Презентации Apple начинаются задолго до даты их проведения. Происходит это отнюдь не по инициативе компании — многочисленные посредники, имеющие доступ к процессу производства, не упускают шанс рассказать о попавшей им в руки новинке. Вероятно, их не останавливают соглашения о неразглашении и надзор служб безопасности Apple . решил узнать, как обезопасить компанию от утечек информации.
Защита информации в современных реалиях – комплексный процесс, который включает в себя как административную работу со стороны служб безопасности компаний, так и технические средства.
В крупных компаниях обязательно подписывается соглашения о конфиденциальности и неразглашении (NDA) со всеми сотрудниками. Подобные соглашения предполагают штрафы, вплоть до увольнения. «Обязательным атрибутом является перечень этой самой конфиденциальной информации, оформленный в виде внутренних приказов, сведения о которых доведены до всех сотрудников компании. Естественно, этот перечень должен довольно часто актуализироваться, ведь в любой крупной и даже средней компании информация меняется каждый день», — рассказывает Александр Ковалев, заместитель генерального директора компании Zecurion. Например, в пресс-службе Mail.Ru Group рассказали , что подобный документ подписывают все сотрудники и подрядчики:
Наши сотрудники и подрядчики подписывают NDA, который включает в себя как базовые вещи, которые помогают человеку сориентироваться — что в принципе является коммерческой тайной, что нет, в какой момент и как мы раскрываем информацию для всех, так и обязательства, связанные с конкретными проектами.
NDA нельзя называть 100% гарантией на все случаи жизни. Обстоятельства меняются, постоянно появляется новая информация и предусмотреть все невозможно. Поэтому мы объясняем всем новичкам, на что нужно обратить внимание в случаях работы с информацией и к кому можно обратиться за советом, в случае сомнений.
Венчурный инвестор Александр Журба на своей странице в Facebook высказал сомнение в полезности NDA. По его словам, подписание соглашения о неразглашении не дает защиты — необходимо определять надежность людей на уровне интуиции.
Александр Журбавенчурный инвестор
Очень часто предприниматели хотят, чтобы инвесторы, агенты или консультанты подписывали соглашение о неразглашении (NDA). Якобы эта бумага, где написано, что мы ничего не рассказываем про бизнес и наши отношения третьим лицам, защитит их самих и их бизнес от злых конкурентов, злых духов и гриппа, а в случае, если кто-то ослушается — позволит его засудить и скомпенсировать полученные убытки.
В реальности:
- Про любую интересную сделку известно на рынке через неделю-две.
- Деньги быстрее (и вообще, в принципе) привлекают те, кто упрощают процедуру контакта и фильтруют на уровне интуиции ***** (безответственный) человек или нет (очень ценный навык, кстати). Тем более что отправив четыре-пять презентаций разным людям происходит пункт 1. Особенно, если кто-то реально заинтересован получить эту информацию.
- За семь лет в отрасли я ни разу не слышал, чтобы кого-то хоть как-то коснулось судебное разбирательство о разглашении информации.
Я никогда не подписываю NDA со стартапами и при первом контакте с любым бизнесом — практика показывает, что в 99% случаев это приводит к потере времени и скорее говорит о том, что та сторона и процессы инвестсделки не понимает, и в принципе работа будет идти крайне медленно.
Не обманывайте себя: единственной защитой от утечек действительно важной информации является репутация и порядочность получателя информации, а также опережение вами рынка на год-полтора, а никак не документ, по которому вы заколебаетесь судиться и доказывать ущерб.
Специалисты по безопасности отмечают, что само по себе NDA не может обеспечить сохранность данных. «Эффективное выполнение NDA будет лишь в том случае, если у владельца информации будет реальная техническая возможность отследить утечку и при необходимости доказать вину подрядчика», — считает Владимир Ульянов, руководитель аналитического центра Zecurion.
Специалисты служб безопасности в крупных организациях каждодневно наблюдают за движением информации, поведением сотрудников и обеспечивают сохранностью и конфиденциальных данных.
Александр Ковалевзаместитель генерального директора Zecurion
Делается это с помощью специализированных DLP-систем, которые в автоматическом или полуавтоматическом режиме контролируют все данные, которые пересекают периметр сети организации – распечатываемые документы, записываемые на флешки файлы, отправленные письма, сообщения в социальных сетях.
DLP-системы позволяют офицерам безопасности смотреть все, что делает пользователь, и блокировать нежелательную активность или утечку, допустим, базы клиентов. При этом сами по себе такие системы без профессионального безопасника не очень эффективны, поэтому в штате крупных компаний часто можно встретить, грубо говоря, внутренних следователей – бывших сотрудников МВД, ФСБ и других силовых ведомств.
Эксперты отмечают, что невозможно обеспечить безопасность информации только одним способом. Так, обучение сотрудников эффективно для повышения осведомлённости по вопросам информационной безопасности и предупреждения случайных утечек. Но если при этом в компании отсутствуют технические средства контроля информации, утечки всё равно будут происходить. «Примерно то же самое можно сказать и по поводу NDA», — считает Ульянов. По его мнению, DLP-системы контролируют информацию на этапах хранения, перемещения и обработки и эффективны при выявлении случайных и преднамеренных утечек и не могут дать 100% гарантию:
Никакая, даже самая совершенная система не сможет гарантировать 100% результат в силу технических особенностей
About the author