Оговоримся сразу: понять, что же на предприятии действительно является конфиденциальной информацией - не такая простая задача.
И компаний, которые представляют на рынке подобные услуги можно пересчитать по пальцам,
если не брать в расчет ретивых производителей средств защиты,
утверждающих, что их волшебное средство способно предотвратить любую утечку.
Прежде всего стоит составить перечень информации, которую ваша организация обязана защищать в соответствии с требованиями законов.
Затем стоит попробовать определить список информации, которая относится к коммерческой тайне.
Если хотите сделать это самостоятельно, то мы предлагаем составлять такой список итерационно:
на первом шаге обойти топ-менеджеров и руководителей всех структурных подразделений и спросить,
какая информация, по их мнению, не должна покидать пределов предприятия.
К список клиентов отнесут к конфиденциальным данным практически все.
Но если трезво взглянуть на конкретную организацию, можно убедиться,
что это далеко не всегда верно. Ведь многие компании сами вывешивают на своих сайтах
пресс-релизы о завершении удачных проектов или иным способом демонстрируют своих клиентов в общем доступе.
Конкретных контактных лиц клиента конкурент либо знает, либо легко выйдет на них через ресепшн клиента.
А вот украсть клиента конкурент часто может только вместе с менеджером по продажам.
с его физическим переходом в другую организацию, да и то не всегда.
После обобщения полученного списка его стоит коллегиально обсудить:
так мы перепроверим мысли отдельных людей общим собранием.
Параллельно стоит запустить и опрос высшего руководства на тему: «что ведет нас вперед».
Цель этого опроса - выявить бизнеспроцессы, которые обеспечивают компании превосходство,
позволяют сохранять стабильность и т. п. Затем нужно будет опросить участников этих процессов о том,
какая информация ими при этом используется и т. д.
Все эти действия в конечном итоге должны привести к появлению некоторого перечня действительно
конфиденциальной информации в масштабах данной конкретной организации.
После этого нам остается составить список людей, допущенных к этой информации,
а также список ресурсов, на которых эта информация располагается. Неужели мы готовы приступить к защите?
Нет. пока рановато. Вспомним, что безопасность состоит из трех компонентов: конфиденциальность, целостность и доступность.
Вопросы конфиденциальности мы обсудили, но ведь не меньший вред организации может нанести
не столько разглашение списка клиентов конкуренту (в конце концов наши продавцы с клиентами дружат крепче - они же наши клиенты),
чем, например, его случайное уничтожение.Все можно восстановить по памяти,
но на это уйдут силы, время, а что-то может и пропасть безвозвратно.