Sunkmetis dar sparčiau padidins tų įmonių gretas, kurios informacijos saugumo sprendimų įdiegimą atidės geresniems laikams. Tačiau tokie atidėliojimai – tarsi uždelsto veikimo bomba, nuo kurios galima skaudžiai nukentėti. Pavyzdžiui, Ponemono instituto specialistai apskaičiavo, kad vienas pavogtas ar prarastas nešiojamasis kompiuteris JAV bendrovėms vidutiniškai atsieina beveik po 50 tūkst. dolerių.
Ko gero, panašius rezultatus gautume apklausę ir Lietuvos bendroves, susidūrusias su nešiojamųjų kompiuterių praradimo atvejais. Mat į dėl prarasto kompiuterio patirtą žalą tektų įtraukti ir jo pakeitimo nauju, pavojaus dėl prarastų duomenų sumažinimo, darbo našumo sumažėjimo bei įvykio tyrimo išlaidas.
Kibernetinės atakos susimąstyti neprivertė
Nors pernai vasarą programišių įvykdytos kibernetinės atakos Lietuvos įmonių ir institucijų tinklapiuose ir parodė jų silpnąsias vietas, tačiau informacijos saugumo sprendimų bumo nesukėlė. Galbūt kiek aktyviau susidomėta IT saugumo sprendimais, tačiau ne sisteminga visos įmonės informacijos apsauga.
Žinoma, IT sprendimai gali garantuoti pakankamai aukštą informacijos saugumo lygį, tačiau nesistemingas ar neatsakingas jų taikymas gali atnešti daugiau bėdos negu naudos. Pavyzdžiui, įmonėje prisijungti prie kompiuterio galima tik naudojant slaptažodį, tačiau darbuotojas jį turi užsirašęs ant lapelio, priklijuoto prie monitoriaus. Todėl slaptažodžiu nesunkiai gali pasinaudoti ir slaptus bendrovės elektroninius dokumentus išvysti pašalinis asmuo. Kitas dažnas pavyzdys – ne vietoje numesti svarbūs dokumentai, kurie gali paprasčiausiai atsidurti šiukšlių dėžėje, o vėliau mėtytis prie konteinerio, kur juos gali pamatyti bet kuris praeivis.
O kas, jei visa elektroninė technika veiks be priekaištų, o įmonėje tiesiog dings elektra ar sprogs vandentiekio vamzdis ir tą techniką su visa informacija užlies vanduo? Todėl būtina apgalvoti visus informacijos saugumo aspektus ir turėti tokią sistemą ar metodiką, kuri apimtų visas grandis ir jas valdytų. Šiuo atveju nevertėtų išradinėti dviračio, o pasiremti patikrinta praktika, kuri pateikiama tarptautiniuose ISO 27000 standartuose.
Apima visus informacijos saugumo aspektus
ISO 27000 standartai detaliai aprašo visas informacijos saugumo valdymo priemones ir sistemos diegimo žingsnius. Pavyzdžiui, informaciją reikia surūšiuoti pagal svarbą, konfidencialumo ir praradimo rizikos lygius bei naudojimo paskirtį ir žinoti, kur kokia informacija yra. Taip pat reikia parinkti informacijos valdymo priemones, nustatyti jų vykdymo tvarką ir atsakingus asmenis.
Valdymo priemonės apima tiek informacinių sistemų ūkį, tiek fizines priemones (tvoros, apsaugos sistemos, spynos ir kt.), kurios užtikrina apsaugą nuo nepageidaujamų asmenų įsibrovimo bei įvairiausių įrangos pažeidimų (pvz. nuo gaisrų, potvynių).
Ypač svarbu aiškiai apibrėžti, kaip darbuotojai turi elgtis su informacija, kokių taisyklių turi laikytis, kad ji nebūtų prarasta, „nutekinta“ ar sugadinta. Taip pat turi būti nustatoma, kas turi teisę prie kokios informacijos prieiti, kas gali informaciją tik skaityti, kas tik kopijuoti, o kas keisti bei pildyti ir pan.
Žinoma, įvairūs incidentai yra neišvengiami, todėl turi būti nustatyta, ką reikia daryti, kai su informacija atsitinka kažkas blogo kasdieniame darbe ir kaip atnaujinti įmonės ar organizacijos veiklą, atsitikus rimtam įvykiui.
ISO 27000 standartuose didelis dėmesys skiriamas ir atitikimo galiojantiems įstatymams, reglamentams, sutartims bei įsipareigojimams valdymui. Tai ypač aktualu sugriežtėjus asmens duomenų apsaugos, konfidencialumo bei autorinių teisių apsaugos reikalavimams.
Saugumo priemones būtina ne tik įdiegti, bet ir tobulinti
Tačiau nederėtų pamiršti, kad informacijos saugumo vadybos sistema, kaip ir bet kuri vadybos sistema, bus gyvybinga ir duos reikiamų rezultatų tik tada, kai bus ne tik įdiegta, bet ir nuolat tinkamai prižiūrima bei tobulinama.
Pranešimas spaudai