Nulaužtos IT sistemos ar nutekėję jautrūs vartotojų duomenys šiandien yra vienas iš didžiausių sėkmingai veikiančio verslo košmarų. Rimti IT saugumo inicidentai gali sukelti ne tik krizines situacijas, bet ir negrįžtamai pakenkti įmonės reputacijai ar santykiams su klientais bei partneriais. Kaip įsivertinti, ar jūsų įmonės IT procesai atitinka geriausias praktikas versle?
Nulaužtos IT sistemos ar nutekėję jautrūs vartotojų duomenys šiandien yra vienas iš didžiausių sėkmingai veikiančio verslo košmarų. Rimti IT saugumo inicidentai gali sukelti ne tik krizines situacijas, bet ir negrįžtamai pakenkti įmonės reputacijai ar santykiams su klientais bei partneriais. Kaip įsivertinti, ar jūsų įmonės IT procesai atitinka geriausias praktikas versle?
Asociatyvi „Pixabay“ nuotr.
Kaip nustatyti, ar turimos sistemos yra saugios ir padės suvaldyti nepageidaujamųprogramavimas incidentų rizikas? Įžvalgomis apie IT įmonėje naudojamus saugumo standartus dalijasi JAV programavimo paslaugų įmonės „Devbridge“ technologijų direktorius Rimantas Benetis.
Užtikrina klientų duomenų saugumą R. Benečio teigimu, deja, tačiau vieno saugumo standarto, kuris padėtų verslui apsaugoti jautrius klientų duomenis ir išvengti nemalonių incidentų, vis dėlto dar nėra. Tačiau yra įvairūs standartai, kurie yra orientuoti į specifines saugumo sritis ir jų reglamentavimą.
„Viena iš svarbiausių sričių IT rinkoje yra klientų duomenų saugumas. Kliento duomenis čia reikėtų suprasti plačiąja prasme, tai ne tik duomenys, patalpinti duomenų bazėse, tačiau ,apskritai, informacija apie projektus, darbinius procesus ir pan. Vienas iš patikimų standartų, kuris reglamentuoja kaip organizacija turėtų kontroliuoti tokių duomenų tvarkymą yra SOC2, kuris padeda užtikrinti organizacijos kliento duomenų saugojimo kontrolės mechanizmą. IT srityje paprastai dažniausiai galima išgirsti apie du pagrindinius standartus – tai yra arba SOC2, arba ISO 27001.
Abu standartai padeda užtikrinti organizacijos kontrolės mechanizmus, kurie sumažina riziką, kad kliento duomenys nutekės ar kitaip bus neteisingai panaudoti. Dirbant su didesnėmis įmonėmis, kurios pačios turi įsidiegusios šiuos standartus yra gerokai supaprastinama techninė dalis dėl saugumo užtikrinimo, kadangi įmonės jau turinčios šiuos standartus, turi užtikrinti ir savo rangovų kontrolės mechanizmus“, – sako R. Benetis.
Padeda išvengti rimtų incidentų
Anot technologijų direktoriaus, įmonės, norėdamos sklandžiai įdiegti aukštus kokybės ir saugumo standartus, turėtų tam rimtai ir iš anksto pasiruošti.
„Dažniausiai didžiausią dėmesį auditoriai kreipia į dokumentacijos ir veiksmų žurnalo pildymą. Tačiau įmonei svarbu turėti ne tik gerai aprašytus procesus, bet ir aiškius duomenų prieigos valdymo mechanizmus. Šiandien saugumas yra vienas iš svarbiausių prioritetų įmonėje, ypač tada, kai didžioji dalis procesų yra elektroninėje erdvėje. Net ir mažas incidentas gali pakenkti reputacijai bei sukelti rimtus finansinius nuostolius. Įmonės, kurios nori pasiruošti įsidiegti saugumo standartus, turėtų suprasti, kad tai nebus baigtinis procesas – jis bus pastovus ir pareikalaus daug nuolatinių pastangų.
„Devbridge“ įmonėje jau pakankamai anksti pradėjome žiūrėti į saugumą, kaip į vieną svarbiausių mūsų teikiamų paslaugų dalį. Pasirinkome SOC2, kadangi jis plačiai naudojamas JAV ir taip pat yra pripažįstamas Europos Sąjungos šalyse. Tai nebuvo „popierinis“ saugumas, kad tik gautume kažkokį sertifikavimą, kuriuo galėtume naudotis. Sistemų saugumas yra mūsų kultūros dalis. Žinoma, teko nemažai pavargti, kol procesai pradėjo sklandžiai veikti. Nors ir anksčiau turėjome griežtus saugumo procesus įmonėje, tačiau nusprendėme juos standartizuoti ir tai pasiteisino“, – teigia IT ekspertas.
Suteikia konkurencinį pranašumą
R. Benečio teigimu, būtina suprasti, kad tokių saugumo standartų diegimas įmonėje – tai nėra vienadienė investicija į kokius nors pavienius techninius įrankius. Reikės tam paskirti ir nemažai laiko, pavyzdžiui, supažindinant įmonės darbuotojus su galimomis grėsmėmis, jų atpažinimu ir apmokyti darbuotojus, kaip išvengti nemalonių incidentų.
„Didžiausia nauda iš tokio sertifikavimo yra ta, kad tai labai palengvina derybas su audituojamais klientais. Kol neturėjome sertifikato, saugumo procesų sutikrinimas su klientu užtrukdavo daug laiko ir tai užtęsdavo derybas, kai gavome sertifikatą, užtenka tiesiog jį nusiųsti. Tai pagreitina bendradarbiavimo procesą, kuris suteikia ir konkurencinį pranašumą, leidžiantį organizacijai dirbti lengviau, greičiau ir paprasčiau. O kartais net ir padeda išvengti sunkiai ištaisomų klaidų ar incidentų“, – įsitikinęs technologijų direktorius.
