"Точность — вежливость королей и обязанность их подданных", — сказал когда-то французский король Людовик XVIII. Сегодня что-то похожее можно сказать в отношении компаний и информационной безопасности. С той только разницей, что здесь королем себе позволить быть не может, пожалуй, никто.
Помимо чисто экономического аспекта соблюдения компаниями требований к информационной безопасности, существует еще аспект этический. Согласитесь, никто не любит, когда ему практически открытым текстом говорят, что его интересы никого не интересуют. Но именно так поступает компания, допускающая утечку информации, которая затрагивает ее клиентов или партнеров. Усугубляется же ситуация тем, что на постсоветском пространстве сегодня не принято информировать о подобных утечках тех, кто мог от них пострадать — не выносить "сор из избы".
Обычно проблема этической стороны обеспечения информационной безопасности в организации не обсуждается ни руководителями компаний, ни специалистами по безопасности. Тем не менее, она является весьма важной, поскольку сопряжена с проблемами устойчивого роста компании в долгосрочном периоде.
Подписывайтесь на Youtube-канал delo.uaОсновной проблемой в этике бизнеса с позиции информационной безопасности является стремление компаний всеми силами замолчать происходящие у них инциденты. Этот подход вполне оправдан, когда речь идет об утечках неких внутренних документов (бизнес-планов, финансовых отчетов, технологической документации и т. д.), поскольку никто, кроме самой компании, не страдает от подобных утечек и не нуждается в принятии специальных мер для защиты своих интересов.
В случае, когда речь идет об утечках персональных данных, все обстоит совсем иначе, поскольку субъекты персональных данных, не зная об утечке, не могут принять никаких мер по их защите: сменить кодовое слово для доступа к банковскому счету, номер телефона и т. д. А когда информация об утечке всплывет в результате распространения данных в Сети или в более неблагоприятном случае из-за какого-либо инцидента, связанного с незаконным использованием утекших данных, сделать что-либо уже будет невозможно.
Стоит ли говорить, что когда тайное становится явным, отношение к тому, кто допустил утечку, и со стороны пострадавшей стороны, и со стороны общественности будет однозначно негативным? В то же время, если компания сможет вовремя предупредить заинтересованных лиц и предоставить грамотные рекомендации по нейтрализации последствий, а также предложить компенсацию за инцидент — она будет выглядеть весьма ответственно.
Впрочем, любая утечка информации — это все-таки удар по имиджу, пусть даже и в глазах собственных сотрудников. Но здесь опять-таки многое зависит от того, как компания отреагирует на инцидент. Если после утечки будут приняты меры по предотвращению таких инцидентов в дальнейшем, проведено служебное расследование, если виновный действительно будет найден, а не назначен, то и в глазах собственных сотрудников компания реабилитируется. В противном случае можно ожидать оттока высококвалифицированных и востребованных на рынке труда кадров из фирмы или государственной организации.
Таким образом, можно сказать, что в случае утечки информации компании необходимо демонстрировать уважительное отношение к чужому праву на конфиденциальность и признавать свои ошибки, а не уходить в глухую оборону, отрицая очевидное. В противном случае этим могут воспользоваться конкуренты и недоброжелатели.
И все-таки предотвратить утечку проще, чем затем разбираться с ее последствиями. Поэтому если вы ведете бизнес с Западом, то вас просто не поймут, если у вас нет DLP-системы в компании для защиты от утечек данных. И это тоже одна из сторон бизнес-этики, касающаяся информационной безопасности. В обозримом будущем, думается, подобный подход будет характерен и для бизнеса на постсоветском пространстве, поэтому не стоит откладывать вопросы обеспечения информационной безопасности в долгий ящик.