Обзор проблем IT-безопасности
Ощущение полной безопасности наиболее опасно.
Везде, где есть жизнь, есть и опасность.
Причины возникновения проблем с ИТ-безопасностью
Для того чтобы понять, с чем связаны и из чего вытекают проблемы безопасности в работе современного предприятия, следует обратиться к рис. 8.1, на котором изображена схема взаимосвязи между нуждами бизнеса, требованиями безопасности и принципами приватности.
Рис. 8.1. Схема взаимосвязи между нуждами бизнеса, требованиями безопасности и принципами приватности
Очевидно, что нужды бизнеса, безопасности и приватности неизбежно входят в противоречие, ведь в самой природе бизнеса заложена необходимость информационного обмена.
Руководство компании, озабоченное увеличением прибыли компании, вынуждено обеспечивать поставщикам, клиентам и партнерам доступ к корпоративной информации.
Однако корпоративная информация имеет конфиденциальную составляющую, и утечка этой информации, а тем более попадание ее к конкурентам - это потери в бизнесе. Конкуренты всегда будут стараться получать и накапливать информацию о других предприятиях. Очевидно, таким образом, что информация должна передаваться только доверенным лицам, т.е. необходима система авторизации доступа к корпоративной информации - такая, при которой известно, кто получает информацию, и ясно, что получатель информации - именно тот, за кого он себя выдает. В силу необходимости авторизации стали создаваться системы мониторинга действий сотрудников, партнеров и клиентов.
Накапливание информации о партнерах и клиентах позволяет получать о них дополнительную информацию и обеспечивать лучший сервис (а соответственно, и получать большую прибыль). Однако накапливание данных о клиентах и партнерах приводит к нарушению их права приватности. В частности, многие клиенты Интернет-магазинов выражают опасения, что информация о совершенных ими заказах может быть использована третьими лицами. Службы безопасности постоянно вступают в конфликты с сотрудниками и клиентами при внедрении систем управления цифровыми правами, по сути позволяющих шпионить за действиями последних.
Конфликт между работодателем и сотрудником может привести к проблеме так называемых "обиженных сотрудников", которые готовы уйти к конкуренту, что, в свою очередь, может обернуться существенной утечкой информации.
Но проблема не только в подобного рода конфликтах. Например, многие компании пытаются навязать свою рекламу путем использования информационной системы потребителя. И чем больше будет появляться средств массовой рассылки, тем больше будет соблазна у недобросовестных рекламодателей злоупотреблять временем клиента. И наконец, многим свойственно желание просто самоутвердиться за счет разрушения чужой информационной системы, чужого бизнеса, даже если это не сулит прямой прибыли. Яркий пример тому - разного рода вирусы и атаки, которые приносят компаниям миллионные убытки. Как показывает опыт, судебное преследование не истребляет желания хакеров прославиться на ниве создания вирусов. Важно также отметить просто неграмотные действия пользователей в корпоративной сети, в результате которых происходят потери файлов или утечка информации.