Як забезпечити інформаційну безпеку компанії. 4 поради від Arricano Real Estate

Світлана Ренькас, директор юридичного департаменту (резиденти) Arricano Real Estate Plc, взяла участь у міжнародному форумі, присвяченому захисту бізнесу, який відбувся 16 травня 2019 року. У форматі відкритого інтерв’ю на тему: «Augmented Reality інформаційної безпеки, або Як уникнути розкрадань корпоративної інформації» топ-менеджер Arricano відповідала на питання Віталія Сердюка, старшого партнера АО Aver Lex.

Світлана Ренькас вважає, що забезпечення збереження та протидія витоку корпоративної інформації — важливий напрям захисту бізнесу. «Інформаційна безпека та захист права власності на інформацію є важливою складовою будь-якого бізнесу, — зазначила вона та привела як приклад відомий кейс SkyMall, який почався з витоку конфіденційної інформації, - Наша компанія зіткнулася з розголошенням конфіденційної інформації ще на етапі створення холдингу. Відомий судовий процес почався з розголошення положень угоди при зміні акціонерів».

Також вона розповіла про два напрями, в яких необхідно забезпечувати захист від витоку інформації, — внутрішнього та зовнішнього — і привела в приклад наочні кейси превентивних заходів з інформаційної безпеки.

Чотири заходи, рекомендовані Світланою Ренькас, як захисні від розкрадань корпоративної інформації:

1. Обізнаність співробітників про те, яка інформація є конфіденційною і яка процедура роботи з нею.

У Arricano розроблений ряд процедур, які запротокольовано і закріплено в положенні. В результаті кожен співробітник, новий або існуючий, знає, що в компанії є комерційною таємницею, що є конфіденційною інформацією, з чого вони складаються, коли та хто повинен вести спілкування з зовнішніми організаціями, наприклад, із засобами масової інформації, з АКМУ, з державними органами, з контролюючими органами і т.і., хто відповідає на запити якого характеру. Кожен співробітник компанії підписує особисте зобов’язання про нерозголошення конфіденційної інформації, де знайомиться зі своїми правами, обов’язками та наслідками розголошення. Наприклад, якщо приходять запити від ЗМІ, все знають процедуру: кому цей запит повинен потрапити, хто відповідальний давати відповідь, в якому обсязі. Звичайно, в цій процедурі задіяні юристи.

2. Кібербезпека обов’язкова, адже можлива несанкціонована атака в IT-систему компанії.
У Arricano розроблена процедура та механізм парольного захисту. Паролі змінюються регулярно, на відміну від простих, незмінних, звичних, побутових. Після вірусу, який знищив бази даних багатьох компаній, у регулярно проходять тренінги, як працювати з листами, повідомленнями, які виглядають підозріло, і перевірки щодо виконання IT-безпеки. «Іноді IT департамент робить розсилки тестових листів, а потім збирає співробітників на нараду і розповідає, хто як поступив, хто відкрив лист, який вірус або шпигун там був і які наслідки могли б бути, як можна за допомогою таких листів витягнути інформацію», — сказала вона. В результаті системної роботи з кібербезпеки таких людей стає все менше і менше.

3. Інсайдерські запити під виглядом запитів від офіційних органів необхідно захищати.

З огляду на те, що деякими запитами від офіційних органів можуть скористатися зацікавлені особи та нашкодити вашому бізнесу або бізнесу партнерів, слід захищати інформацію, наприклад, конфіденційністю або адвокатською таємницею. У Arricano, отримавши черговий запит антимонопольного комітету про надання досить великого обсягу інформації, захистили її поширення конфіденційністю, обмеженим доступом, щоб з Антимонопольного комітету не було витоку даних. Якщо народні депутати, або інші структури, що прикриваються статусом, будуть цікавитися цією інформацією, АМКУ не має права розголошувати, оскільки це юридична відповідальність для самого комітету і його співробітників. Коли йдуть запити органів державної влади або правоохоронних органів про партнерів, безпеку деякою інформації в Arricano забезпечують адвокатською таємницею, при цьому партнерів інформують, що надійшов запиті. «Ми зобов’язані надавати інформацію і ми її надаємо — відповідно до закону і відповідно до правил, але у нас принцип в компанії: партнерські бізнеси повинні йти рука об руку», — підкреслює Світлана.

4. Здоровий глузд — найпростіший спосіб захисту комерційної таємниці.

Якщо прийшов запит про надання комерційної інформації, важливо відповісти на просте запитання: «Кому, навіщо, яким способом я ці дані буду передавати? Які загрози можуть бути? «Працюючи з конфіденційними даними, не варто користуватися розсилками, інформація повинна передаватися індивідуально. Кейс одного з партнерів компанії, який спікер привела в приклад, відносився до поширення комерційної інформації, яка була додана у масову розсилку, хоча була призначена одній персоні. Конфіденційні показники, які важливі для операторів, власників, керівників ТРЦ, виявилися публічними через недбалість.