В прошлых публикациях я рассказал о том, что такое коммерческая тайна, сколько может стоить информация, на реальных примерах описал ответственность за ее разглашение для разных случаев. Все это вы можете прочитать в публикациях «Сколько стоит коммерческая тайна» и «Ответственность за продажу коммерческой тайны». Сегодня мы поговорим о том, какую информацию, хранящуюся в коммерческой организации, стоит защищать коммерческой тайной.
Сейчас практически вся информация в любой организации хранится в электронном виде, независимо от того, что это такое, база данных клиентов, характеристики продукции, эскизы, чертежи и т.д. Цифровые технологии упростили, в том числе, процесс копирования. В самом сложном случае для получения копии бумажных документов понадобится обычный смартфон или фотоаппарат, а при доступе к данным на компьютере копируется на внешний носитель или отправляется куда-либо через интернет готовый файл.
Потому максимальные усилия по защите информации направляются именно на защиту цифровых данных.
Это могут быть:
1. Базы данных
2. Файлы
3. Пароли доступа к компьютерам и сети
4. Код систем
Подробнее о каждом из видов информации мы и поговорим.
Что такое базы данных, объяснять на ресурсе IT-специалистов, я думаю, нет необходимости. Самые распространенные варианты работы с базами данных в коммерческой сфере – это Учетные системы и CRM.
В подобных программных системах базы данных хранятся на серверах, к которым прямой доступ может получить только системный администратор или другой специалист соответствующего профиля. Из программы, в принципе, доступ к базе имеет любой сотрудник, который работает в системе. Но здесь защита информации работает на программном уровне. Вы определяете четкие права доступа для каждой должности, настраиваете их. И знаете точно, что рядовой менеджер не сможет не только выгрузить в файл, например, клиентскую базу, но даже увидеть сведения о клиентах, с которыми он не работает.
Проблема в том, что эти права доступа грамотно настраивают далеко не все. Более того, некоторые компании до момента утери данных даже не понимают, почему этим системам нужно уделять максимум внимания.
Здесь обычно хранятся практически все сведения о работе компании:
И здесь очень важно продумать ограничения доступа. Одно дело – скопировать данные клиентов, это еще половина беды. Другое дело, когда недобросовестный сотрудник копирует клиентов вместе с данными об отгрузках, ценах и платежах, т.е. передает конкурентам всю схему сотрудничества.
Например, в строительной организации до заключения контракта может проводиться очень большая работа. Это и составление проектной документации, и выбор оборудования, и согласование сметы (калькуляции).
Понятно, что, если конкурент получит просто контакты клиентов, ему придется выполнять всю эту работу самостоятельно. И совсем не факт, что клиенту понравится предложение от конкурентов. Другое дело, когда у него на руках выкачанная из учетной системы проектная документация. В этом случае с минимальными затратами сил и времени конкурент получает возможность сделать предложение выгоднее, и «увести» клиента до подписания контракта.
В этой программной системе ведут текущую работу отделы продаж. И здесь хранится «чувствительная» информация о том, как получить доступ к самому ценному ресурсу любой компании – клиенту.
В CRM собирают:
В учетной системе собирается информация по заказу, а здесь – все нюансы взаимоотношений с клиентом, в том числе, контакты, которые в учетную систему не заносятся за ненадобностью. Т.е. сведения из учетной системы помогут конкуренту получить «ваш» заказ, а сведения из CRM – наработанную клиентскую базу.
Здесь речь пойдет о документах, таблицах, эскизах, чертежах и т.п. Можно сказать, что базы данных – это также файлы, любая информация хранится в файлах. Но с точки зрения пользователей и защиты информации важно другое. Базы данных для получения доступа к информации требуют наличия определенной программы, кроме того, сами эти файлы, как я уже выше писал, недоступны пользователям.
Потому к файлам здесь я отношу ту информацию, для доступа к которой не понадобится информационная система, и которые можно скопировать, после чего открыть в офисных или других общедоступных приложениях.
