Когда-то деньги были материальными, обеспечивались золотом и серебром и одна золотая монета стоила ровно того, чем являлась - одной золотой монеты. Со временем мир изменился и теперешние деньги обеспечиваются не золотом, а стабильностью экономик и доверием людей.
Структура стоимости компаний в современном мире также меняется. Большую ценность приобретают нематериальные активы: патенты и любая интеллектуальная собственность. Кроме этого, все более существенную долю в стоимости компаний начинают занимать такие уж совсем неосязаемые вещи, как социальный капитал и репутация.
В 2012 году было проведено исследование, которое показало, что около 26% стоимости 500 крупнейших мировых компаний из корзины индекса S&P 500 заключалось в их репутации. Чем крупнее становится компания, чем выше ее амбиции, тем важнее для нее репутация и социальный капитал. Именно они позволяют удерживаться и продвигаться в высококонкурентной среде.
В том же 2012 году Мировой экономический форум опубликовал результаты исследования глобальных рисков. Они были разделены на несколько категорий, и в категории технологических самыми значимыми оказались риски кибератак и массовых краж данных.
И это вполне логично, так как компании все больше цифровизуются. Как сказал когда-то Билл Гейтс: либо ваш бизнес есть в интернете, либо у вас нет бизнеса. Сейчас все пошло гораздо дальше. Практически любая крупная компания превращается в IТ-компанию в том смысле, что доля ресурсов, затрачиваемых на создание и поддержание информационной инфраструктуры и информационных продуктов, становится очень ощутимой. Кроме того, большие компании имеют дело с большими данными и часто эти данные конфиденциальны. Ничего удивительного, что информация интересует злоумышленников.
Связь утечек с репутационными рисками прямая. Если компания допускает компрометацию конфиденциальных данных, репутационный урон приходится закрывать крупными деньгами, и последствия могут длиться годами.
Американская компания Equifax подверглась хакерской краже данных, в которой США обвинили нескольких китайских военных. После инцидента акции компании рухнули со 140 до почти 90 долларов. Было ли это прямым результатом кражи? И да, и нет. Акции рухнули из-за того, что репутация компании как надежного поставщика услуг была поставлена под сомнение, и некоторые инвесторы предпочли избавиться от ценных бумаг Equifax.
Защита информации как часть управления рисками
Результатами утечек становятся судебные разбирательства, штрафы и выплаты пострадавшим сторонам. Помимо этого, в результате утечки, неважно по чьей вине она произошла, всегда страдает репутация, и компании становится труднее привлекать новых клиентов и партнеров (если вообще это остается возможным), как минимум возрастает стоимость привлечения нового клиента.
Между некоторыми видами рисков трудно провести четкую границу, и программы управления ими сильно пересекаются. Информационные риски тесно связаны с репутационными и, как следствие, мероприятия по усилению информационной защиты также могут входить в программу снижения репутационных рисков.
Когда речь заходит об информационной защите, большинству людей на ум приходят образы хакеров, атакующих базы данных. Это внешние угрозы, для защиты от них компании используют и постоянно обновляют аппаратные и программные методы, а также внедряют политику безопасности для сотрудников.
Значительная часть информационных угроз не внешние, а внутренние. Кражи и утечки чаще всего, около 80% случаев, происходят по вине сотрудников. Даже для внешних атак злоумышленникам нужно узнать доступы, пароли или другую информацию, которая поможет обойти защиту, от кого-то внутри компании.
Недобросовестный сотрудник приносит большие проблемы. С точки зрения руководства в краже или утечке может быть виноват он один. Но ответственность несет вся организация. Для публики тем более не имеет большого значения, кто слил их персональные данные, страдает репутация всей компании. От этого защищаются как могут. На ум приходит каноничное "это не наш сотрудник, он был уволен две недели назад".
Можно вспомнить историю не из бизнеса, но точно один из самых ярких инцидентов - шпионские приключения Эдварда Сноудена. Если абстрагироваться от этической стороны ситуации, то он совершил классическую кражу информации, осуществил инсайдерскую деятельность. Но для многих Сноуден герой, а вот репутация ЦРУ пострадала сильно.
Мы задали вопросы, можно ли избежать утечек и выявлять недобросовестных сотрудников до того, как станет поздно, Владимиру Кадыко, техническому директору компании "Тэксод Технолоджиз", которая разрабатывает систему защиты информации SecureTower.
"Основная задача систем, обеспечивающих информационную безопасность, - вычислить нарушителя и предотвратить злонамеренные действия. Для этого используются разные методы и способы, например, для контроля корпоративной информационной среды применяются DLP-решения. Они следят за тем, какие данные хранят и передают сотрудники компании. Задача такой системы сделать так, чтобы злоумышленник не смог незаметно скопировать данные или отправить их по Сети. Программа тут же обнаружит такие действия, заблокирует их и пришлет уведомление офицеру безопасности.
Помимо утечек есть и другие аспекты, за которыми стоит следить. К примеру, полезно контролировать качество клиентского сервиса, корректно ли персонал общается с клиентами. Для этого систему можно научить реагировать на слова, которые можно расценить как грубые, хамские. Так же можно контролировать, обсуждают ли сотрудники с кем-то посторонним проблемы компании, общаются ли с конкурентами, упоминают ли конфиденциальные сведения в личных переписках.
Вот совсем свежий пример. В США арестовали сотрудницу Министерства обороны за то, что она передала информацию об агентурной сети представителю другого государства. В ходе расследования проверили логи посещения ресурсов с ее компьютера и обнаружили, что она обращалась к секретным файлам. У нее был доступ, но не было никакой рабочей необходимости обращаться к этим данным. Если бы там, где она работала, была налаженная система мониторинга, то о подозрительной активности стало бы известно гораздо раньше и кражу можно было бы предотвратить.
Чаще всего злоумышленники или просто неаккуратные сотрудники оставляют цифровые следы, признаки, по которым их можно вычислить. Большинство из них выдают себя задолго до того, как произойдет инцидент, конечно, если вести контроль и знать, на что обращать внимание. Как говорят медики, намного лучше предотвратить, чем лечить".
Заключение
Многие компании предпочитают тратить деньги на предупреждение инцидентов, а не на их устранение. DropBox выплачивает награды белым хакерам - легальным умельцам взламывать информационные системы, которые находят уязвимости в продуктах компании. Выплаты разные - от 216 до 32 000 долларов, но в сумме компания потратила на эту деятельность уже больше миллиона долларов. Руководство рассудило, что эта сумма ничто в сравнении с потерями, которые понесет компания, если уязвимости найдут реальные злоумышленники. Для компании, предоставляющей услуги облачного хранилища, смерти подобно потерять репутацию надежного провайдера.
Информационные технологии все плотнее входят в жизнь компаний и их клиентов. С каждым годом количество производимых и обрабатываемых данных растет темпами, которые уже сложно представить. И одновременно с ростом количества данных растет их ценность. Именно поэтому управление репутационными рисками идет рука об руку с работой по совершенствованию информационной безопасности.
Материал взят с сайта belta.by