ROI (Return of Investments, návratnost investic) může být v oblasti bezpečnosti poměrně obtížně vypočitatelná. Obvykle nelze provést o mnoho více než poukázat na její odhad, jako je třeba vylepšená situace ochrany dat ve společnosti nebo marketingová výhoda propagace zabezpečenosti firemních produktů. Jsem přesvědčen, že každý manažer zabezpečení by měl dobrý pocit z výhry jackpotu ROI, jak se to podařilo nám.
V tomto případě se investice týkaly infrastruktury ochranných systémů bránícím úniku citlivých dat, na kterou spoléháme při detekci pokusů odeslat jakékoli naše duševní vlastnictví mimo prostory podniku. Po nějakou dobu fungovala technologie takříkajíc nazdařbůh, protože jako u každého softwaru detekce narušení má i tato technologie tendenci generovat falešné poplachy do doby, než je řádně nastavena. To může často způsobit stav, kdy poplachy začnete prostě ignorovat.
Nekalý zaměstnanec
Návrat těchto investic se dostavil, když náš analytik zjistil, že jeden z našich zaměstnanců odeslal servisní příručku naší společnosti na svůj osobní e-mailový účet na veřejném webu. Tyto dokumenty (mnoho jich je ve formátu PDF) jsou jedněmi z klíčových prvků našeho intelektuálního vlastnictví. Přibližně třetina celkového obratu naší organizace pochází ze servisu námi prodávaných zařízení, přičemž technici provádějící tuto činnost spoléhají, když provádějí různé kalibrace a měření související s řádnou funkcí našich nástrojů, právě na tyto příručky.
Dotyčný zaměstnanec pracoval v jedné z našich jihoasijských poboček. Velká část našich zákazníků sídlí v Asii, takže hrozba důsledků tohoto úniku byla ještě významnější.
Když máme podezření na pokus o krádež duševního vlastnictví, okamžitě začínáme protokolovat e-mail dotyčného a kontrolovat data ukládaná v domovském adresáři jeho počítače. Osobní e-maily a data nás vůbec nezajímají, takže za účelem omezení našeho průzkumu vyhledáváme shody s klíčovými slovy nebo určité typy dokumentů.
To, co jsme odhalili, bylo samozřejmě znepokojující. Našli jsme (za pomoci překladatele, protože vše bylo psáno v jazyce, kterému nikdo z našeho týmu nerozumí) prezentaci pro získání investorů. Jeho podnikatelský plán byl nabízet zmíněné servisní služby našim zákazníkům za nižší ceny. Navíc několik e-mailů odhalilo, že plánoval zaměstnat i mnoho našich podnikových techniků. Důkazů tedy bylo více.
Situace zhoustla, když jsme si prohlédli komunikaci pomocí rychlých zpráv (instant messaging, IM) tohoto zaměstnance. (Pracovníci jsou informováni, že jejich IM mohou být kdykoli sledovány.) Probíhala komunikace mezi ním a několika dalšími zaměstnanci, se kterými zjevně spolupracoval. V jedné z jejich konverzací byl zmíněn pokus uzavřít partnerství s jistým našim konkurentem za účelem nabídnout služby také našim zákazníkům.
Úspory v milionech
Všechny tyto plány byly v zárodku utnuty. A je jasné, že bychom to nedokázali, pokud bychom neměli nástroj pro sledování úniku dat. A co ROI v tomto případě? Naše výpočty ukázaly, že, pokud by se plán dotyčného zaměstnance zrealizoval, hrozila by nám ztráta několika milionů dolarů ročně, co se týče obratu firmy. A kolik byla naše počáteční investice? Přibližně 200 tisíc dolarů, a to včetně platu analytika zaměstnaného na plný úvazek.
Tak vynikající výsledek ROI byl přesně tím, co jsem potřeboval pro získání dalších investic. Nyní mohu jít za svými vrcholovými manažery a ukázat jim bezprostřední hodnotu, kterou lze odvodit z implementace vhodné správy našich servisních příruček. Možná si pamatujete, že jsem nedávno implementoval software Microsoft RMS (Rights Management Software), ale nebylo možné ho použít k ochraně souborů Adobe PDF.
Ano, toto je rozhodně jackpot ROI. Dám vám vědět, zda z toho nakonec něco vytěžím...