Інформаційна безпека ділової інформації
Цінна, конфіденційна інформація
Спеціальна обробка BI додатків перетворює Терабітію даних в цінну ділову інформацію. Аналізуючи перехоплені дані, отримані з BI додатків, на роботу вашої компанії можуть впливати недоброзичливці-конкуренти, адже тепер у них з'являється можливість використовувати в своїх інтересах нові можливості, зрозуміти стратегію розвитку вашої компанії, стежити за зміною бізнес-процесів, надоперативно реагувати на технологічні новинки або навіть самим отримувати патенти на ваші винаходи. Внаслідок цього, недображелателі значно підвищують ефективність своєї роботи і конкурентоспроможність своїх послуг, а постраждала компанія може навіть розоритися. Нижче наведені деякі приклади особливо важливої інформації, яка повинна бути надійно захищена:
- Контактна інформація про клієнтів, виконуваних трендах, і будь-яка подібна бізнес-інформація. Інформація про технологічні розробки і впроваджуваних новинки.
- Корпоративна фінансова звітність, дані про різкі зміни вартості цінних паперів та витрати, тому що ці відомості можуть бути використані при стратегічному плануванні боротьби з вашою компанією.
- Інформація використання Internet-сайту, що включає детальний аналіз активності користувачів, структурі аудиторії, її кількості, підрахунок переглядів сторінок, і подібна інформація про ваших відвідувачів.
Компанії розуміють переваги використання стратегічних ініціатив типу BI. У деяких випадках BI стає невід'ємним способом досягнення успішної роботи підприємства. Використання BI сприяє:
- Краще, в порівнянні з конкурентами, розуміння ринку.
- Швидкої адаптації до мінливих умов бізнесу і, отже, появі можливості використання цієї інформації в своїх інтересах.
- Створенню нових можливостей прибутку
BI дані, розсіяні раніше за різними структурам підприємства, тепер збираються в інформаційне сховище або спеціальний центр даних, потім аналізуються і подаються логічним чином. Така інформація є вкрай цінною, дуже конфіденційною і особливо чутливої для кожної компанії.
Як вже було сказано вище, якщо ця інформація потрапить в руки конкурентів, то може статися справжня катастрофа для вашого бізнесу. Тому компанії повинні розгорнути інформаційну політику захисту, і зробити зміни, використовуючи комбінацію програмного забезпечення та захисного обладнання, використовувати найкращі захисні дії і методи управління, узгоджувалися з їх політикою.
Монопольне використання даних
BI дані, які зазнали спеціальній обробці, належать, в кінцевому рахунку, власникові компанії, або, у разі корпорації, членам правління. На плечах цієї команди лідерів лежить велика відповідальність: вони зобов'язані дотримуватися певних інструкцій для дотримання таємності, а також визначати належні методи зберігання і використання всіх корпоративних даних. Дана група повинна слідувати рекомендаціям керівників вищого рівня, а в разі необхідності залучення зовнішніх фахівців - економістів, аудиторів і т.д. їм необхідно визначити важливість і значимість даних і оцінити можливість ризику, пов'язаного з можливим витоком.
Корпоративна інформаційна політика безпеки
Багато компаній не роблять необхідних змін у своїй корпоративній інформаційній політиці безпеки. Політика має сприяти належному використанню інформації, отриманої з основних даних та аналітичних бізнес даних. Щоб уникнути виникнення проблем, пов'язаних з використанням BI, компанії повинні знову перевірити ще й посилити чотири основні галузі інформаційної політики:
- Ідентифікація
- Авторизація
- Конфіденційність та секретність
- Зовнішній і внутрішній аудит
Ідентифікація
Користувачі і додатки обов'язково повинні бути ідентифіковані, їх ідентифікатори повинні бути перевірені до того, як вони отримують доступ до інформаційних активів. Якщо необхідно встановити справжність, користуйтеся різними комбінаціями нижче наведених способів:
- ID користувача або пароль
- Додаткові засоби ідентифікації (наприклад, смарт карти і USB ключі)
- Використання відкритих ключів для обміну інформацією
Авторизація
Правильно авторизовані користувачі і додатки повинні мати доступ тільки до тих IT ресурсам, на використання яких власник інформації дав письмовий дозвіл.
Необхідно суворо регламентувати доступ:
- до корпоративних баз даних і місцями зберігання даних.
- до додатків і інструментам, за допомогою яких можливо зіпсувати або проаналізувати дані компанії
- до результатів аналітичних даних в електронній та паперовій формі. Сюди також відноситься доступ до системи, в якій збережені кінцеві повідомлення, типу особистих папок і додаткових електронних пристроїв.
Конфіденційність та секретність
Активні дії, спрямовані на дотримання всіх інструкцій місцевого керівництва щодо дотримання таємності є одним з корпоративних зобов'язань. Адже інформація, зібрана для BI аналізу і представляє цінність для даної компанії, може також містити інформацію клієнта, яка захищена законами. Конфіденційність та секретність можуть досягатися за допомогою:
- Безпекової політики
- Шифрування
- Інструментів управління політикою (типу Tivoli Access Manager)
Важливо розуміти, що у разі BI, клієнтом може бути інше підприємство, інакше кажучи, торговий партнер, а не індивідуум або кінцевий споживач. Інформація, зібрана від BI ініціатив, може містити інформацію про минулі трендах і стратегіях, зроблених і розгорнутих торговим партнером, а ця інформація повинна бути захищена, хоча б заради дотримання законів та виконання угод про нерозголошення. Ми рекомендуємо переглянути захисну політику так, щоб вона охоплювала не лише індивідуума, але також і юридична особа підприємства.
Рекомендується проводити аудит і збирати детальну інформацію про те:
- хто робить запити в бази даних та сховища даних?
- яку інформацію можна отримати за цим запитам?
- як використовується ця інформація?
- хто є власником цієї інформації?
Крім того, в деяких випадках компанії повинні мати можливість повернути свої системи управління даними до первісного стану, наприклад, після проведення всіх необхідних запитів база повинна бути приведена до початкового стану. Політика, що диктує обов'язки і процедури, для проведення таких перевірок, повинна бути включена в загальну політику інформаційної безпеки.
Основний сенс статті
- Корпоративна інформаційна політика безпеки повинна бути знову переперевірена у зв'язку з впровадженням BI ініціатив.
- Якщо необхідно, елементи політики повинні бути переписані для гарантії прав і задоволення побажань власника інформації.
- Підприємства, що працюють з BI, повинні залучати менеджерів з інформаційної безпеки для розвитку політики захисту інформації, спрямованої проти ненавмисних або навмисних порушень безпеки