В России, как и во всём мире, цена утечки конфиденциальной информации очень высока, часто подсчитать прямые убытки в таких случаях невозможно и компаниям приходится платить не столько деньгами, сколько своей репутацией, а, как известно, репутацию не купишь ни за какие деньги. В Европейских и Американских компаниях уже давно поняли, что информацию, находящуюся внутри компании нужно строго контролировать и стараться по максимуму сократить возможные каналы утечек. Касательно российского бизнеса, можно сказать, что экономика России сейчас практически отошла от посткризисного синдрома и компании стали уделят всё больше внимания вопросам информационных технологий и в частности вопросам информационной безопасности.К бизнесу, наконец, пришло осознание того, что утечки конфиденциальной информации обходятся слишком дорого, и лучше заранее обезопасить себя отих возникновени.
А что было в кризис с ИТотраслью в целом и информационной безопасности в частности ?
По моему опыту общения с клиентами, в кризис до 80% бюджетов, выделенных на развитие и внедрение информационных технологий в компаниях, были заморожены, и многим специалистам в данной области пришлось искать новое место работы. Если анализировать рынок именно информационной безопасности, то он просел меньше всего. Что хотелось бы сказать по этому поводу: чему всё-таки нас научил кризис? Одной простой вещи, нужно экономить деньги и расходовать их рационально и эффективно. Моё мнение, что урезание ИТ бюджетов и сокращение специалистов как в данной сфере, так и в других это не панацея. Сейчас и в момент кризиса стало понятно, что при инвестировании средств в информационные технологии и,особенно в информационную безопасность компания получает возможность предотвратить существенные расходы, которые могут возникнуть в будущем (утечка конфиденциальной информации), а также повысить эффективность работы компании в текущем периоде, за счёт контроля действий и повышения эффективности работы сотрудников.
Исходя из этого, могу сказать, что продукты нашей компании получили особую популярность в момент кризиса ипродолжают набирать обороты в данный момент.
Не до конца понимаю почему? Если всей ИТ индустрии было плохо, то почему вам было хорошо?
Отвечу, потому что работа наших продуктов направлена на снижение таких существенных расходов как: Расходы при утечке конфиденциальной информации и расходы при нецелевом использование рабочего времени сотрудниками. Получается, что затратив средства на внедрение наших программных продуктов, компания избегает других расходов, тем самым экономя в несколько раз больше.
Давайте поподробнее остановимся на утечках конфиденциальной информации, тут, как я понимаю, идет речь об инсайдерах?
Утечки конфиденциальной безопасности можно выделить в две группы:
• Внешние (проникновение в информационную среду компании сторонних лиц)
Стоит отметить, что подобных утечек становится всё меньше. Для того, что бы получить доступ к информации внутри компании третьим лицам необходимо преодолеть массу преград: антивирусное и антишпионское ПО, межсетевые экраны (брандмауэры), хост-системы защиты информации ипрочее. Разработка троянов и компьютерных червей способных преодолеть подобные средства защиты стоит очень дорого и в России практически не используется.
• Внутренние (инсайдеры и непреднамеренная потеря данных)
Внутренних утечек в России становится всё больше и больше, сотрудники с лёгкостью могут как в момент работы, так и в моментувольненияпередать базу клиентов или любой другой конфиденциальный документ, уйдя с ним к конкурентам. Витоге работодатель может вообще не узнать, что данное действие было совершено, либо узнать об этом уже понеся существенные потери от недобросовестных действий сотрудника, но будет уже слишком поздно. Это один из типичных примеров внутренних утечек в России, очень распространенного как в момент кризиса, так и сейчас. Недобросовестную конкуренцию и подкуп сотрудников еще никто не отменял. Также большое количество утечек происходит по вине неопытных пользователей, действия которых никак не контролируются, как я уже говорил в начале нашего разговора, ущерб от таких действий может выражаться как в материальных потерях, так и снижении репутации компании.
Наши продукты направлены на контроль и предотвращение именно внутренних угроз, и позволяют снизить их вероятность путём контроля и ограничения доступа к информации.
А какие каналы утечки наиболее часто используются? Расскажите о наиболее популярных поподробнее.
Можно выделить несколько популярных каналов утечки:
- Электронные накопители. К этому пункту можно отнести любые подключаемые устройства.
- Электронная почта
- Различные интернет месенджеры (ICQ, Skype, Майл агент и прочее)
- Бумажные носители (печать на принтере)
- Социальные сети и многое другое
Я перечислил каналы утечек, которыми инсайдеры пользуются чаще всего, но не стоит забывать, что защита должна быть комплексной. Основной задачей наших продуктов является именно комплексная защита, включающая в себя полный контроль и ограничение всех действий сотрудников за компьютером.
