the Retail Finance

Управление Бизнес-рисками компании: IT-инструментарий

Ольга Горшкова,
PR-менеджер компании InfoWatch
 
Операционная деятельность любого современного предприятия связана с определенными рисками. Риск, как известно, дело благородное, но рачительному собственнику стоит задуматься о том, как с наименьшими затратами для компании и с наибольшей пользой для бизнеса свести все возможные бизнес-риски к минимуму.
 
В этом материале мы предлагаем рассмотреть основные подводные камни в процессе управления бизнес-рисками, расскажем, как современные технологии помогают с данными рисками бороться, а также рассмотрим основные законодательные нормы, с которыми современной компании нужно и можно научиться успешно сосуществовать.
 
Управление операционными рисками
Напомним: операционный риск – риск небрежных или некомпетентных действий персонала компании, в результате которых предприятию может быть причинен материальный ущерб. Система управления операционными рисками включает анализ действий персонала, предотвращение ошибочных действий сотрудников и используемых в компании информационных систем. Среди наиболее эффективных систем управления операционными рисками одно из первых мест занимают системы контроля информационных потоков и бизнес-процессов (СКИПиБП) компании. Рассмотрим подробнее, каким образом эти системы позволяют управлять данным видом рисков.
 
повышение эффективности персонала и пресечение нецелевого использования корпоративных ресурсов
Системы контроля информационных потоков и бизнес-процессов позволяют контролировать активность сотрудников в рабочее время, выявляя случаи личной переписки по рабочей или web-почте или системам обмена сообщениями, публикации записей в блогах и форумах, печать личных документов. Благодаря комплексному применению нескольких технологий контентного анализа (анализа содержимого исходящего трафика компании) СКИПиБП точно идентифицируют информацию, не относящуюся к служебным обязанностям сотрудника, а централизованный архив данных систем, в котором сохраняется вся отправленная информация, может быть использован для оценки эффективности использования сотрудником рабочего времени.
 
оптимизация Бизнес процессов
СКИПиБП позволяют строить маршруты перемещения информации (контентные маршруты). С помощью анализа подобных маршрутов можно не только описать неформализованные бизнес-процессы, например, процесс согласования договора или бюджетной заявки, но и выяснить лишние или дублирующиеся звенья или узкие места в процессе.
 
выявление и предотвращение кадровых Угроз
Один из наиболее чувствительных для современных компаний операционных рисков связан с кадровыми угрозами. Утечка мозгов, особенно в наукоемких отраслях, таких как IТ, телеком, медицина и т.п., может быть чревато для предприятия серьезными материальными потерями. Решая данную проблему, СКИПиБП осуществляют контроль использования электронных каналов перемещения информации: электронную почту, системы обмена сообщениями, веб. Применяемые в данных системах технологии контентного анализа позволяют точно категоризировать отправленную информацию, детектируя, например, отправку резюме по личной электронной почте (даже если сотрудник изменил название файла), обсуждение потенциальной смены работы в интернет-пейджерах или публикацию резюме в рабочее время.
 
выявление и предотвращение неэтичного и противозаконного поведения1
С помощью используемых в СКИПиБП технологий анализа можно детектировать в сообщениях нецензурную лексику, угрозы, оскорбления. В зависимости от потребностей компании систему можно настроить как на немедленное пресечение подобных действий (например, на блокирование отправки сообщений, содержащих нецензурную лексику), так и на работу в режиме сбора информации. В последнем случае, проанализировав накопленные в централизованном архиве за некоторый период времени данные, сотрудники HR-департамента могут планировать мероприятия по работе с персоналом.
 
предотвращение ошибочных действий сотрудников и информационных систем
Благодаря функции построения контентных маршрутов СКИПиБП позволяют противодействовать ошибочным действиям сотрудников и информационных систем. Так, при проведении рассылки информации ограниченного использования по партнерам компании система может заблокировать отправку сообщения по неразрешенному маршруту, например, если сотрудник ошибся в электронном адресе или произошел сбой в системе, с помощью которой производится рассылка.
 
Управление репутационными рисками
Определять, измерять и устранять риски для репутации вашей компании можно и нужно задолго до того, как грянет кризис и проблема станет критичной. Недооцененные репутационные риски способны оказать серьезное влияние на имидж компании в клиентской, партнерской среде и в конечном счете, подорвав репутацию компании, вылиться в столь серьезный материальный ущерб, от которого ваше предприятие может и не оправиться. В особенности критичным этот вид рисков является для крупных, публичных компаний. Среди наиболее критичных репутационные рисков – негативная информация о компании и ее продуктах, распространяемая во внешней среде сотрудниками фирмы, а также утечка конфиденциальной информации, огласка которой может нанести серьезный ущерб репутации фирмы.
 
выявление нелояльных сотрудников, распространяющих негативную информацию о компании
СКИПиБП контролируют перемещение информации по различным электронным каналам и осуществляют ее категоризацию. Это позволяет обнаруживать в информационных потоках компании негативную и/или порочащую имидж компании информацию и блокировать ее отправку вовне. Вся информация сохраняется в централизованном архиве. Благодаря встроенной в продукт системе отчетности можно отследить, кто из сотрудников распространяет такие сведения.
 
предотвращение Утечки данных
Для компаний, работающих с персональными данными, таких как банки, телекоммуникационные операторы и др., случайное или умышленное разглашение персональных данных клиентов связано с существенными репутационными потерями. Системы контроля информации и бизнес-процессов позволяют точно идентифицировать персональные данные в информационных потоках компании и ограничить их распространение, блокируя неразрешенные маршруты передачи.
 
Управление юридическими рисками, требования регуляторов
С юридическими рисками сталкиваются практически все граждане нашей необъятной родины. Как только вы зарегистрируетесь, например, в качестве ИЧП, уже не говоря о собственном малом, среднем или крупном бизнесе, вы мгновенно становитесь участником определенного рода отношений с государством. И главное в этих отношениях
– соблюсти баланс между требованиями различных законодательных актов и нормативов и непрерывностью бизнес-процессов. Дело сложное, но возможное. Среди доступного сегодня для этих целей российским предпринимателям инструментария – современные технические средства контроля информации и бизнес-процессов.
Неумолимая статистика свидетельствует: случаи использования сотрудниками корпоративных ресурсов в противозаконных целях сегодня не редкость, довольно часто нелегитимный контент распространяется за счет работодателя. Выявление такого рода противозаконных или рискованных действий сотрудников – например, угроз, домогательств, оскорблений, распространения клеветы, порнографии, экстремистских материалов, пропаганды наркотиков – одна из важнейших опций современных систем контроля информации и бизнес-процессов, основанных на технологиях контентного анализа.
 
Данные системы отслеживают перемещение информации по различным каналам: корпоративной почте, системам обмена сообщениями, вебу, контролируют копирование и печать информации и осуществляют ее анализ и категоризацию. Таким образом можно выявить использование корпоративных ресурсов в противозаконных целях, например, распечатку листовок экстремистского содержания на корпоративных принтерах, рассылку электронных сообщений террористической / экстремистской / порнографической направленности с корпоративной или веб-почты в рабочее время сотрудника. В зависимости от потребностей компании система может быть настроена как на активное противодействие подобным действиям (блокирование рассылки определенных категорий информации), так и работать в режиме сбора данных. В последнем случае сохраненная в централизованном архиве информация может быть использована для принятия различных кадровых решений, проведения мероприятий по работе с персоналом и сбора доказательств.
 
Благодаря комплексному мониторингу перемещения информации по электронным каналам системы контроля информации и бизнес-процессов минимизируют риск случайного или умышленного распространения сотрудниками конфиденциальной информации, например, сведений о заключенных контрактах до их официальной публикации. Это позволяет не только защититься от возможных судебных разбирательств (например, если в контракт был включен пункт о неразглашении), но и избежать финансовых потерь, которые могут быть вызваны разрывом контракта и штрафными санкциями из-за такого разглашения.
 
Оборот различных видов информации регулируется большим количеством международных договоров, федеральных законов и подзаконных нормативных актов: на сегодняшний день международная нормативно-правовая база по информационной безопасности и обращению информации содержит более 100 документов, и ведется разработка новых.
 
Некоторые из этих документов обязательны для исполнения, другие носят рекомендательный характер. Неисполнение мер обеспечения информационной безопасности, прописанных в законах и стандартах, может привести к различным действиям со стороны регулирующих органов, начиная с предписаний и штрафов вплоть до отзыва лицензии на определенные виды деятельности.
 
В таблице ниже приведены примеры требований различных законодательных актов и стандартов, которые можно осуществить с помощью систем контроля корпоративных информационных потоков, разработанных компанией InfoWatch.
 
Закон, стандарт
требования
Функциональность продуктов InfoWatch
конституция РФ, ч. 2 ст. 23; уголовный кодекс РФ, ч. 1–2 ст. 138.
каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. ограничение этого права допускается только на основании судебного решения.
InfoWatch traffic Monitor осуществляет мониторинг информации в автоматическом режиме. при этом не происходит ознакомления каких-либо лиц с передаваемыми сообщениями. такое ознакомление недопустимо при отсутствии явного разрешения со стороны отправителя или получателя сообщения.
Федеральный закон от 27 июля 2006 года №149-ФЗ «об информации, информационных технологиях и защите информации»
соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами (ст. 9). Запрет на распространение информации… за распространение которой предусмотрена уголовная или административная ответственность (ст. 10). соблюдение конфиденциальности информации ограниченного доступа (ст. 16). Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.
продукты InfoWatch обеспечивает конфиденциальность информации: InfoWatch traffic Monitor на лету классифицирует проходящую через него информацию, точно идентифицируя конфиденциальные данные, и защищает их от несанкционированного доступа, копирования и распространения. продукт позволяет отследить маршруты перемещения информации (контентных маршруты) и ограничить распространение данных, блокируя неразрешенные маршруты. InfoWatch traffic Monitor является средством защиты, поэтому требование закона применять технические средства защиты подразумевает применение в т.ч. и таких решений, как InfoWatch traffic Monitor.
Федеральный закон от 29 июля 2004 года №98-ФЗ «о коммерческой тайне»
Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя: • ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; • учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.
благодаря совместному применению нескольких технологий анализа InfoWatch traffic Monitor позволяет точно идентифицировать информацию, составляющую коммерческую тайну, а с помощью продукта InfoWatch cryptoStorage Enterprise можно ограничить доступ к этой информации, осуществлять контроль доступа, регистрировать и вести учет лиц, получивших такой доступ.
Федеральный закон от 27 июля 2006 года №152-ФЗ «о персональных данных»
операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных (ст. 7). оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним… копирования, распространения персональных данных… (ст. 19). использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения (ст. 19 ч. 4).
InfoWatch traffic Monitor на лету классифицирует проходящую через него информацию, точно идентифицируя персональные данные, и обеспечивает их конфиденциальность, защищая их от неправомерного доступа, копирования и распространения. продукт позволяет отследить маршруты перемещения информации (контентных маршруты) и ограничить распространение данных, блокируя неразрешенные маршруты. InfoWatch traffic Monitor может быть интегрирован с криптографическими средствами защиты информации – например, InfoWatch cryptoStorage Enterprise – и защитить от неправомерного или случайного доступа персональные и/или биометрические данные, находящиеся на мобильных носителях или устройствах вне информационной системы.
постановление правительства РФ №781 от 17.11.07 (во исполнение ст. 19 ФЗ «о персональных данных»)
пункт 11. «при обработке персональных данных в информационной системе должно быть обеспечено: ... б) своевременное обнаружение фактов несанкционированного доступа к персональным данным; ... д.) постоянный контроль за обеспечением уровня защищенности персональных данных.»
InfoWatch traffic Monitor постоянно отслеживает соблюдение установленного порядка обработки персональных данных и другой конфиденциальной информации. он обнаруживает и при необходимости блокирует факты несанкционированной передачи информации.
Payment card Industry Data Security Standard (PcI DSS)
обеспечение защиты хранящихся данных держателей карт. обеспечение шифрования данных владельцев карт и других важных данных при их передаче через общедоступные сети. разграничение доступа к данным по принципу служебной необходимости и разделения полномочий. отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт.
InfoWatch traffic Monitor контролирует доступ к информации, позволяет регистрировать и вести учет такого доступа. в состав решения входит централизованный архив, в котором сохраняются подробные данные о всех действиях с информацией. InfoWatch traffic Monitor может быть интегрирован с криптографическими средствами защиты информации – например, InfoWatch cryptoStorage Enterprise.
Закон США 104-191 (health Insurance Portability and accountability act, hIPaa)
секция 1173 (d)(2) определяет, что каждое лицо, имеющее доступ к медицинской информации, должно принимать административные, технические и физические меры по защите от несанкционированного использования или раскрытия этой информации.
благодаря совместному применению нескольких технологий анализа InfoWatch traffic Monitor позволяет точно идентифицировать медицинские данные и предотвратить их несанкционированное использование. продукт является техническим средством защиты от несанкционированного доступа и раскрытия информации.
Закон США 107-204 (Sarbanes-Oxley act of 2002)
секция 302 возлагает на руководство компаний обязательство обеспечить корректность и истинность финансовой информации. общее правило: «информация, которая может быть изменена без информирования об этом руководства, не может быть признана корректной». параграф 803 предусматривает архивирование корпоративной информации (в первую очередь переписки по корпоративной почте) на срок минимум 7 лет. параграф 404 требует наличия внутренних механизмов контроля для предотвращения мошенничества, учета всех действий с конфиденциальной информацией и защиты информационных активов от неавторизованного доступа и разглашения.
InfoWatch traffic Monitor защищает информацию от несанкционированного доступа, изменения, удаления, копирования и распространения – обеспечивает корректность информации. в состав решения входит централизованный архив, в котором сохраняется вся прошедшая корпоративная информация, включая переписку по корпоративной почте. срок хранения информации не ограничен. InfoWatch traffic Monitor обеспечивает полноценный контроль действий пользователя с информацией посредством учета и регистрации доступа к информации и защищает конфиденциальную информацию от разглашения.
 
 
Комментарии (0)добавить комментарий
Ваш комментарий
Автор
Введите число на картинке

  • курсы
Знач. Изм.
USD ЦБ РФ 28/03 92.59 0.0174
EUR ЦБ РФ 28/03 100.27 -0.1417