Обеспечение информационной безопасности бизнеса - Н. Голдуев
Шрифт:
Интервал:
Закладка:
Другие уязвимости процесса самообучения вызваны особенностями осуществления любого бизнеса и тем конфликтом интересов, который проистекает из этих особенностей. Рассмотрим подробнее, причем будем идти не от уязвимостей, а от того, каким образом бизнес или организация могут получить преимущества для себя, поскольку это основная цель бизнеса и организации при накоплении и обобщении знаний. Решающее значение для получения преимуществ в бизнесе имеет точный прогноз, осуществляемый на основе этих знаний.
Менеджмент организации обычно требует как можно более точного и продолжительного прогноза. Возникает вопрос: насколько точным и долговременным должен быть прогноз реально? Эти характеристики зависят от вида и природы бизнеса и величины участвующих в деле активов (см. признаки информационно опасного бизнеса). Но на практике, чтобы получить преимущество, достаточно иметь лучший и более продолжительный прогноз, чем у других участников бизнеса. Чтобы получить преимущество, есть три способа, обычно используемых в сочетании друг с другом.
Во-первых, необходимо обеспечить более эффективное обучение и накопление знаний. Условиями быстрой сходимости и эффективность процесса накопления знаний (обучения) является полный доступ к:
– исходной информации, используемой для накопления знаний, всех субъектов, участвующих в бизнесе организации;
– уже накопленным знаниям, опыту и частично обработанной информации.
Во-вторых, преимущество можно получить, мешая другим организациям (как конкурентам, так и союзникам) и субъектам получать нужные знания путем соответствующих информационных воздействий. Здесь в основном два пути.
Навязать заведомо ложную либо существенно неполную, искаженную, но во всех случаях правдоподобную информацию. Чем ее больше, тем лучше, поскольку в этом случае облегчается прогноз поведения противоборствующей стороны. Неправильные прогноз и целеполагание, выполненные противоборствующей стороной и основанные на известной нам (навязанной) ложной информации, снимут часть неопределенностей в прогнозе для своего бизнеса и организации.
Скрыть свой опыт. Накопление знаний противоборствующей стороной требует информации, и чем больше ее получат противоборствующие субъекты, тем лучше они смогут построить свой прогноз. Отсюда следует необходимость минимизировать выходящую за пределы организации информацию, и в первую очередь должна быть минимизирована информация о целях.
Это не что иное, как один из элементов информационного противоборства. Основная его опасность в том, что он наиболее эффективно действует именно на систему управления – основную сущность бизнеса. Это та область, где информационная атака может существовать самостоятельно, а не как вспомогательное средство для атак в других базисах (экономических, финансовых, юридических и т. п.).
Отметим, что классическое информационное противоборство не предполагает наличия каких-либо правил, ограничивающих действия сторон. Однако бизнес-сообщество должно иметь (и, как правило, имеет) свои «правила игры», определяющие некоторую этику поведения, т. е. что можно, а что нельзя. Основой таких правил может служить, например, общая корпоративная цель у кредитных организаций, в отрасли и т. п. Другой пример – введение ограничений на возможность разрушения чужих целей. Маскирующая информация только должна скрывать свои цели (подобно ограничениям на рекламу товаров). Законодательная база в нашей стране слабо регулирует эту область.
В-третьих, получить преимущество можно, используя чужие (украденные) знания. Теоретически чужие знания могли бы быть полезны в двух аспектах:
– для прогноза состояния противоборствующего субъекта;
– для использования в своей деятельности.
Располагая общедоступной информацией и зная методы, методики, алгоритмы ее использования и обработки можно с достаточной точностью предсказать будущее поведение субъекта бизнеса (организации). Этот аспект использования чужих знаний не вызывает особых сомнений, и полезность получения информации о чужом опыте неоспорима.