И здесь я хотел бы особенно выделить чертежи и описания технологических процессов. Например, большинство производственных компаний хранят чертежи оборудования и другую документацию, связанную с производственным процессом, в виде обычных файлов. Хранятся они на сервере или на компьютерах сотрудников.
Само собой, что предоставлять доступ к подобным сведениям конкурентам крайне опасно для бизнеса, так как они с использованием этой документации смогут либо воплотить в жизнь проект, либо начать выпускать подобную продукцию без каких-либо исследований и разработки технологии.
К защите этой информации нужно относится особенно внимательно. Вы создаете какую-то систему, структуру доступов для сотрудников, защищаете таким образом информацию. Но если кому-то окажется доступным чужой пароль, сотрудник может воспользоваться информацией, в обычное время «закрытой» для него.
Еще хуже, если доступ к вашей информации, расположенной на каких-то сетевых ресурсах, получают конкуренты. Потому крайне важно не только сами базы данных шифровать и защищать от копирования, но также внимательно следить за паролями доступа. Если посторонний человек получит доступ администратора, то вся ваша работа по защите баз данных окажется бессмысленной.
Для кого-то это прозвучит даже парадоксально, но на самом деле, код системы с точки зрения коммерческой тайны ценится ниже всего. Само собой, речь идет о программных решениях, которые бизнес разработал или доработал «под себя», а не профессиональную разработку новых приложений и других продуктов, которые компания планирует продавать.
Я нередко сталкивался с ситуацией, когда компания разрабатывает свою особенную учетную систему или другое программное решение, владелец считает его своим ноу-хау и очень высоко ценит. Особенно это развито в полиграфии и продаже недвижимости.
На самом деле, программный код копируют реже всего. Воспользоваться им может только другой программист, без необходимой профессиональной подготовки он оказывается бесполезным. Кроме того, этот код создавался под определенную компанию, ее бизнес-процессы, взаимодействие с определенными информационными системами и т.д. Чтобы использовать его в другой компании, понадобятся соответствующие доработки, иногда даже более сложные и дорогостоящие в сравнении с написанием подобного кода «под себя» с нуля.
Многие программисты знают, что разбираться в чужом коде бывает, так сказать, «смерти подобно», быстрее написать что-то свое. А те самые ноу-хау, которые высоко ценятся внутри организации, для коллег и конкурентов нередко оказываются неинтересными. Само собой, что компания вложила в этот код много сил и средств, потому для нее он очень ценен. С точки зрения продажи коммерческой информации – наоборот, именно код перепродать сложнее всего, потому его реже всего копируют, и ценность его намного ниже в сравнении с файлами и базами данных.
Конечно, я здесь перечислил далеко не весь список информации, которую следует защищать коммерческой тайной. В каждой сфере деятельности – свои особенности, и всегда есть какие-то важные данные, нуждающиеся в защите. Но если вы сомневаетесь в ценности той или иной информации с точки зрения коммерческой тайны, надеюсь, что мой перечень поможет разобраться, что наиболее востребовано злоумышленниками и обязательно нужно защищать.
Сейчас практически вся информация в любой организации хранится в электронном виде, независимо от того, что это такое, база данных клиентов, характеристики продукции, эскизы, чертежи и т.д. Цифровые технологии упростили, в том числе, процесс копирования. В самом сложном случае для получения копии бумажных документов понадобится обычный смартфон или фотоаппарат, а при доступе к данным на компьютере копируется на внешний носитель или отправляется куда-либо через интернет готовый файл.
Потому максимальные усилия по защите информации направляются именно на защиту цифровых данных.
Это могут быть:
1. Базы данных
- Учетная система
- CRM
2. Файлы
- Чертежи
- Описание технологического процесса и т.д.
3. Пароли доступа к компьютерам и сети
4. Код систем
Подробнее о каждом из видов информации мы и поговорим.
