Итак, служба инфобезопасности банковской группы пришла к высшему руководству с предложением внедрить систему защиты от утечек. Дескать, пора бы подумать о защите наших информационных активов. Фактов на руках нет, но риски высоки. Да и ситуация вокруг неспокойная – в соседнем банке поймали менеджера на краже базы данных, бухгалтер другого банка приторговывал отчетностью. В общем, давайте действовать…
Владельцы отдельных бизнесов, которые входили в банковскую группу, инвестировать в проект из собственных бюджетов отказались. Мол, пусть глава компании из своего кармана платит. Тот, как мы уже упоминали, был настроен скептически: в компании все в порядке… а утечки у соседей, так у нас свой путь развития, нас не коснется. Пилотный проект, впрочем, благословил.
Воодушевившись, команда «безопасников» бросилась искать аргументацию, мерить потенциальный ущерб в деньгах. В общем, готовиться по всем стандартам. Определили цели и сроки, рассчитали бюджет, зафиксировали KPI. Поймали утечки данных – в общей сложности 20 тыс. записей. Распределили данные компании по категориям, оценили возможную утечку конкретных документов в деньгах (для чего привлекли менеджеров бизнес-подразделений). В общем, доказали, что беда в доме.
На итоговом совещании руководители бизнес-подразделений высказались похожим образом: все это очень важно, но денег нет. Даже если данные клиентов утекут и 100 человек закроют счета, мы дадим рекламу и привлечем 200.
Президент компании посмотрел, покивал, но проект заморозил. В сухом остатке – 10 месяцев работы сотрудников службы информационной безопасности, десятки совещаний с бизнес-подразделениями, готовая система оценки нематериальных активов и статистика, которая однозначно говорит: подавляющее большинство клиентов, которые закрыли счета из-за утечек их данных, были максимально лояльны банку. Даже консервативная оценка потерь давала чудовищные убытки, которые в разы превышали бюджет на внедрение системы защиты. За полгода мониторинга выявили интересную закономерность– от 3 до 10% клиентов, чьи данные банк «потерял», либо закрывают счет, либо уходят к конкуренту.
Продолжение следует…
