И влияют на них уже не просто принципы ведения честного бизнеса, а нормативные требования с новыми строгими стандартами.

В уходящем XX веке конфиденциальность была скорее способом повысить маркетинговую привлекательность, чем обязанностью. В основном к ней обращались для того, чтобы влиять на предпочтения клиентов и зарабатывать конкурентные преимущества. Сегодня конфиденциальность больше ассоциируется с потенциальной возможностью злоупотребления и реальной угрозой несанкционированного доступа или разглашения, «кражи личности» и мошенничества. Ответственность при этом напрямую ложится на организацию, владеющую персональными данными потребителей, клиентов, сотрудников или бизнес-партнеров.

Теперь на них влияют уже не просто принципы ведения честного бизнеса, а нормативные требования с новыми строгими стандартами. Сталкиваясь с великим множеством национальных законов о конфиденциальности и защите данных, законов о труде, а также соглашений профсоюзов и советов предприятий, организации постоянно озабочены защитой своей информации и личных данных работников. Ко всему прочему члены высшего руководства и акционеры ждут от ИТ-служб большего, чем просто защита персональной информации. На деле соответствие стандартам конфиденциальности приобрело неразрывную связь с выполнением стратегических бизнес-планов, в то время как на ИТ-специалистов вырос спрос, а их зарплаты увеличились.

Раз уж все взоры устремлены в сторону ИТ, перечислим несколько аспектов, которые заслуживают внимательного изучения и могут потребовать незамедлительных действий.

Информация — сила

Во многих организациях есть политики классификации данных, но они могут оказаться неэффективными, если будут устаревшими, чересчур общими и применимыми только к категориям высокого уровня или будут неверно определять пороги риска между отдельными элементами данных. Одновременно с ведением оперативного учета ИТ-служба может заняться разработкой решений для составления точной и полной классификации данных, обеспечения конфиденциальности, безопасности информации и защиты интеллектуальной собственности во всех системах, базах данных и репозиториях. Периодически необходимо проводить анализ ИТ-инфраструктуры, чтобы удостовериться, что политики классификации данных соответствуют действующим законам о конфиденциальности и актуальным рискам.

Чем меньше, тем лучше

Компании, понимающие современные тенденции, ищут возможность удалить, сократить, отредактировать или сделать менее очевидной личную информацию, в особенности в трех базовых ситуациях: передача данных, включая хранение и перемещение персональных данных через переносные устройства; владение специфическими элементами данных, такими как номера карточек социального страхования и кредитных карт, и их использование; раскрытие информации третьим лицам с требованием прозрачности ее использования, доступа к ней и ее разглашения.

Хранилища данных могут вмещать терабайты и петабайты личной информации о клиентах и сотрудниках. Сравнимые объемы записываются на диски или магнитные ленты, переносятся на ноутбуки и передаются через системы электронной почты на карманные устройства. Потеря или кража такого оборудования и носителей — самая распространенная причина извещений о возникновении риска безопасности. Но ее можно избежать, если все начнут принимать передовые меры безопасности.

Один из первых шагов — определить четкую политику и процедуры передачи в пользование переносных носителей, содержащих личную информацию, и использовать существующие технологические решения для того, чтобы по возможности снизить ее уязвимость. Например, не всем сотрудникам, которые часто путешествуют и нуждаются в доступе к персональным данным, необходимы полнофункциональные ноутбуки. «Тонкие клиенты» в форме ноутбука, у которых нет памяти, привлекают все больше внимание там, где распространено высокоскоростное сетевое соединение. Резервирование на сетевом уровне также может помочь ограничить использование традиционных кассет и дисков, чья пропажа привела ко многим извещениям об угрозе безопасности.

Переносные устройства хранения также усложняют удержание данных. Организациям приходится искать баланс между преимуществами владения персональными данными и рисками, которыми сопровождается их защита. Дело становится еще запутаннее, когда та или иная личная информация, принадлежащая организации, не подпадает ни под одно правовое требование об удержании данных, либо точно не установлено, как долго ее можно или нужно хранить. Организациям следует минимизировать постороннюю личную информацию на переносных устройствах, а затем установить процессы и контроль над удержанием.

Декодировать или не декодировать?

Персональная информация может быть украдена или потеряна, независимо от того, считается ли она «неподвижно» лежащей на компьютере, пленке или устройстве памяти для USB или «перемещаемой» через электронные письма. Защита должна быть такой же мобильной. Шифрование переносных устройств, носителей и каналов связи (в том числе электронных писем и вложенных файлов) получает все большее распространение и в 2008 году должно стать стандартной операционной процедурой. Организациям, которым еще предстоит сделать это, стоит испробовать в пилотном режиме и внедрить решения для шифрования ноутбуков, электронных писем и переносных носителей в устройствах и процессах обмена данными, в которых присутствует личная информация. Типичные инструменты шифрования вложений в электронные письма должны быть предоставлены бизнес-подразделениям, постоянно работающим с персональными данными, а для передачи информации третьим лицам через незащищенные средства их использование необходимо сделать обязательным.