Базы данных
Что такое базы данных, объяснять на ресурсе IT-специалистов, я думаю, нет необходимости. Самые распространенные варианты работы с базами данных в коммерческой сфере – это Учетные системы и CRM.
В подобных программных системах базы данных хранятся на серверах, к которым прямой доступ может получить только системный администратор или другой специалист соответствующего профиля. Из программы, в принципе, доступ к базе имеет любой сотрудник, который работает в системе. Но здесь защита информации работает на программном уровне. Вы определяете четкие права доступа для каждой должности, настраиваете их. И знаете точно, что рядовой менеджер не сможет не только выгрузить в файл, например, клиентскую базу, но даже увидеть сведения о клиентах, с которыми он не работает.
Проблема в том, что эти права доступа грамотно настраивают далеко не все. Более того, некоторые компании до момента утери данных даже не понимают, почему этим системам нужно уделять максимум внимания.
Учетная система
Здесь обычно хранятся практически все сведения о работе компании:
- Товарные справочники и остатки.
- Сведения о клиентах: контакты, частота и содержимое заказов.
- Сведения о поставщиках.
- Взаиморасчеты: долги, оплаты и другие данные, по которым можно определить, кто работает по предоплате, кто – с отсрочкой и т.д.
И здесь очень важно продумать ограничения доступа. Одно дело – скопировать данные клиентов, это еще половина беды. Другое дело, когда недобросовестный сотрудник копирует клиентов вместе с данными об отгрузках, ценах и платежах, т.е. передает конкурентам всю схему сотрудничества.
Например, в строительной организации до заключения контракта может проводиться очень большая работа. Это и составление проектной документации, и выбор оборудования, и согласование сметы (калькуляции).
Понятно, что, если конкурент получит просто контакты клиентов, ему придется выполнять всю эту работу самостоятельно. И совсем не факт, что клиенту понравится предложение от конкурентов. Другое дело, когда у него на руках выкачанная из учетной системы проектная документация. В этом случае с минимальными затратами сил и времени конкурент получает возможность сделать предложение выгоднее, и «увести» клиента до подписания контракта.
CRM-система
В этой программной системе ведут текущую работу отделы продаж. И здесь хранится «чувствительная» информация о том, как получить доступ к самому ценному ресурсу любой компании – клиенту.
В CRM собирают:
- Прямые контакты лиц, принимающих решение.
- Историю взаимоотношений с клиентом.
- Переписку, предложения, важные комментарии.
В учетной системе собирается информация по заказу, а здесь – все нюансы взаимоотношений с клиентом, в том числе, контакты, которые в учетную систему не заносятся за ненадобностью. Т.е. сведения из учетной системы помогут конкуренту получить «ваш» заказ, а сведения из CRM – наработанную клиентскую базу.
Файлы
Здесь речь пойдет о документах, таблицах, эскизах, чертежах и т.п. Можно сказать, что базы данных – это также файлы, любая информация хранится в файлах. Но с точки зрения пользователей и защиты информации важно другое. Базы данных для получения доступа к информации требуют наличия определенной программы, кроме того, сами эти файлы, как я уже выше писал, недоступны пользователям.
Потому к файлам здесь я отношу ту информацию, для доступа к которой не понадобится информационная система, и которые можно скопировать, после чего открыть в офисных или других общедоступных приложениях.
И здесь я хотел бы особенно выделить чертежи и описания технологических процессов. Например, большинство производственных компаний хранят чертежи оборудования и другую документацию, связанную с производственным процессом, в виде обычных файлов. Хранятся они на сервере или на компьютерах сотрудников.
Само собой, что предоставлять доступ к подобным сведениям конкурентам крайне опасно для бизнеса, так как они с использованием этой документации смогут либо воплотить в жизнь проект, либо начать выпускать подобную продукцию без каких-либо исследований и разработки технологии.
Пароли доступа
К защите этой информации нужно относится особенно внимательно. Вы создаете какую-то систему, структуру доступов для сотрудников, защищаете таким образом информацию. Но если кому-то окажется доступным чужой пароль, сотрудник может воспользоваться информацией, в обычное время «закрытой» для него.
Еще хуже, если доступ к вашей информации, расположенной на каких-то сетевых ресурсах, получают конкуренты. Потому крайне важно не только сами базы данных шифровать и защищать от копирования, но также внимательно следить за паролями доступа. Если посторонний человек получит доступ администратора, то вся ваша работа по защите баз данных окажется бессмысленной.
Код систем
Для кого-то это прозвучит даже парадоксально, но на самом деле, код системы с точки зрения коммерческой тайны ценится ниже всего. Само собой, речь идет о программных решениях, которые бизнес разработал или доработал «под себя», а не профессиональную разработку новых приложений и других продуктов, которые компания планирует продавать.
Я нередко сталкивался с ситуацией, когда компания разрабатывает свою особенную учетную систему или другое программное решение, владелец считает его своим ноу-хау и очень высоко ценит. Особенно это развито в полиграфии и продаже недвижимости.
На самом деле, программный код копируют реже всего. Воспользоваться им может только другой программист, без необходимой профессиональной подготовки он оказывается бесполезным. Кроме того, этот код создавался под определенную компанию, ее бизнес-процессы, взаимодействие с определенными информационными системами и т.д. Чтобы использовать его в другой компании, понадобятся соответствующие доработки, иногда даже более сложные и дорогостоящие в сравнении с написанием подобного кода «под себя» с нуля.
Многие программисты знают, что разбираться в чужом коде бывает, так сказать, «смерти подобно», быстрее написать что-то свое. А те самые ноу-хау, которые высоко ценятся внутри организации, для коллег и конкурентов нередко оказываются неинтересными. Само собой, что компания вложила в этот код много сил и средств, потому для нее он очень ценен. С точки зрения продажи коммерческой информации – наоборот, именно код перепродать сложнее всего, потому его реже всего копируют, и ценность его намного ниже в сравнении с файлами и базами данных.
Заключение
Конечно, я здесь перечислил далеко не весь список информации, которую следует защищать коммерческой тайной. В каждой сфере деятельности – свои особенности, и всегда есть какие-то важные данные, нуждающиеся в защите. Но если вы сомневаетесь в ценности той или иной информации с точки зрения коммерческой тайны, надеюсь, что мой перечень поможет разобраться, что наиболее востребовано злоумышленниками и обязательно нужно защищать.
Daddy_Cool
Краткое содержание статьи:
1. У вас есть информация которую конкурент сможет использовать.
2. У вас есть информация которую конкурент не сможет использовать.
3. Первое надо защищать, а второе защищать не надо.
vampire333
Уточнение: первое надо защищать больше, второе меньше ( но тоже защищать).
ramil_trinion
Что сказать то хотели?
Daddy_Cool
Иногда, я вижу, что некоторые статьи могли бы быть более информационно-наполнены, и мой скромный коммент возможно сэкономит время читателей. #irony
ramil_trinion
Странно читать такие пассажи от человека который ни одну статью сам на хабре не написал.
Daddy_Cool
В этом-то как раз и дело. Пока мне нечего сказать сообществу такого, чтобы это было интересно, полезно, ёмко, не содержало очевидностей, и т.п… Мысли конечно есть — но они пока недостаточны ценные на мой взгляд. Статья должна быть хорошей, а публикация слабых статей — ослабляет в целом уровень ресурса, т.е. Хабра, что крайне нежелательно.
Есть метафора, что сообщества которые себя не защищают погибают — как сады без прополки, поэтому ироничное пинание авторов из педагогических соображений мне кажется вполне уместным.
Что касается конкретно этой статьи — то видите какой интерес она вызвала, какое бурное обсуждение в комментариях… #irony
Andrey_Rogovsky
Краткое содержание статьи:
1. У вас есть информация которую конкурент сможет использовать.
2. У вас есть информация которую конкурент не сможет использовать.
3. Первое надо очень сильно защищать, а второе просто защищать.