Duomenų sauga – tema, kuri daugumai vadovų asocijuojasi su IT skyriumi ir ugniasienėmis. Tačiau didžiausi duomenų saugumo pažeidimai dažniausiai įvyksta ne dėl hakerių – o dėl žmogiškos klaidos, netvarkingų procesų ir neaiškių atsakomybių. Kiek kartų darbuotojas per klaidą persiuntė dokumentą ne tam žmogui? Kiek kartų slaptas failas gulėjo „viešame” aplanke mėnesiais?
Būtent todėl dokumentų valdymo sistema yra ne tik efektyvumo, bet ir saugumo instrumentas – ji padeda kontroliuoti, kas, kada ir ką daro su įmonės dokumentais.
BDAR: ne tik formalumas
Bendrasis duomenų apsaugos reglamentas galioja jau kelerius metus, tačiau daugybė Lietuvos įmonių vis dar neatitinka jo reikalavimų. Ne todėl, kad nenorėtų – o todėl, kad neturi priemonių, leidžiančių efektyviai valdyti duomenų srautus.
BDAR reikalauja kelių esminių dalykų: žinoti, kokie asmens duomenys tvarkomi, turėti pagrindą juos tvarkyti, užtikrinti duomenų subjektų teises ir galėti įrodyti atitiktį audito metu. Ar jūsų įmonė galėtų per valandą pateikti visą informaciją apie konkretaus kliento duomenis – kur jie saugomi, kas juos matė, kada bus sunaikinti?
Jei atsakymas – „turbūt ne” – tai ne gėda, o startinis taškas. Daugelis organizacijų yra panašioje situacijoje.
Vidinės grėsmės: didesnė rizika nei išorinės
IBM duomenimis, apie šešiasdešimt procentų duomenų saugumo incidentų susiję su vidiniais veiksniais – darbuotojų klaidomis, neatsargumu arba tyčiniu piktnaudžiavimu. Netyčia atidarytas neteisėtas prieigos kelias, per klaidą ištrintas svarbus dokumentas, neleistinas duomenų kopijavimas į asmeninę laikmeną – visa tai vyksta kasdien.
„Mūsų darbuotojai yra patikimi” – dažniausia reakcija, kai kalbama apie vidines grėsmes. Ir dažniausiai tai tiesa. Tačiau net patikimiausias darbuotojas gali padaryti klaidą, ypač jei sistema neapsaugo nuo jos. Gerai suprojektuota prieigos valdymo sistema ne nepasitiki žmonėmis – ji sumažina klaidų galimybę.
Praktiniai žingsniai
Duomenų saugos gerinimas neprasideda nuo brangios programinės įrangos – jis prasideda nuo procesų peržiūros.
Pirmas žingsnis – inventorizacija. Kokie dokumentai ir duomenys tvarkomi? Kur jie saugomi – serveryje, debesyje, darbuotojų kompiuteriuose, el. paštuose? Kas turi prieigą? Daugelis organizacijų nustemba sužinojusios, kad jautrūs duomenys yra pasklidę daugiau vietų, nei bet kas įsivaizdavo.
Antras žingsnis – prieigos teisių peržiūra. Principas turėtų būti paprastas: kiekvienas darbuotojas mato tik tai, ko jam reikia darbui atlikti. Ne daugiau. Praktikoje tai reiškia, kad buhalterija neturi matyti personalo bylų, o pardavimų skyrius – finansinių ataskaitų, nebent tai tiesiogiai susiję su jų funkcijomis.
Trečias žingsnis – veiksmų registravimas. Kas atidarė dokumentą? Kas jį redagavo? Kas parsisiuntė kopiją? Ši informacija yra būtina tiek auditui, tiek incidentų tyrimui.
Technologijų vaidmuo
Visi minėti žingsniai be technologinio sprendimo yra sunkiai įgyvendinami – arba reikalauja tiek rankinių pastangų, kad tampa nepraktiški. Modernios sistemos šiuos procesus automatizuoja: prieigos teisės nustatomos pagal roles, kiekvienas veiksmas registruojamas, dokumentų gyvavimo ciklas valdomas pagal numatytas taisykles.
Kompetentingai įdiegta DVS tampa centriniu saugumo elementu – ne papildomu įrankiu, o pagrindiniu dokumentų infrastruktūros komponentu, kuris užtikrina ir efektyvumą, ir atitiktį reguliavimo reikalavimams.
Incidento kaina
Kiek kainuoja duomenų saugumo incidentas? IBM kasmetinė ataskaita rodo, kad vidutinė kaina Europoje siekia apie keturis milijonus eurų – tai apima tyrimo kaštus, baudas, reputacijos žalą ir prarastus klientus. Žinoma, mažoms įmonėms skaičiai mažesni, tačiau proporcingai – poveikis gali būti dar didesnis.
BDAR baudos gali siekti iki keturių procentų metinės apyvartos – tai suma, kuri mažai įmonei gali reikšti bankrotą. Net ir be baudų – kliento duomenų nutekėjimas reiškia pasitikėjimo praradimą, kurio atstatymas trunka metus.
Prevencija visada kainuoja mažiau nei pasekmių valdymas. Ir tai yra pagrindinis argumentas investuoti į duomenų saugą ne „kažkada”, o dabar.
Darbuotojų švietimas
Technologija – svarbi, bet nepakankama. Net geriausia sistema neapsaugos, jei darbuotojai nežino saugumo pagrindų. Reguliarūs mokymai – bent kartą per metus – turėtų apimti: kaip atpažinti phishing laiškus, kodėl negalima naudoti tų pačių slaptažodžių, ką daryti pastebėjus įtartiną veiklą.
Geriausia investicija į duomenų saugą dažnai yra ne programinė įranga, o valanda darbuotojų mokymų. Informuotas darbuotojas yra pirmoji ir svarbiausia gynybos linija.
Duomenų sauga nėra vienkartinis projektas – tai nuolatinis procesas. Bet kiekvienas procesas prasideda nuo pirmo žingsnio. Ir geriau jį žengti sąmoningai nei būti priverstam po incidento.