Табурет о трех ногах

Делиться персональной информацией с поставщиками и бизнес-партнерами принято и необходимо в условиях современного глобального рынка, хотя эта практика пока и не повсеместна. Еще больше нужны эффективные программы мониторинга управления конфиденциальностью после того, как информация покидает организацию.

Главные вопросы, которые нужно задать сторонним поставщикам, — что они собираются делать с этой информацией и как они ее защитят. Ведущие компании разработали процессы управления рисками поставщиков, которые позволяют сохранять конфиденциальность за счет тщательного выбора поставщика, введения контроля над безопасностью передачи информации и заключения договора, обязывающего выполнять соответствующие требования. Что должно возникнуть вследствие длительного построения доверительных отношений или юридически закрепленного договора, так это твердая уверенность, что поставщик может защитить личную информацию и управлять ее использованием.

Снова в пути

Дома, в дороге или в кафе — удаленные работники могут находиться где угодно. Тем не менее возрастающее удобство может также означать более высокую степень риска и превратить предприятие в неконтролируемую территорию с сетями и вычислительными устройствами, которые, возможно, не были выданы или защищены организацией. Обеспечение безопасности на этом этапе, защита личной информации, обычно обрабатываемой переносными устройствами, и обучение людей, работающих в такой среде, безопасному использованию персональных данных может сопровождаться большими трудностями. Начать следует с установки на мобильных и удаленных устройствах таких средств безопасности, как антивирусы, инструменты борьбы со шпионским ПО, сетевые экраны и решения по шифрованию.

План на худший случай

Нарушение безопасности может произойти даже в самых лучших организациях. Зрелость в управлении инцидентами означает не просто реагирование на такие события, а информирование людей, которых эти происшествия могут затронуть. Формальные, эффективные и повторяющиеся процессы, которые были заранее протестированы и опробованы, крайне важны для определения сути происшедшего и решения, что нужно предпринять в ответ. Иногда крайний срок определяется нормами, а не просто скоростью бизнеса; несоблюдение этих временных рамок может оказаться нарушением закона. В других случаях неверная реакция на события может нанести организации еще больший ущерб, чем они сами, включая вред торговой марке. Чтобы избежать таких последствий, необходим жесткий и последовательный план. Он же нужен для их устранения.

Мир тесен

Сегодня личная информация легко распространяется по земному шару. Быстро меняющиеся бизнес-модели и глобализация бизнеса, рынков и рабочей силы требуют гармонизации систем и процессов. Чтобы поддерживать рост своего бизнеса, организации должны управлять рисками конфиденциальности и обеспечивать соблюдение многочисленных норм. Такие органы и представители власти, занимающиеся вопросами конфиденциальности, как федеральная комиссия по торговле, генеральные прокуроры штатов, национальные комиссии по защите данных и инспекторы в сфере финансов и телекоммуникаций, стали активнее проводить расследования, аудиты и мероприятия правового принуждения — иногда в ответ на жалобы работников и клиентов, а иногда и в рамках предупредительных мер по всей отрасли.

Если раньше политики конфиденциальности преграждали путь к мировым данным, то теперь работа над соблюдением конфиденциальности может стать условием эффективности глобального бизнеса и существования мировых рынков и глобальных ИТ-решений. Хотя это и не означает, что любой случай передачи или использования личной информации будет проверяться, качественные политики, процедуры и контроль действительно могут обеспечить правомерность деятельности и транзакций.

Создание лучшей мышеловки

Когда-то потребность в мониторинге создавали угрозы со стороны инсайдеров. Сегодня от мониторинга зависит и эффективность: в программах по защите данных, в объединенных или перекликающихся действиях по обеспечению выполнения норм, а также в нахождении баланса между рисками конфиденциальности и ценностью для бизнеса. Технологии предоставили новые средства для предотвращения потери или утечки данных и борьбы с их последствиями, а также для общего контроля за действиями с компьютерами, базами данных и сетями, но все еще нет универсального решения на все случаи использования личной информации в предприятии, для которых требуется мониторинг. Чтобы выбрать лучшие технические решения, необходимо понять, где посредством существующих процессов и технологий можно отслеживать вхождение в системы, проведение запросов и пр., выявить незащищенные области и создать или приобрести подходящие решения для их закрытия. Кроме того, следует обеспечить поддержку и постоянный мониторинг операций.

Взгляд вперед

Конфиденциальность — постоянная проблема бизнеса. Описанные восемь аспектов заслуживают больше, чем проставления галочек. Каждым следует заниматься с целью всестороннего целенаправленного управления рисками конфиденциальности и соответствия требованиям безопасности. Основываясь на введении политик и руководстве, хорошая программа сохранения конфиденциальности опирается на контроль, мониторинг, соблюдение правил и другие действия, гарантирующие эффективную работу.


Brian Tretick. IT and the changing privacy landscape. CIO Magazine. 12/31/2007

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF