаться.

Внедрите в компании систему конвейерных продаж. Разделите работу с клиентами как минимум на три стадии (привлечение потребителей, заключение сделки, конверсия покупателей в постоянных клиентов) и закрепите за каждым менеджером одну из этих стадий. При переходе на следующий этап клиент передается другому менеджеру. Тогда данные потребителя не станут собственностью менеджера.

Используйте средства технической защиты. Наибольший риск утратить информацию о клиентах существует в компаниях из сфер бизнеса с низким порогом входа на рынок и основными продуктами в виде нематериальных активов (изыскания, проекты, экспертизы, консалтинг). Пример – event-менеджмент, в котором каждый менеджер по продажам контактирует с клиентами и обладает собственной базой ключевых заказчиков. Но если его клиентская база (пусть и без участия сотрудника) перекочевывает к конкурентам – налицо недоработка в системе защиты коммерческой информации. Чтобы такого не происходило, можно установить систему предотвращения утечек информации, например DLP (англ. data loss prevention, data leak prevention). Она распознает и классифицирует информацию в объекте (например, в сообщении электронной почты, файле, приложении), который хранится в памяти компьютера, используется или передается по каналам связи. DLP позволяет динамически применять к этим объектам разные правила, начиная с передачи уведомлений и заканчивая блокировкой.

Установите в компании системы слежения. Для контроля действий сотрудников можно использовать видеонаблюдение, систему проверки телефонных разговоров, мониторинг активности в Интернете, контроль нерабочих мест, таких как курилки и кухня. Главное – правильно преподнести новость об этом. К примеру, можно объяснить, что проверка будет вестись не с целью наказать, а чтобы принять справедливое решение в сложных ситуациях. Также не стоит говорить, что электронная почта будет просматриваться, лучше объяснить работникам, что в целях утечки конфиденциальной информации руководство может контролировать входящие и исходящие сообщения. Но чтобы полностью избежать проблем с законом, предупредите сотрудников о системе слежения не только устно, но и письменно – с личной подписью работника о согласии.

Одновременно в правилах внутреннего распорядка упомяните о конкретной системе слежения и ее задачах (например, мониторинг интернет-трафика, адресов электронной почты) с обоснованием производственной необходимости ее внедрения.

Установите правила работы с почтой уволенных сотрудников. Приведу пример. Случай реальный, поэтому компании, о которых пойдет речь, назовем просто А и Б. Между учредителями компании А произошел конфликт, его удалось решить мирным путем, но в результате из состава учредителей был выведен и уволен один из руководителей. Все хорошо, все довольны. Уволенный создал компанию (назовем ее Б), в которой одно из направлений деятельности (оказание услуг) совпадает с деятельностью компании А. Проходит несколько месяцев. Один производитель автомобилей, пользовавшийся услугами компании А, объявляет тендер на этот вид услуг и высылает приглашение принять участие в тендере своему куратору из руководства компании А на корпоративный адрес. Этим куратором как раз и был уволенный компаньон.

Халатность сотрудников компании А (доступ уволенного работника к корпоративной почте не был закрыт, а клиент, которого он вел, не был поставлен в известность об увольнении куратора) дорого обошлась ее владельцам. В итоге контракт достался компании Б.

Проводите мероприятия прикрытия. К ним надо прибегать, если Вы поняли, что конкуренты собирают информацию о Вашей компании. Например, руководитель компании или директор по маркетингу может дать интервью профильному изданию. В это интервью надо включить дезинформирующие конкурентов сведения. То же самое можно сделать через интернет-ресурсы. Иногда помогает обнародование сведений сразу по нескольким темам – кто знает, какие из них рабочие?

Объявления о наборе сотрудников на новые направления давайте обезличенно. На секретные пока проекты персонал лучше искать через кадровые агентства. Если такой возможности нет, давайте объявления без указания названия компании.

Подписывайте с сотрудниками соглашение о коммерческой тайне. Однако, чтобы это работало, на предприятии должен соблюдаться режим коммерческой тайны.

Отдачу от проекта по защите информации рассчитывают по формуле:

где Вдо – вероятность нежелательных событий до внедрения мер по защите информации, Впосле – вероятность после внедрения, П – потери, О – отдача на проект.

Если стоимость проекта выше отдачи, то реализовывать его не стоит (иногда можно просто застраховаться). Сделав расчеты, выбираем первоочередные проекты (с наибольшей отдачей). Приведу простой пример.

Вероятность отказа сервера электронной почты на один день составляет 1%. Эффективность работы нашей компании без электронной почты снижается на 50%.

Обороты компании – 150 млн руб. в год.

Потери от отказа электронной почты составят 750 000 руб. в год:

150 000 000 × 50% × 1% = 750 000 руб.

При наличии в компании резервного комплекта серверов вероятность отключения почты на день составит 0,1%. Второй комплект серверов, работающих в резервном режиме, обойдется нам в 100 тыс. руб. в год, а расходы на их обслуживание – еще в 120 тыс. руб. в год. Таким образом, отдача на проект составит:

(1% − 0,1%) × 50% × 150 000 000 руб. = 675 000 руб.

Стоимость резервного комплекта (220 000 руб.) меньше, чем отдача от проекта (675 000 руб.). То есть отдача составит чуть более 300% (675 000 : 220 000 × 100%). Вероятно, такой проект стоит реализовать.

Но полагаясь на финансовые расчеты, не стоит терять здравый смысл. Так, один из менеджеров крупной компании получил повышение за реализацию системы, препятствующей выносу носителей информации (дискет, CD и DVD) из офиса. То, что любые данные можно было отправить по e-mail, никого не обеспокоило.