Почему информационная безопасность важна для коммерческих организаций? И причем тут маркетинг.

С государственными компаниями всё понятно, там есть регуляторы, которые обязывают повышать безопасность информации внутри контура организации. Указ 250 распространяется на коммерческие предприятия? Но нужно ли коммерческим организациям развивать информационную безопасность сегодня? Как можно обосновать выделение бюджета на ИБ бизнесу? Какие решения на рынке ИБ использовать эффективнее?

Я недавно писал в своём новостном блоге про то, зачем развивать Информационную безопасность в коммерческих компаниях на примере двух крупных инцидентов. В любом случае, когда взламывают компанию и происходит утечка информации, то это происходит за счёт уязвимостей ИТ-инфраструктуры и недостаточности ИБ системы предотвратить целевую атаку. Из-за несвоевременного обновления ИТ и ИБ систем крупный бизнес несёт убытки, миллионы рублей в минуту, например, при остановке работы сайта или отказа платёжной системы. Как показывает независимая аналитика, больше 60% вредоносных атак на крупные предприятия происходят на любительском уровне. После атаки страдает репутация компании. В конце 2023 года я делал доклад-презентацию на закрытом мероприятии, где был слайд с крупнейшими утечками персональных данных (более 100 000 строк контактов) за год. В среднем каждый месяц было больше 3 утечек, начиная от сервисов доставки еды, до медицинских анализов.

После нарушения безотказности работы ИТ-инфраструктуры предприятия падает и лояльность клиентов. Они начинают связывать свои взаимодействия с сервисами компании, где произошёл инцидент, с рисками потери денег или времени, а также снижением качества получаемого товара или услуги. И начинают активно искать альтернативы у конкурентов. Также известно, что довольный клиент может забыть рассказать о хорошем продукте, услуге или сервисе, но вот недовольный клиент может тратить избыточно много времени рассказывая максимально широкой аудитории, как он был неудовлетворен товаром, услугой или сервисом. Самое печальное это нарушение современных производственных линий, так как они преимущественно работают в безостановочном режиме. Отказ работы одной из таких систем может привести не только к убыткам, но и к человеческим жертвам. Например, сбой в системе учёта нормы опасного газа или давления в оборудовании.

Сегодня большинство домохозяйств используют не закрытый 25 порт, так как он открыт по умолчанию и не использует шифрование. Аналогичная ситуация встречается и на производствах - сотрудники открывают письма из недостоверных источников, пользуются мессенджерами для пересылки файлов и т.д. С одной стороны, рынок ИБ имеет больше 100 SOC решений от разных производителей и рынок специалистов в области ИБ ежегодно растёт на 20%, а с другой стороны - большинство целевых атак на предприятия и утечки информации продолжаются каждый месяц.

Для начала надо провести аудит квалифицированной компанией специализирующейся на ИБ, подобрать комплексные решения, которые будут не только уведомлять, но и предотвращать атаки, утечку данных и другие вредительские действия. А после сформировать команду специалистов, которые будут следить за системой и вовремя её обновлять. Так как атаки становятся всё изобретательнее, то и системы должны быть более современными. Недавно столкнулся с рядом атак в виде подмены профилей сотрудников в самой популярной платформе обмена сообщениями и файлами. Ранее фиксировал большое количество жалоб на подмену программы в мобильном магазине приложений. Самое главное для современных крупных предприятий - нужно иметь комплексную систему защиты информации предприятия и выделять бюджет на её обновление и доработки.

Маркетинг позволяет компаниям выявить потребности потенциальных заказчиков. Оросить существующих заказчиков на предмет востребованных задач, а также подобрать наиболее подходящие технологии.

Именно благодаря исследованию маркетинга можно найти наилучший стек технических решений для комплексного закрытия потребностей компании-клиента. Также маркетинг помогает удовлетворить запросы сразу нескольких категорий ЛПР в компании. Например руководителей разных подразделений: закупки информационные технологии, бизнес управляющие, руководитель подразделения информационной безопасности.

Организация презентации ИБ решений, независимо от формата и площадки также должна отвечать индивидуальным запросам каждой группы. Каждую группу лиц влияющих на принятие решения о внедрении ИБ необходимо сегментировать по какому-нибудь общему признаку и подготовить презентацию под индивидуальные потребности каждой группы.