Что такое управление информационной безопасностью?
Сегодня бизнес-организации создают, собирают и хранят огромные объемы информации от своих клиентов, включая поведенческую аналитику, данные об использовании, личную информацию, данные о кредитных картах и платежах, информацию о здравоохранении и многое другое. Увеличение объема корпоративных данных за последнее десятилетие, наряду с растущей угрозой кибератак и утечек данных, привело к значительным достижениям в области управления информационной безопасностью для ИТ-организаций. Появились даже курсы переподготовки по информационной безопасности.
Управление информационной безопасностью описывает набор политик и процедурных средств контроля, которые ИТ-организации и бизнес-организации внедряют для защиты своих информационных активов от угроз и уязвимостей. Ответственность за информационную безопасность может быть возложена на директора по безопасности, главного технического директора или на руководителя ИТ-операций, в команду которого входят операторы ИТ и аналитики по безопасности. Многие организации разрабатывают формальный документированный процесс управления InfoSec, который часто называют системой управления информационной безопасностью или СМИБ.
Что такое информационный актив?
Если ваша организация не собирает идентифицирующую или личную информацию от клиентов, вы можете задаться вопросом, необходимо ли вам внедрять процессы управления информационной безопасностью для защиты ваших данных. Неудивительно, что почти все организации обладают информацией, которой они не хотели бы делиться или публиковать. Независимо от того, хранятся ли эти данные в цифровом или физическом формате, дисциплина управления информационной безопасностью имеет решающее значение для защиты данных от несанкционированного доступа или кражи.
Подумайте, владеет ли ваша организация и хотела бы защитить следующие типы информационных активов:
- Стратегическая документация. Предприятия и ИТ-организации разрабатывают и документируют долгосрочные стратегические и краткосрочные тактические цели, которые определяют их цели и видение будущего. Эти ценные внутренние документы содержат секреты и информацию, к которой конкуренты могут захотеть получить доступ.
- Информация о продуктах / услугах. Критическая информация о продуктах и услугах, в том числе предлагаемых бизнесом и ИТ, должна быть защищена с помощью управления информационной безопасностью. Это включает в себя исходный код для приложения, разработанного внутри компании, а также любые данные или информационные продукты, которые продаются клиентам. Если ваш бизнес продает цифровой продукт, вам потребуется информационная безопасность, чтобы хакеры не могли украсть ваш продукт и распространить его без вашего согласия или ведома.
- Интеллектуальная собственность / патенты. Если ваша компания создает интеллектуальную собственность, в том числе разрабатывает программное обеспечение, вам могут потребоваться средства управления информационной безопасностью для ее защиты. Ваши конкуренты могут захотеть украсть ваш исходный код и использовать его для перепроектирования продукта, чтобы конкурировать с вашим. В некоторых странах законы об авторском праве или интеллектуальной собственности не соблюдаются, поэтому у вас может не быть средств правовой защиты, если это допустимо.
- Собственные знания / коммерческие секреты. Каждая организация генерирует собственные знания в процессе ведения бизнеса. Для ИТ-организаций эти знания могут храниться во внутренней базе знаний, доступной ИТ-операторам и вспомогательному персоналу. Коммерческие секреты - это уникальные идеи и понимание, которые дают вашему бизнесу конкурентное преимущество. Если вы не будете открыто делиться ими со своими конкурентами, вам следует защитить коммерческую тайну и собственные знания, используя средства управления информационной безопасностью.
- Текущая проектная документация. Она состоит из задокументированных деталей продуктов или услуг, которые находятся в процессе запуска. Если ваши конкуренты узнают, чем вы занимаетесь, они могут попытаться выпустить конкурирующий продукт или функцию быстрее, чем ожидалось, и даже могут сравнить его с вашим новым продуктом, чтобы заблокировать вас с рынка.
- Данные о сотрудниках. Отделы кадров собирают и хранят данные о ваших сотрудниках, включая обзоры производительности, историю занятости, заработную плату и другую информацию. Эти записи могут содержать конфиденциальную информацию, которую злоумышленник может использовать для шантажа ваших сотрудников. Конкурирующая организация может использовать эти данные для определения целей, прежде чем пытаться переманить ваших сотрудников.
Все эти примеры перечислены в дополнение к конфиденциально представленным данным клиентов, когда неспособность защитить данные от кражи будет представлять собой нарушение доверия, а в некоторых случаях - несоответствие стандартам или законодательству в области информационной безопасности.