Как оценить бизнес-риски, связанные с утечкой информации

Безусловно, любой руководитель и любой бизнесмен инстинктивно понимает, что утечки информации не несут с собой ничего хорошего для его компании. Однако реально прибегают к системному анализу ситуации и комплексной борьбе с утечками конфиденциальных данных лишь считанные единицы компаний, несмотря на то, что такой подход всегда очевидно дает лучшие результаты, чем хаотическое “затыкание дыр”.

Утечки информации являются одной из серьезнейших проблем, с которыми сегодня сталкивается бизнес. По этой причине необходимо понимать, чем они могут быть для него чреваты и как от них защищаться.

Начало системного обеспечения информационной безопасности — это оценка бизнес-рисков, связанных с информационными угрозами. Из всего их многообразия мы сейчас остановимся на утечках информации.

Профессионалы при оценке рисков прибегают к моделированию. Как правило, производится построение моделей нарушителей политик безопасности, по которым затем согласно различным общепринятым методикам проводится расчет конкретных значений тех или иных рисков. Для подобной оценки рисков имеет смысл обратиться в консалтинговую компанию, уже выполнявшую подобные работы для других организаций, работающих в вашей сфере, однако стоит приготовиться к тому, что это будет стоить недешево.

Вместе с тем, чтобы приблизительно понять, как утечки информации могут навредить вашему бизнесу, и какие из рисков наиболее актуальны именно для вашей компании, нет острой необходимости в тщательном расчете рисков по профессиональным методикам, поскольку во всём мире способы, которыми утечки информации вредят бизнесу, примерно одинаковы. Вот самые главные из них:

• упущенная выгода;
• потери от направленных действий конкурентов;
• имиджевые потери;
• штрафы от регуляторов;
• судебные издержки;
• ущерб для кадрового потенциала компании.

Рассмотрим каждый из этих пунктов более подробно.

Упущенная выгода — это ущерб для инноватора, который потерял своё преимущество на рынке из-за того, что утечка информации сделала разработанную им инновацию доступной для других участников рынка. Под инновацией здесь понимается не только какая-то, к примеру, конструкторская разработка — такая судьба может постичь любой результат умственной деятельности, от бизнес-плана до обучающего курса для сотрудников.

Потери от действий конкурентов могут намного превышать величину упущенной выгоды, но стоит помнить о том, что в такой ситуации не всегда речь идет именно о ваших прямых конкурентах — скорее, дело в том, что при любой утечке данных находятся люди, которые стремятся на ней нажиться. К примеру, если застройщик допускает утечку о грядущем сносе ветхих домов для строительства элитного коттеджного поселка, жильцы этих домов наверняка взвинтят цены на них.

Имиджевые потери — это самый “долгоиграющий” из всех компонентов ущерба от утечек. К сожалению, такой ущерб совершенно невозможно подсчитать, потому что невозможно сказать, какой выгодный тендер или перспективное партнерство в будущем могут сорваться из-за того, что ваша компания испортила свою репутацию утечкой данных. Эксперты говорят, что именно имиджевые потери наносят основной ущерб компаниям в результате утечек информации.

Штрафы от регуляторов во многих странах мира могут составлять суммы в миллионы долларов, особенно если речь идет об утечках персональных данных клиентов или сотрудников компании. В России пока подобные штрафы носят, скорее, символический характер, но это не означает, что ситуация однажды не изменится.

Судебные издержки — это то, что ждет вас, если информация, которая утекла, принадлежит не вашей компании. Это могут быть документы ваших партнеров, или, к примеру, уже упоминавшиеся персональные данные клиентов или сотрудников. В случае, если судиться с вами планирует иностранная компания, можете не сомневаться в серьезности её намерений, а также в строгости российских законов в области защиты персональных данных и коммерческой тайны.

Последний в списке пункт — ущерб для кадрового потенциала компании — является, на самом деле, не последним по важности. Как известно, кадры решают всё, и это совсем не преувеличение. Далеко не всем вашим сотрудникам понравится работать в компании, которая допускает утечки данных, и можете не сомневаться, что первыми в рядах недовольных будут идти самые эффективные и ценные из работников.

В зависимости от того, чем занимается ваша компания, а также от выбранной ею рыночной стратегии к вам могут относиться от одного до шести элементов приведенного выше списка. Но можете не сомневаться — хотя бы один “поражающий фактор” утечки информации обязательно заденет вашу компанию, если утечка всё-таки произойдет.

Поэтому необходима превентивная защита, заключающаяся в профилактике утечек. Заниматься этим должен специализированный отдел информационной безопасности, а его главным “оружием” должна стать DLP-система — самое современное средство для борьбы с утечками конфиденциальных данных. Впрочем, подробный рассказ о способах и средствах защиты от утечек — тема отдельного разговора.

Автор статьи — ведущий аналитик компании SearchInform.