Для крупных организаций очень важно выработать конкретные принципы и процедуры, связанные с конфиденциальностью и обеспечением безопасности на предприятии. В этой области невозможно предусмотреть все возможные опасности, но можно выстроить систему защиты от них.
В последние годы, вопросы обеспечения конфиденциальности стали ключевой проблемой в промышленных компаниях и государственных учреждениях. Baseline издания Baseline взял интервью у нового главы по вопросам конфиденциальности компании IBM Кристины Петерс по ряду ключевых вопросов в области безопасности.
Baseline: Насколько вообще важны вопросы конфиденциальности и насколько они актуальны в крупной организации?
Петерс: Конфиденциальность должна быть одной из главных забот в каждой организации. Мы живем и работаем в глобально интегрированной бизнес-среде, а потому важность проблемы конфиденциальности постоянно растет. Вопросы сохранения персональной информации волнуют нас не только как людей, связанных с бизнесом, но также как и граждан своей страны, родителей своих детей, а также в рамках других ролей, которые нам приходится играть в жизни.
Baseline: Какие из проблем вы считаете самыми важными в области обеспечения конфиденциальности?
Петерс: В первую очередь, необходимо осознать, что сотрудники предприятий и общественность в целом рассматривают конфиденциальность как вопрос, который требует повышенного внимания. Кроме того, имеются очевидные юридические и бизнес-риски, связанные с недостаточной защитой конфиденциальных данных. Современные технологии могут стать источниками большой разрушительной силы, а ситуация во внешнем окружении может меняться очень быстро. Поэтому критически важно выработать конкретные принципы и процедуры, связанные с конфиденциальностью и безопасностью в крупной организации. В этой области невозможно предусмотреть все возможные опасности и их последствия, но можно выстроить прочную систему защиты от них.
Baseline: Каков ваш подход к проблемам обеспечения конфиденциальности в компании?
Петерс: Отправной точкой в любой программе, направленной на обеспечение конфиденциальности, является поддержание понятности и прозрачности всей системы. Мы пытаемся оценить с глобальной точки зрения все программное обеспечение и все используемые процедуры с тем, чтобы выработать стандарты сбора, хранения и использования данных. Цель этой работы состоит в том, чтобы принять упреждающие меры и распространить соответствующие процедуры на всю организацию.
Baseline: Как связаны между собой безопасность и конфиденциальность?
Петерс: Конфиденциальность не может быть обеспечена без решения вопросов безопасности. Если информация существует на бумаге, хранится на сервере или в облаке — всегда найдутся уязвимости в системе ее защиты. Защитные меры в этом случае могут, отчасти, иметь технологический характер — важно предусмотреть использование адекватных средств в каждом конкретном месте хранения данных. Однако не менее важно вести постоянную разъяснительную работу с сотрудниками компании, инструктируя их о возможных опасностях, уязвимых местах и способах уменьшить возможные риски, поскольку многие проблемы в этой сфере обусловлены пресловутым человеческим фактором. Наконец, эффективным может быть только многоуровневый подход к решению вопросов обеспечения конфиденциальности и безопасности.
Baseline: Насколько часто сотрудники вашей компании проходят обучение по данным вопросам?
Петерс: При обучении учитывается специфика групп персонала, но базовый курс обучения каждый сотрудник проходит ежегодно. Основной акцент в обучении делается на выявление потенциальных опасностей, условия и причины их возникновения, места, где они могут проявиться, а также важность своевременного оповещения заинтересованных лиц об обнаруженных проблемах. Кроме того, для отдельных категорий сотрудников предусмотрены дополнительные курсы обучения.
Baseline: Каковы ваши рекомендации в вопросах обеспечения конфиденциальности в крупных организациях?
Петерс: Здесь недостаточно иметь одного главного человека, занимающегося этим вопросом в компании, который бы мог решать такие вопросы эффективно. Более важно иметь целую группу людей, которые постоянно отслеживали бы эти проблемы. Они должны постоянно задавать себе и другим вопросы по поводу того, необходимо ли иметь многоуровневую систему обеспечения безопасности и достаточно ли в ней уровней на данный момент. Правильно ли я использую конфиденциальную информацию и какие каналы доступа к ней имеются? Обеспечивают ли принятые в компании политика и средства установлению доверительных отношений между отдельными сотрудниками?