Усильте информационную безопасность деловой информации

Менеджеры вашей компании хорошо знают, что проработанная деловая информация (business intelligence, BI) является чрезвычайно важной и ценной. Знают это и менеджеры ваших конкурентов.

Однако деловая информация может быть как законной, так и не совсем. Только представьте, что может произойти, если вдруг такая, не совсем легальная BI, попадет в руки конкурентов. Чтобы избежать такой ситуации Gartner советует компаниям вновь перепроверить и усилить четыре основные области информационной политики.

Ценная, конфиденциальная информация

Специальная обработка BI приложений преобразовывает терабиты данных в ценную деловую информацию. Анализируя перехваченные данные, полученные из BI приложений, на работу вашей компании могут влиять недоброжелатели-конкуренты, ведь теперь у них появляется возможность  использовать в своих интересах новые возможности, понять стратегию развития вашей компании, следить за изменением бизнес-процессов, сверхоперативно реагировать на технологические новинки или даже самим получать патенты на ваши изобретения. Вследствие этого, недображелатели значительно повышают эффективность своей работы и конкурентоспособность своих услуг, а пострадавшая компания может даже разориться. Ниже приведены некоторые примеры особо важной информации, которая должна быть  надежно защищена:

• Контактная информация о клиентах, выполняемых трендах, и любая подобная бизнес-информация. Информация о технологических разработках и внедряемых новинках.
• Корпоративная финансовая отчетность, данные о резких изменениях стоимости ценных бумаг и расходах, так как эти сведения могут быть использованы при стратегическом планировании борьбы с вашей компанией.
• Информация использования Internet-сайта, включающая детальный анализ активности пользователей, структуре аудитории, ее количестве, подсчет просмотров страниц, и подобная информация о ваших посетителях.

Компании понимают преимущества использования  стратегических инициатив типа BI. В некоторых случаях BI становится  неотъемлемым способом  достижения успешной  работы предприятия. Использование BI способствует:

• Лучшему, по сравнению с конкурентами,  пониманию рынка.
• Быстрой адаптации к изменяющимся условиям бизнеса и, следовательно, появлению возможности использования этой информации в своих интересах.
• Созданию новых возможностей прибыли

BI данные, рассеянные раньше по различным структурам предприятия, теперь собираются в информационное хранилище или специальный центр данных, затем анализируются и представляются логическим образом. Такая информация  является крайне ценной, очень конфиденциальной и особо чувствительной для каждой компании.

Как уже было сказано выше, если эта информация попадет в руки конкурентов, то может произойти настоящая катастрофа для вашего бизнеса. Поэтому компании должны развернуть информационную политику защиты, и сделать изменения, используя комбинацию программного обеспечения и защитного оборудования, использовать лучшие защитные действия и методы управления, согласующиеся с их политикой.

Монопольное использование данных

BI данные, подвергшиеся специальной обработке, принадлежат, в конечном счете, владельцу компании, или, в случае корпорации, членам правления. На плечах этой команды лидеров лежит большая ответственность: они обязаны придерживаться определенных инструкций для соблюдения секретности, а также  определять надлежащие методы хранения и использования всех корпоративных данных. Данная группа должна следовать рекомендациям руководителей высшего уровня, а в случае необходимости привлечения внешних специалистов – экономистов, аудиторов и т.д. им необходимо определить важность и значимость данных и оценить возможность риска, связанного с возможной утечкой.

Корпоративная информационная политика безопасности

Многие компании  не делают необходимых изменений в своей корпоративной информационной политике безопасности. Политика должна способствовать  надлежащему использованию информации, полученной из основных данных и аналитических бизнес данных. Чтобы избежать возникновения проблем, связанных с использованием BI,  компании должны вновь перепроверить и усилить четыре основные области информационной политики:

• Идентификация
• Авторизация
• Конфиденциальность и секретность
• Внешний и внутренний аудит

Идентификация

Пользователи и приложения обязательно должны быть  идентифицированы,  их идентификаторы должны быть проверены до того, как они получают доступ к информационным активам. Если необходимо установить подлинность, пользуйтесь  различными комбинациями ниже приведенных способов:

• ID пользователя  или пароль
• Дополнительные средства идентификации (например, смарт карты и USB ключи)
• Использование открытых ключей для обмена информацией

Авторизация

Правильно авторизованные пользователи и приложения должны иметь доступ только к тем  IT ресурсам, на использование которых владелец информации дал письменное разрешение.

Необходимо строго регламентировать доступ:

• к корпоративным базам данных и местам хранения данных.
• к приложениям и инструментам, с помощью которых возможно испортить или проанализировать данные компании
• к результатам  аналитических данных в электронной и бумажной форме. Сюда также относится  доступ к системе, в которой сохранены конечные сообщения, типа личных папок и дополнительных электронных устройств.

Конфиденциальность и секретность

Активные действия, направленные на следование всем инструкциям местного руководства по соблюдению секретности является одним из корпоративных обязательств. Ведь информация, собранная для BI анализа и представляющая ценность для данной компании, может также содержать информацию клиента, которая защищена  законами. Конфиденциальность и секретность могут достигаться с помощью:

• Политики безопасности
• Шифрования
• Инструментов управления политикой (типа Tivoli Access Manager)

Важно понимать, что в случае BI, клиентом может быть другое предприятие, иначе говоря, торговый партнер, а не индивидуум или конечный потребитель. Информация, собранная от BI инициатив, может содержать информацию о прошлых трендах и стратегиях, сделанных и развернутых торговым партнером, а эта информация должна быть защищена, хотя бы ради соблюдения законов и выполнения  соглашений о неразглашении. Мы рекомендуем пересмотреть защитную политику так, чтобы она охватывала не только индивидуума, но также и юридическое лицо предприятия.

Рекомендуется проводить аудит и собирать детальную информацию о том:

• кто делает запросы в базы данных и хранилища данных?
• какую информацию можно получить по этим запросам?
• как  используется эта информация?
• кто является владельцем этой  информации?

Кроме того,  в некоторых случаях компании  должны иметь возможность вернуть свои системы управления данными к первоначальному состоянию, например, после проведения всех необходимых запросов база должна быть приведена к исходному состоянию. Политика,  диктующая обязанности и процедуры, для проведения  таких проверок, должна быть включена в общую политику информационной безопасности.

Основной смысл статьи

• Корпоративная информационная политика безопасности должна быть вновь перепроверена в  связи с внедрением BI инициатив.
• Если необходимо, элементы политики должны быть переписаны для гарантии прав и удовлетворения пожеланий владельца информации.
• Предприятия, работающие с BI, должны привлекать менеджеров по информационной безопасности для развития политики защиты информации, направленной против неумышленных или преднамеренных нарушений безопасности.