Что касается использования чужих знаний в своей деятельности, то этот вопрос весьма спорен. Многочисленные примеры, в том числе исторические, свидетельствуют, что воспользоваться чужими знаниями в своей деятельности не удается. Это обусловлено тем, что знания – сильно структурированная информация, которая может правильно интерпретироваться и эффективно использоваться только соответствующей инфраструктурой (включая «мозги» субъектов, работающих в организации). Чтобы воспользоваться чужими знаниями надо «украсть» (или купить) всю инфраструктуру. Если вместо этого создавать свою (под чужие знания), то будет упущено время, противодействующая сторона уйдет вперед и получит преимущество в бизнесе.
Теперь остается поставить себя на место конкурента, который также желает получить для себя преимущества, и получим основные уязвимости процесса самообучения.
Во-первых, полный доступ к информации, знаниям и опыту организации, обеспечивающий эффективное самообучение, сам по себе является одновременно уязвимостью. Реально во всех организациях внутренняя информация, хотя бы неформально, категорируется по степени важности и ограничениям в доступе и доступ к чувствительной информации как-то регулируется. Вторая уязвимость, связанная с эффективностью, – уже обсуждавшаяся общая информационная культура работы с информационной сферой организации. Чтобы персонал организации мог своевременно получить доступ к нужной ему адекватной и точной информации, она должна быть соответствующим образом организована.
Во-вторых, перед принятием решений по крупным бизнес-проектам велик риск создания и навязывания конкурентами потоков ложной и маскирующей информации, возможно, по нескольким независимым каналам. Эта угроза усугубляется специально созданным (конкурентами же) дефицитом времени или другими условиями (например, атакой на доступность серверов с базами данных), не позволяющими проверить достоверность этой информации или затрудняющими эту проверку. Отметим, что активность конкурентов, скорее всего, нельзя будет назвать злоумышленной, они просто пытаются взять свое, реализовать свой бизнес, о существовании вашей организации и ее участии в бизнесе они даже могут и не знать.
В-третьих, всегда есть риск, что данные, принадлежащие организации, будут похищены или она будет поставлена в условия, когда будет вынуждена хотя бы частично их предоставить, например, участвуя в конкурсах и тендерах на выполнение проектов. Защититься от использования ваших знаний конкурентами в своей деятельности, включая противодействие утечке через переманивание персонала, можно за счет децентрализации знаний. Защититься от использования вашей информации в других целях значительно сложнее. Как правило, это инсайдерская информация. Наиболее опасны менеджеры высшего уровня, владеющие большим объемом особо ценной информации. В любом случае угроза хищения данных тем больше, чем более доступна чувствительная для организации информация. Таким образом, есть противоречие с эффективностью накопления знаний, где важно, чтобы знания были всем одинаково доступны.
Низкий ресурсный порог информационных воздействий, а также то, что информация ничего не стоит до момента ее использования, существенно понижают психологический порог субъектов и усиливают их склонность к нарушениям (несоблюдению правил) в информационном мире. Это усугубляет ситуацию и увеличивает риск реализации угроз хищения и информационного противоборства.
1.1.4. Определение информационной безопасности
Постепенное осознание факта, что информационное воздействие на бизнес-процесс (на управление им) может быть эффективнее, чем материальное или финансовое воздействие, а также низкий ресурсный порог таких воздействий превращают информационное противоборство в главный инструмент выживания и конкурентной борьбы. А это, в свою очередь, выводит на первый план роль информационной безопасности, которая должна быть неразрывна с бизнесом.
Под информационной безопасностью (ИБ) организации понимается состояние защищенности интересов (целей) организации в условиях угроз в информационной сфере.
Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений. Рассмотрим основные свойства информационной сферы, важные с точки зрения ИБ.
1.2. Материальные и нематериальные (информационные) аспекты бизнеса
1.2.1. Общая структура информационной сферы. Связь с материальным миром
Реальное управление активами организации в процессе реализации любого бизнеса осуществляется менеджментом на информационном уровне. Любые операции с материальными активами, как правило, сопровождаются параллельно выполняемыми операциями с их информационными описаниями или представлениями. Например, для основных средств организации при их приобретении такими представлениями являются товарные накладные, внутренние документы на оприходование, карточки учета основных средств, договоры на выполнение пусконаладочных работ, акты ввода в эксплуатацию основных средств и т. д.
