Информационная безопасность на защите репутации и бренда

Сегодня каждая компания заботится о собственной деловой репутации. Впрочем, в погоне за хорошим реноме они нередко забывают о тех, кто может сильнее всего «насолить», а именно, о собственных сотрудниках, распространяющих порочащие организацию сведения. К счастью, сегодня справиться с этой проблемой сравнительно несложно.

Неслучайно в судах рассматривается огромное количество исков, связанных с защитой деловой репутации. Суммы по ним бывают просто астрономическими. Так же неслучайно компании, владеющие самыми дорогими в мире брендами, имеют безупречную деловую репутацию. Ведь именно она является залогом рыночного успеха организации на протяжении целых десятилетий.

К сожалению, угрозы репутации компании исходят не только извне. Сотрудники, распространяющие об организации негативные сведения, могут навредить гораздо больше, чем даже самые недобросовестные конкуренты. При этом наказать работников за подобное поведение намного сложнее.

Каким именно образом может навредить сотрудник репутации и бренду собственной компании? Способов, на самом деле, немало. Основными являются распространение порочащих организацию сведений на различных сетевых ресурсах и кража конфиденциальных данных, которые затем попадают во всеобщий доступ. Во втором случае, даже если широкая общественность не увидела похищенную корпоративную информацию, возможны негативные последствия для компании из-за обнародования самого факта утечки.

На первый взгляд, эти проблемы кажутся надуманными. Ведь существует информационный вакуум: редкие организации следят за высказываниями о себе во Всемирной паутине, а об утечках информации не принято громко кричать. В таких условиях создается впечатление, что они опасны для западных компаний, а российские работодатели страдают от них достаточно редко. К сожалению, это не так.

Как говорит Роман Идов, аналитик компании SearchInform: «Не меньше половины российских компаний становятся жертвами противоправных действий сотрудников. Узнает об этом, в лучшем случае, только пятая часть. Остальные остаются в неведении о причинах оттока клиентов и срывающихся выгодных сделках при благоприятных, на первый взгляд, внешних условиях».

Очевидно, что лучше предупредить появление порочащих компанию сведений или утечку информации, нежели потом бороться с последствиями данных инцидентов. В первую очередь, это выгодно с экономической точки зрения. Ведь восстановление испорченной репутации — дело затратное, требующее проведения довольно дорогостоящих пиар-кампаний, которые далеко не всегда приносят ожидаемый результат.

Меры, необходимые для предупреждения утечек информации и предотвращения распространения сотрудниками порочащих организацию сведений, во многом схожи друг с другом. Защита корпоративных данных заключается в жестком контроле доступа к информации, которая способна нанести ущерб вашему предприятию самим фактом своего обнародования. К традиционным средствам защиты относятся мониторинг действий служащих с помощью специализированных систем, введение жесткого контроля всех каналов коммуникаций. Последние методы также эффективны в отношении распространяемых сотрудниками негативных сведений об организации.

Важно понимать, что использование только технических или только организационных средств защиты не обеспечивает защищенность компании от деятельности инсайдеров. Технические средства должны использоваться, чтобы контролировать соблюдение организационных мер. Основной же акцент должен быть именно на проработку организационных решений. Именно они определяют общую структуру системы защиты корпоративной информации и репутации компании.

Сотрудники могут публиковать сведения, порочащие организацию, на различных сайтах, в блогах, форумах, социальных сетях. Сообщения, оставляемые работниками на данных ресурсах, становятся доступными большой аудитории. В результате компания может понести заметные репутационные потери. Впрочем, не нужно думать, что риски для репутации и имиджа организации связаны только с публичными ресурсами. Работник может предоставить подобную информацию своим собеседникам в частном порядке, например, в переписке по ICQ или Skype.

Основными мотивами действий сотрудников, распространяющих сведения, порочащие компанию, являются обиды на руководство. Они могут быть связаны как с наложением на работника дисциплинарных наказаний, так и с «недооценкой» его труда. Как правило, сотрудники размещают негативную информацию о своем работодателе в состоянии эмоционального напряжения, связанного, например, с получением выговора от начальника. Довольно часто подобные сведения публикуются уволенными или уволившимися работниками, которые, уходя из компании, стараются «хлопнуть дверью» как можно громче, полагая, что окажутся безнаказанными. Такие сотрудники также нередко забирают с собой доступную корпоративную информацию. По их мнению, она является залогом успешного трудоустройства на новом месте и позволяет выделиться перед новым работодателем из множества других соискателей.

Мониторинг действий сотрудников целесообразно проводить с помощью DLP (Data Leak Prevention — предотвращение утечек данных) — систем, которые прекрасно справляются как с задачами предотвращения утечек конфиденциальных данных, так и с выявлением фактов распространения сотрудниками порочащих компанию сведений. Под DLP-системой понимают программный комплекс, который предотвращает утечки конфиденциальной информации по всем каналам передачи данных (Skype, ISQ и т.д.).

Каковы основные требования, которым должна удовлетворять DLP-система? На самом деле, их не так много, но каждое является важным:

• охват всех каналов коммуникации (Skype, ICQ, HTTP, e-mail и прочих);
• отслеживание записи информации на внешние носители (CD/DVD, «флэшки», внешние винчестеры), вывода ее на печать и передачи на другие компьютеры с помощью беспроводных соединений;
• возможность внедрить систему без необходимости обеспечения доступа сторонних специалистов к защищаемой конфиденциальной информации и без остановки деятельности организации во время внедрения системы;
• возможность выявления не только точных копий конфиденциальных документов, но и их измененных вариантов;
• ведение журнала действий каждого из пользователей;
• возможность введения различных групп пользователей с разными полномочиями доступа к информации.

Помимо этого, безусловно, необходимо учитывать стоимость внедрения и обслуживания DLP-систем. Если система удовлетворяет всем перечисленным выше требованиям, но при этом требует двадцать человек обслуживающего персонала, то вряд ли ее можно считать подходящей для компании.

В случае обнаружения распространения сотрудниками негативной информации, как и при большинстве других инцидентов, связанных с нарушениями политик информационной безопасности, лучше всего провести с сотрудником разъяснительную беседу и узнать мотивы его поведения, дав ему «испытательный срок» на исправление. В случае повторения инцидента поднимать вопрос о гораздо более серьезных санкциях по отношению к виновному, вплоть до увольнения.

Вадим СТАНКЕВИЧ