Вторым пунктом затрат, а как следствие и снижение прибыльности производства, как раз и является нецелевое использование рабочего времени, о котором вы упомянули в самом начале. Что можно сказать по этому поводу?
По моему мнению и той информации, которой я располагаю, затраты на нецелевое использование рабочего времени это очень масштабная и важная проблема, так как она встречается повсеместно, а для Российских компаний это просто критичный вопрос.
В России среднее время, которые сотрудники используют на работе в личных целях8-14 часов в неделю, т.е.1-2 часа в день, и это минимальный прогноз. Из этого получается, что от 14-25% заработной платы работодатель тратит впустую!
Я не буду перечислять все те интернет ресурсы, на которые могут тратить своё время сотрудники, если сказать коротко, то этосоциальные сети, игры, видео, общение в чатах и форумах, интернет месенджеры и многое другое.
По моему мнению и той информации, которой я располагаю, затраты на нецелевое использование рабочего времени это очень масштабная и важная проблема, так как она встречается повсеместно, а для Российских компаний это просто критичный вопрос.
На западе сейчас активно забили тревогу по этому поводу. Подсчитав убытки, к примеру, для экономики Англии (данные представлены аналитической службой IT-компании Morse), больше половины всех сотрудников Англии проводят минимум 1 час в неделю в социальных сетях на рабочем месте, по словам Филиппа Викса, консультанта компании Morse, от таких действий экономика теряет минимум 1,38 млрд. фунтов стерлингов в год.
Если брать данные хотя бы по социальным сетям, как об одном из популярных ресурсов интернета, то ситуация следующая: учитывая русскую ментальность, а также данные компании ComScore, Россияне сейчас являются самыми активными пользователями социальных сетей в мире. Они тратят до 7 часов своего времени на общение в социальных сетях в неделю (американцы 3-3,5).
В России среднее время, которые сотрудники используют на работе в личных целях 8-14 часов в неделю, т.е.1-2 часа в день, и это минимальный прогноз. Из этого получается, что от 14-25% заработной платы работодатель тратит впустую!
Для российского рынка подобных расчётов нет, но если взять совсем уж условные числа, средняя заработная плата в месяц по стране 20 000 рублей, количество человек в компании примерно 20 и 25% из общего рабочего времени используется не по назначению. Исходя из этих простых параметров, можно сделать вывод, что порядка 100 000 рублей в месяц компания теряет из-за некачественной работы своего персонала, а если попробовать посчитать не только зарплату, выплачиваемую сотруднику, но и недополученные выгоды от потраченного впустую времени…. Цифра в 100 000 рублей может вырасти в несколько раз.
И что вы предлагаете делать с поглотителями времени?
Это очень тонкая и щепетильная тема, на которую есть много мнений с разных сторон. С одной стороны баррикады сотрудники компаний, с другой собственники. Для каждого предприятия нужно подбирать свою стратегию решения описанных мной проблем, которая должна строиться не только на тотальном контроле, но и на правильной мотивации. Нужно понимать одно, если у вас нет статистики по работе ваших сотрудников, если в вашей компании каждый делает что хочет, и нет контроля действий людей, а тем более операций с конфиденциальной информации, то добром всё это не кончится. Кто предупреждён, тот вооружен, старая добрая поговорка!
Можете привести какие-нибудь примеры, когда внедрение вашей программы принесло существенную пользу компании.
Таких компаний в сумме несколько тысяч в России и СНГ, наши продукты продаются с 2006 года. Мы не раскрываем имен наших клиентов без их согласия, поэтому я могу только сказать, что нашими клиентами являются ведущие предприятия практически всех секторов экономики: банковской сферы, промышленности, а также государственные предприятия.
Дмитрий, спасибо вам за содержательную и интересную беседу. В завершении нашего интервью, что бы вы порекомендовали руководителям и собственникам компаний для повышения их информационной безопасности?
Я хочу сказать, что вопросы безопасности сугубо индивидуальны для каждой компании, нужно обязательно учитывать специфику организации, чтобы понимать потенциальные каналы утечек, а также оценивать их степень влияния на функционирования бизнеса. Я бы порекомендовал обратиться к специалистам и описать, чего компания хочет от внедрения продукта и нужны ли ей дополнительные функции. Мы стараемся комплексно подходить к внедрению наших программных продуктов, и всегда учитываем все технологические и экономические особенности бизнеса наших заказчиков. На основе их уже разрабатываются конкретные решения, и составляется технико-коммерческое предложение по внедрению. Также хочу заметить, что перед внедрением нужно уделить много времени тестированию и настройке программных продуктов – это залог их правильной и бесперебойной работы в будущем.
Источник: