Информационная безопасность деловой информации
Автор: неизвестен
Обработка и редактирование: Кирилл Шагин
Ценная, конфиденциальная информация
Специальная обработка BI приложений преобразовывает терабиты данных в ценную
деловую информацию. Анализируя перехваченные данные, полученные из BI приложений,
на работу вашей компании могут влиять недоброжелатели-конкуренты, ведь теперь
у них появляется возможность использовать в своих интересах новые возможности,
понять стратегию развития вашей компании, следить за изменением бизнес-процессов,
сверхоперативно реагировать на технологические новинки или даже самим получать
патенты на ваши изобретения. Вследствие этого, недображелатели значительно повышают
эффективность своей работы и конкурентоспособность своих услуг, а пострадавшая
компания может даже разориться. Ниже приведены некоторые примеры особо важной
информации, которая должна быть надежно защищена:
- Контактная информация о клиентах, выполняемых трендах, и любая подобная
бизнес-информация. Информация о технологических разработках и внедряемых новинках.
- Корпоративная финансовая отчетность, данные о резких изменениях стоимости
ценных бумаг и расходах, так как эти сведения могут быть использованы при стратегическом
планировании борьбы с вашей компанией.
- Информация использования Internet-сайта, включающая детальный анализ активности
пользователей, структуре аудитории, ее количестве, подсчет просмотров страниц,
и подобная информация о ваших посетителях.
Компании понимают преимущества использования стратегических инициатив типа BI.
В некоторых случаях BI становится неотъемлемым способом достижения успешной
работы предприятия. Использование BI способствует:
- Лучшему, по сравнению с конкурентами, пониманию рынка.
- Быстрой адаптации к изменяющимся условиям бизнеса и, следовательно, появлению
возможности использования этой информации в своих интересах.
- Созданию новых возможностей прибыли
BI данные, рассеянные раньше по различным структурам предприятия, теперь собираются
в информационное хранилище или специальный центр данных, затем анализируются
и представляются логическим образом. Такая информация является крайне ценной,
очень конфиденциальной и особо чувствительной для каждой компании.
Как уже было сказано выше, если эта информация попадет в руки конкурентов, то может произойти настоящая катастрофа для вашего бизнеса. Поэтому компании должны развернуть информационную политику защиты, и сделать изменения, используя комбинацию программного обеспечения и защитного оборудования, использовать лучшие защитные действия и методы управления, согласующиеся с их политикой.
Монопольное использование данных
BI данные, подвергшиеся специальной обработке, принадлежат, в конечном счете,
владельцу компании, или, в случае корпорации, членам правления. На плечах этой
команды лидеров лежит большая ответственность: они обязаны придерживаться определенных
инструкций для соблюдения секретности, а также определять надлежащие методы
хранения и использования всех корпоративных данных. Данная группа должна следовать
рекомендациям руководителей высшего уровня, а в случае необходимости привлечения
внешних специалистов – экономистов, аудиторов и т.д. им необходимо определить
важность и значимость данных и оценить возможность риска, связанного с возможной
утечкой.
Корпоративная информационная политика безопасности
Многие компании не делают необходимых изменений в своей корпоративной информационной
политике безопасности. Политика должна способствовать надлежащему использованию
информации, полученной из основных данных и аналитических бизнес данных. Чтобы
избежать возникновения проблем, связанных с использованием BI, компании должны
вновь перепроверить и усилить четыре основные области информационной политики:
- Идентификация
- Авторизация
- Конфиденциальность и секретность
- Внешний и внутренний аудит
Идентификация
Пользователи и приложения обязательно должны быть идентифицированы, их идентификаторы
должны быть проверены до того, как они получают доступ к информационным активам.
Если необходимо установить подлинность, пользуйтесь различными комбинациями
ниже приведенных способов:
- ID пользователя или пароль
- Дополнительные средства идентификации (например, смарт карты и USB ключи)
- Использование открытых ключей для обмена информацией
Авторизация
Правильно авторизованные пользователи и приложения должны иметь доступ только
к тем IT ресурсам, на использование которых владелец информации дал письменное
разрешение.
Необходимо строго регламентировать доступ:
- к корпоративным базам данных и местам хранения данных.
- к приложениям и инструментам, с помощью которых возможно испортить или проанализировать
данные компании
- к результатам аналитических данных в электронной и бумажной форме. Сюда также
относится доступ к системе, в которой сохранены конечные сообщения, типа личных
папок и дополнительных электронных устройств.
- Политики безопасности
- Шифрования
- Инструментов управления политикой (типа Tivoli Access Manager)
Важно понимать, что в случае BI, клиентом может быть другое предприятие, иначе
говоря, торговый партнер, а не индивидуум или конечный потребитель. Информация,
собранная от BI инициатив, может содержать информацию о прошлых трендах и стратегиях,
сделанных и развернутых торговым партнером, а эта информация должна быть защищена,
хотя бы ради соблюдения законов и выполнения соглашений о неразглашении. Мы
рекомендуем пересмотреть защитную политику так, чтобы она охватывала не только
индивидуума, но также и юридическое лицо предприятия.
Рекомендуется проводить аудит и собирать детальную информацию о том:
- кто делает запросы в базы данных и хранилища данных?
- какую информацию можно получить по этим запросам?
- как используется эта информация?
- кто является владельцем этой информации?
Кроме того, в некоторых случаях компании должны иметь возможность вернуть свои
системы управления данными к первоначальному состоянию, например, после проведения
всех необходимых запросов база должна быть приведена к исходному состоянию.
Политика, диктующая обязанности и процедуры, для проведения таких проверок,
должна быть включена в общую политику информационной безопасности.
Основной смысл статьи
- Корпоративная информационная политика безопасности должна быть вновь перепроверена
в связи с внедрением BI инициатив.
- Если необходимо, элементы политики должны быть переписаны для гарантии прав
и удовлетворения пожеланий владельца информации.
- Предприятия, работающие с BI, должны привлекать менеджеров по информационной
безопасности для развития политики защиты информации, направленной против неумышленных
или преднамеренных нарушений безопасности