Обеспечение информационной безопасности, помимо чисто финансового, имеет ряд других аспектов. В частности, этический. Об этом не принято писать в специализированных журналах, но, тем не менее, существует ряд проблем, решение которых кроется именно во взгляде на обеспечение информационной безопасности с этической точки зрения. Что это за проблемы?
Существует такое понятие, как бизнес-этика. К сожалению, в России она пока не приобрела такого веса в бизнес-кругах, как в западных странах, но, тем не менее, постепенно приходит понимание того, что следование нормам бизнес-этики является необходимым условием существования и успеха компании в долгосрочном периоде.
Краеугольные камни бизнес-этики – уважительное во всех смыслах этого слова поведение компании по отношению к клиентам, партнерам, собственным сотрудникам, инвесторам и к обществу, в целом. В это понятие входят и добросовестная реклама, и добросовестная конкуренция, производство качественных товаров и оказание качественных услуг, уважение к окружающей среде… Список, если попытаться составить его, получится достаточно длинным и, что самое интересное, он постоянно пополняется.
Обеспечение информационной безопасности стало таким же важным фактором этичного ведения бизнеса любой компанией, как, к примеру, и обеспечение безопасности окружающей среды. Впрочем, если вести речь о постсоветском пространстве, то информационная безопасность даже важнее, поскольку последствия вреда для природы могут стать видимыми только спустя достаточно длительное время, в то время как пострадавшие от утечек информации клиенты или партнеры появятся, в случае пренебрежения ИБ, достаточно быстро.
Фактически сегодняшние реалии бизнеса таковы, что уважительное отношение к информации клиентов, партнеров и даже собственных сотрудников является таким же обязательным условием деятельности компании, как аналогичное отношение к их деньгам или интересам. Утечка персональных данных для компаний, работающих в сегменте B2C, равносильна тому, что компания посылает в массы сигнал: «мы не уважаем данные своих клиентов». Особенно сильным такой сигнал получается в тех случаях, когда компания старается всеми силами скрыть утечку информации, иногда доводя своё стремление до крайних степеней абсурда и отрицая очевидные вещи.
К сожалению, утечка персональных данных сегодня может стоить человеку, ставшему её жертвой, достаточно многих неприятностей, вплоть до заметных финансовых последствий, если данных достаточно, чтобы, например, получить доступ к его банковским картам или оформить кредит на его имя. Поэтому, как только подобное случается, компания, действующая в соответствии с нормами бизнес-этики, должна сообщить об утечке тем, кто потенциально мог от неё пострадать, чтобы у них была возможность хотя бы как-то минимизировать её последствия для себя. Если же компания, признавая свою ошибку, ещё и предложит пострадавшему небольшую, но греющую душу компенсацию, то можно сказать, что вместо недовольного клиента она получит клиента преданного. А это дорогого стоит.
Не стоит, впрочем, думать, что это касается только тех компаний, которые работают в сегменте B2C. В отношении B2B-рынка утверждение о необходимости соблюдения этики в сфере информационной безопасности действует даже сильнее, поскольку любой инцидент в сфере ИБ, в котором замешаны другие компании, непременно приведет к скандалу и ухудшению имиджа компании, допустившей утечку. И если с простыми гражданами еще можно договорить или даже понадеяться на то, что они банально забудут неприятную историю, то бизнес-сообщество наверняка надолго запомнит того, кто наплевал на его неписаные нормы.
Если вы ведете бизнес с европейскими или американскими партнерами или тем более клиентами, то будьте готовы к тому, что среди прочих сертификатов вас могут попросить предоставить сертификат на соответствие системы информационной безопасности вашей компании стандарту ISO/IEC 27001. Это тоже одно из негласных правил международного бизнеса, и хорошим тоном будет озаботиться соответствием этим нормам заранее – даже если на данном этапе вложения в получение подобного сертификата кажутся вам лишними, поверьте, в будущем они окупятся сторицей.
Хорошим тоном будет рассказать о том, как обеспечивается информационная безопасность в вашей компании, своим клиентам и партнерам. Для этого совсем не обязательно открывать какие-то секреты, которые позволят злоумышленникам обезвредить вашу систему обеспечения ИБ. Вполне достаточно упомянуть используемые вами средства, можно даже не называть их производителей. Хотя если вы уверены в своей системе ИБ, то подобная открытость не будет помехой.
Как видите, обеспечение информационной безопасности сегодня действительно является во многом этическим вопросом, пренебрегать которым чревато для перспектив вашего бизнеса.
Написать комментарий