Įmonių vadovai paklausti, kas jiems padėtų išsaugoti tai ką turi vertingiausio, dažniausiai mini seifus, šarvuotas duris, signalizacijas ir kiek rečiau antivirusines programas. „Socialinė informacijos apsauga, tuo tarpu, yra pamirštama arba apskritai sunkiai suvokiama“, – sako konsultacijų paslaugas teikiančios bendrovės „Baltic Consulting Group“ vadovas Edis Galvonas.
Tokias išvadas patvirtina ir neseniai firmos atliktas tyrimas. Apklausus 300 smulkių ir vidutinių įmonių trijuose didžiausiuose Lietuvos miestuose, paaiškėjo, kad tik 54 proc. įmonių turi socialinę informacijos apsaugą. Šiek tiek netikėtai atrodo ir tyrimo rezultatai, jog 69 proc. įmonių teigia nesą gerai susipažinę su informacijos apsauga. Tačiau beveik tiek pat įmonių atsakė besijaučiančios saugios. Anot E. Galvono, iš tikro bendrovių nenaudojančių socialinės informacijos apsaugos yra netgi daugiau, nes mažai teigiamai atsakiusių bendrovių turi, pavyzdžiui, konfidencialumo sutartis.
Lietuvoje į informaciją ir jos apsaugą kol kas žiūrima gana siaurai. Kaip teigė E. Galvonas tiek smulkios, tiek stambesnės įmonės šiuo metu nusiperka serverius informacijos laikymui ir mano, jog to užtenka informacijos saugojimui. Specialisto teigimu, retos įmonės pasirūpina tokio informacijos kaupimo apsauga. Jau suvokiama, jog informacijos apsaugai reikalingos antivirusinės programos, tačiau labai dažnai jos paliekamos dirbti savo valiai ir netgi gali tapti labai neefektyvios, nes, pavyzdžiui, neatnaujinama antivirusinė programa gali netgi pakenkti serveriui. Turbūt ant vienos rankos pirštų galėtume suskaičiuoti įmones darančias atsargines duomenų kopijas.
E. Galvono teigimu firmos pamiršta ir žmogiškąjį faktorių: „Pavyzdžiui, pasamdytas IT prižiūrintis žmogus gali prieiti prie bet kokios kompanijos informacijos. Su juo beveik niekada nepasirašomos konfidencialumo sutartys, kuriose būtų numatytos bausmės už informacijos platinimą“. Dažnai darbo sutartyse konfidencialumas nurodomas tik kaip vienas iš punktų, nenumatant nei bausmių, nei konfidencialumo periodo. Iš kitos pusės, nutraukus darbo sutartį, punktas apie konfidencialumą netenka savo galios. Kita problema – logika nepagrįstos konfidencialumo sutartys. „Jei bauda už konfidencialios informacijos platinimą yra nepagrįsta, tuomet ir teisme tokia sutartis taptų niekine“, – teigė E. Galvonas.
Įmonėms jau gana įprasta tapo taikyti tokius apsaugos būdus kaip signalizacija, grotos ar apsaugotos durys, bei langai. Kai kuriais atvejais įmonės nevengia pasamdyti apsaugos darbuotojus, kurie užtikrintų įmonės turto apsaugą ištisą parą. Informacijai tampant vis vertingesne preke, bendrovėse atkreiptas dėmesys ir į informacinių technologijų apsaugą. Pradėtos instaliuoti antivirusinės programos, kenksmingų laiškų filtrai. Taigi natūralu, jog greitu metu įmonės turėtų pradėti taikyti ir socialines saugumo priemones. Kartais net ir mažos informacijos nuotrupos patekę į konkurentų rankas gali atnešti didžiulius nuostolius, o tą informaciją už įmonės ribų išneša darbuotojai. Dažniausiai taikomos socialinės informacijos apsaugos priemonės – prisijungimų kontrolė, teisinė atsakomybė, personalo mokymas.
Dalį socialinės informacijos apsaugos politikos, pavyzdžiui, prisijungimo prie informacijos kontrolę, galima įgyvendinti pasitelkus technines ir programines priemones. Tačiau kiti apsaugos būdai reikalauja ilgalaikių investicijų ir daugiau laiko. Konsultacijų bendrovės vadovo E. Galvono teigimu, investicijoms į informacijos apsaugą turėtų būti skiriama apie 10–20 % bendrojo įmonės pelno. Šiandien tiek lėšų šiai sričiai dažniausiai skiria tik didelės ir tarptautinės kompanijos.
Visgi mažą lėšų skyrimą apsaugai įtakoja ir pernelyg didelis pasitikėjimas darbuotojais. Kai konfidenciali informacija organizacijoje egzistuoja keliais pavidalais (elektroniniai laiškai, dokumentai ar net mintys), ją suvaldyti ir apsaugoti itin sunku, todėl įmonės turėtų imtis kompleksinių priemonių.
Specialistų teigimu, įmonių, kurios konsultuoja informacijos apsaugos klausimais ir teikia paslaugas susijusias su informacijos apsaugos politikos kūrimu Lietuvoje nėra daug. Be to, jų teikiamų paslaugų spektras yra gana ribotas ir neapima visų galimų informacijos apsaugos sričių. „Didžiausias, minėtas paslaugas teikiančių įmonių, dėmesys yra sutelkiamas į informacinių technologijų sritį. Tuo tarpu informacijos apsaugos politikos strategijos kūrime neįtraukiami fizinės ir socialinės apsaugos faktoriai“, – teigia E. Galvonas. Dažniausiai šioms dviem apsaugos sritims pateikiami rekomendacinio pobūdžio sprendimai, kurių įgyvendinimas priklauso jau nuo pačios įmonės iniciatyvų.
Nekompleksiškas problemos sprendimas dažniausiai garantuoja neefektyviai panaudotas lėšas. Net ir tobuliausia antivirusinė programa ar seifo spyna, negarantuos, jog svarbi įmonės informacija neiškeliaus už jos sienų darbuotojo portfelyje. Tinkamai suderintos priemonės ir darbuotojų atsakomybės stiprinimas, informacijos apsaugos politika – efektyviausias būdas užtikrinti, jog įmonės turtas neliks neapsaugotas.