Информационная безопасность деловой информации

Информационная безопасность деловой информации
Автор: неизвестен
Обработка и редактирование: Кирилл Шагин

Ценная, конфиденциальная информация
Монопольное использование данных
Корпоративная информационная политика безопасности
Идентификация
Авторизация
Конфиденциальность и секретность
Основной смысл статьи

Ценная, конфиденциальная информация
Специальная обработка BI приложений преобразовывает терабиты данных в ценную деловую информацию. Анализируя перехваченные данные, полученные из BI приложений, на работу вашей компании могут влиять недоброжелатели-конкуренты, ведь теперь у них появляется возможность использовать в своих интересах новые возможности, понять стратегию развития вашей компании, следить за изменением бизнес-процессов, сверхоперативно реагировать на технологические новинки или даже самим получать патенты на ваши изобретения. Вследствие этого, недображелатели значительно повышают эффективность своей работы и конкурентоспособность своих услуг, а пострадавшая компания может даже разориться. Ниже приведены некоторые примеры особо важной информации, которая должна быть надежно защищена:

- Контактная информация о клиентах, выполняемых трендах, и любая подобная бизнес-информация. Информация о технологических разработках и внедряемых новинках.
- Корпоративная финансовая отчетность, данные о резких изменениях стоимости ценных бумаг и расходах, так как эти сведения могут быть использованы при стратегическом планировании борьбы с вашей компанией.
- Информация использования Internet-сайта, включающая детальный анализ активности пользователей, структуре аудитории, ее количестве, подсчет просмотров страниц, и подобная информация о ваших посетителях.

Компании понимают преимущества использования стратегических инициатив типа BI. В некоторых случаях BI становится неотъемлемым способом достижения успешной работы предприятия. Использование BI способствует:

- Лучшему, по сравнению с конкурентами, пониманию рынка.
- Быстрой адаптации к изменяющимся условиям бизнеса и, следовательно, появлению возможности использования этой информации в своих интересах.
- Созданию новых возможностей прибыли

BI данные, рассеянные раньше по различным структурам предприятия, теперь собираются в информационное хранилище или специальный центр данных, затем анализируются и представляются логическим образом. Такая информация является крайне ценной, очень конфиденциальной и особо чувствительной для каждой компании.

Как уже было сказано выше, если эта информация попадет в руки конкурентов, то может произойти настоящая катастрофа для вашего бизнеса. Поэтому компании должны развернуть информационную политику защиты, и сделать изменения, используя комбинацию программного обеспечения и защитного оборудования, использовать лучшие защитные действия и методы управления, согласующиеся с их политикой.

Монопольное использование данных
BI данные, подвергшиеся специальной обработке, принадлежат, в конечном счете, владельцу компании, или, в случае корпорации, членам правления. На плечах этой команды лидеров лежит большая ответственность: они обязаны придерживаться определенных инструкций для соблюдения секретности, а также определять надлежащие методы хранения и использования всех корпоративных данных. Данная группа должна следовать рекомендациям руководителей высшего уровня, а в случае необходимости привлечения внешних специалистов – экономистов, аудиторов и т.д. им необходимо определить важность и значимость данных и оценить возможность риска, связанного с возможной утечкой.

Корпоративная информационная политика безопасности
Многие компании не делают необходимых изменений в своей корпоративной информационной политике безопасности. Политика должна способствовать надлежащему использованию информации, полученной из основных данных и аналитических бизнес данных. Чтобы избежать возникновения проблем, связанных с использованием BI, компании должны вновь перепроверить и усилить четыре основные области информационной политики:

- Идентификация
- Авторизация
- Конфиденциальность и секретность
- Внешний и внутренний аудит

Идентификация
Пользователи и приложения обязательно должны быть идентифицированы, их идентификаторы должны быть проверены до того, как они получают доступ к информационным активам. Если необходимо установить подлинность, пользуйтесь различными комбинациями ниже приведенных способов:

- ID пользователя или пароль
- Дополнительные средства идентификации (например, смарт карты и USB ключи)
- Использование открытых ключей для обмена информацией

Авторизация
Правильно авторизованные пользователи и приложения должны иметь доступ только к тем IT ресурсам, на использование которых владелец информации дал письменное разрешение.

Необходимо строго регламентировать доступ:

- к корпоративным базам данных и местам хранения данных.
- к приложениям и инструментам, с помощью которых возможно испортить или проанализировать данные компании
- к результатам аналитических данных в электронной и бумажной форме. Сюда также относится доступ к системе, в которой сохранены конечные сообщения, типа личных папок и дополнительных электронных устройств.

Конфиденциальность и секретность
Активные действия, направленные на следование всем инструкциям местного руководства по соблюдению секретности является одним из корпоративных обязательств. Ведь информация, собранная для BI анализа и представляющая ценность для данной компании, может также содержать информацию клиента, которая защищена законами. Конфиденциальность и секретность могут достигаться с помощью:

- Политики безопасности
- Шифрования
- Инструментов управления политикой (типа Tivoli Access Manager)

Важно понимать, что в случае BI, клиентом может быть другое предприятие, иначе говоря, торговый партнер, а не индивидуум или конечный потребитель. Информация, собранная от BI инициатив, может содержать информацию о прошлых трендах и стратегиях, сделанных и развернутых торговым партнером, а эта информация должна быть защищена, хотя бы ради соблюдения законов и выполнения соглашений о неразглашении. Мы рекомендуем пересмотреть защитную политику так, чтобы она охватывала не только индивидуума, но также и юридическое лицо предприятия.

Рекомендуется проводить аудит и собирать детальную информацию о том:

- кто делает запросы в базы данных и хранилища данных?
- какую информацию можно получить по этим запросам?
- как используется эта информация?
- кто является владельцем этой информации?

Кроме того, в некоторых случаях компании должны иметь возможность вернуть свои системы управления данными к первоначальному состоянию, например, после проведения всех необходимых запросов база должна быть приведена к исходному состоянию. Политика, диктующая обязанности и процедуры, для проведения таких проверок, должна быть включена в общую политику информационной безопасности.

Основной смысл статьи
- Корпоративная информационная политика безопасности должна быть вновь перепроверена в связи с внедрением BI инициатив.
- Если необходимо, элементы политики должны быть переписаны для гарантии прав и удовлетворения пожеланий владельца информации.
- Предприятия, работающие с BI, должны привлекать менеджеров по информационной безопасности для развития политики защиты информации, направленной против неумышленных или преднамеренных нарушений безопасности