Предотвращение утечек информации в высокотехнологичной компании

Что было сделано

Работа над проектом была разделена на 3 части:

1. Создание организационно-правовых механизмов борьбы с утечками
2. Внедрение системы защиты от утечек
3. Создание и обучение службы информационной безопасности

Учитывая значительные финансовые потери Заказчика от постоянных утечек работа велась сразу по 3 направлениям.

В рамках создания организационно-правовых механизмов борьбы с утечками были разработаны все необходимые документы, включая обязательства сотрудников о неразглашении информации ограниченного доступа. Разделены права и обязанности отделов и департаментов, созданы ролевые модели в информационных системах.

Система защиты от утечек была подобрана исходя из требований бизнеса. Менеджмент стремился новыми техническими мерами не нарушить работу коллектива и не допустить острого противодействия сотрудников. Ведь работники привыкли работать в обстановке доверия со стороны руководства.

Служба информационной безопасности заработала через 2 месяца с даты начала работ, сотрудники в количестве 2 человек были обучены работе с системой защиты от утечек, прошли обучение и инструктаж по расследованию инцидентов и работе с персоналом.

Через 3 месяца после начала работы службе безопасности были выявлены 3 новых канала утечек, которые фактически являлись частью бизнес-процессов в компании. Были применены меры по недопущению утечек в будущем, в том числе через создание альтернативной логики бизнес-процесса.

Через 5 месяцев после начала работы было выявлено 2 факта умышленной кражи информации со стороны сотрудников, которые получили дисциплинарные взыскания. В последующие 6 месяцев работы выявлялись только эпизодические и неумышленные факты утечек информации.

По оценкам руководства компании, работы по защите от утечек окупились в первые 4 месяца работы.