Tyrimai patvirtina, kad informacijos saugumui Lietuvos įmonės vis dar skiria menką dėmesį. Beveik prieš dvejus metus kompanijos „IBM Lietuva“ atliktas tyrimas parodė, kad daugiau nei ketvirtadalis – virš 25 proc. – įmonių lėšų informacijos saugumui neskiria visai, o apie 65 proc. verslininkų informacijos saugumui užtikrinti skiria tik iki 5 proc. savo informacinių technologijų biudžeto. Tačiau panašu, kad, laikui bėgant, situacija į gerąją pusę nepakito.
Tyrimai patvirtina, kad informacijos saugumui Lietuvos įmonės vis dar skiria menką dėmesį. Beveik prieš dvejus metus kompanijos „IBM Lietuva“ atliktas tyrimas parodė, kad daugiau nei ketvirtadalis – virš 25 proc. – įmonių lėšų informacijos saugumui neskiria visai, o apie 65 proc. verslininkų informacijos saugumui užtikrinti skiria tik iki 5 proc. savo informacinių technologijų biudžeto. Tačiau panašu, kad, laikui bėgant, situacija į gerąją pusę nepakito.
Dažniausiai Lietuvos įmonės, siekdamos apsaugoti informaciją, pirmenybę teikia informacinių technologijų (IT) sprendimams. Tačiau, kalbant apie informacijos saugą, be IT problemų yra ir daug kitų labai svarbių rizikos aspektų.
Uždelsto veikimo bomba
Sunkmetis dar sparčiau padidins tų įmonių gretas, kurios informacijos saugumo sprendimų įdiegimą atidės geresniems laikams. Tačiau tokie atidėliojimai – tarsi uždelsto veikimo bomba, nuo kurios galima skaudžiai nukentėti. Pavyzdžiui, Ponemono instituto specialistai apskaičiavo, kad vienas pavogtas ar prarastas nešiojamasis kompiuteris JAV bendrovėms vidutiniškai atsieina beveik po 50 tūkst. dolerių.
Ko gero, panašius rezultatus gautume apklausę ir Lietuvos bendroves, susidūrusias su nešiojamųjų kompiuterių praradimo atvejais. Mat į dėl prarasto kompiuterio patirtą žalą tektų įtraukti ir jo pakeitimo nauju, pavojaus dėl prarastų duomenų sumažinimo, darbo našumo sumažėjimo bei įvykio tyrimo išlaidas.
Kibernetinės atakos susimąstyti neprivertė
Nors pernai vasarą programišių įvykdytos kibernetinės atakos Lietuvos įmonių ir institucijų tinklapiuose ir parodė jų silpnąsias vietas, tačiau informacijos saugumo sprendimų bumo nesukėlė. Galbūt kiek aktyviau susidomėta IT saugumo sprendimais, tačiau ne sisteminga visos įmonės informacijos apsauga.
Žinoma, IT sprendimai gali garantuoti pakankamai aukštą informacijos saugumo lygį, tačiau nesistemingas ar neatsakingas jų taikymas gali atnešti daugiau bėdos negu naudos. Pavyzdžiui, įmonėje prisijungti prie kompiuterio galima tik naudojant slaptažodį, tačiau darbuotojas jį turi užsirašęs ant lapelio, priklijuoto prie monitoriaus. Todėl slaptažodžiu nesunkiai gali pasinaudoti ir slaptus bendrovės elektroninius dokumentus išvysti pašalinis asmuo. Kitas dažnas pavyzdys – ne vietoje numesti svarbūs dokumentai, kurie gali paprasčiausiai atsidurti šiukšlių dėžėje, o vėliau mėtytis prie konteinerio, kur juos gali pamatyti bet kuris praeivis.
O kas, jei visa elektroninė technika veiks be priekaištų, o įmonėje tiesiog dings elektra ar sprogs vandentiekio vamzdis ir tą techniką su visa informacija užlies vanduo? Todėl būtina apgalvoti visus informacijos saugumo aspektus ir turėti tokią sistemą ar metodiką, kuri apimtų visas grandis ir jas valdytų. Šiuo atveju nevertėtų išradinėti dviračio, o pasiremti patikrinta praktika, kuri pateikiama tarptautiniuose ISO 27000 standartuose.
Apima visus informacijos saugumo aspektus
ISO 27000 standartai detaliai aprašo visas informacijos saugumo valdymo priemones ir sistemos diegimo žingsnius. Pavyzdžiui, informaciją reikia surūšiuoti pagal svarbą, konfidencialumo ir praradimo rizikos lygius bei naudojimo paskirtį ir žinoti, kur kokia informacija yra. Taip pat reikia parinkti informacijos valdymo priemones, nustatyti jų vykdymo tvarką ir atsakingus asmenis.
Valdymo priemonės apima tiek informacinių sistemų ūkį, tiek fizines priemones (tvoros, apsaugos sistemos, spynos ir kt.), kurios užtikrina apsaugą nuo nepageidaujamų asmenų įsibrovimo bei įvairiausių įrangos pažeidimų (pvz. nuo gaisrų, potvynių).
Ypač svarbu aiškiai apibrėžti, kaip darbuotojai turi elgtis su informacija, kokių taisyklių turi laikytis, kad ji nebūtų prarasta, „nutekinta“ ar sugadinta. Taip pat turi būti nustatoma, kas turi teisę prie kokios informacijos prieiti, kas gali informaciją tik skaityti, kas tik kopijuoti, o kas keisti bei pildyti ir pan.
Žinoma, įvairūs incidentai yra neišvengiami, todėl turi būti nustatyta, ką reikia daryti, kai su informacija atsitinka kažkas blogo kasdieniame darbe ir kaip atnaujinti įmonės ar organizacijos veiklą, atsitikus rimtam įvykiui.
ISO 27000 standartuose didelis dėmesys skiriamas ir atitikimo galiojantiems įstatymams, reglamentams, sutartims bei įsipareigojimams valdymui. Tai ypač aktualu sugriežtėjus asmens duomenų apsaugos, konfidencialumo bei autorinių teisių apsaugos reikalavimams.
Saugumo priemones būtina ne tik įdiegti, bet ir tobulinti
Informacijos saugumo vadybos sistemą įmonės gali diegtis savarankiškai ar pasitelkti šios srities konsultantus ir specialistus. Tačiau pirmuoju atveju gali tiesiog pritrūkti žinių ir patirties. O dirbant su konsultantais, patartina glaudžiai bendradarbiauti ir nepamiršti, kad tik pati organizacija gali geriausiai žinoti, kokios grėsmės jos informacijai kyla. Konsultantų vaidmuo – padėti parinkti priemones grėsmėms sumažinti ir „įforminti“ sistemą. O įmonės vadovybė turi paskirti atsakingą žmogų, kuris turėtų reikiamus įgaliojimus koordinuoti tiek sistemos diegimą, tiek ir tolimesnį jos vystymą.
Tačiau nederėtų pamiršti, kad informacijos saugumo vadybos sistema, kaip ir bet kuri vadybos sistema, bus gyvybinga ir duos reikiamų rezultatų tik tada, kai bus ne tik įdiegta, bet ir nuolat tinkamai prižiūrima bei tobulinama.
