Kokių IT saugumo standartų reikia šiuolaikinei verslo įmonei? Kaip padėti darbuotojams išmokti apsisaugoti nuo kenkėjiškų atakų bei netapti sukčių taikiniu? Įžvalgomis dalijasi JAV programavimo paslaugų įmonės „Devbridge“ Technologijų direktorius Rimantas Benetis bei informacijos saugumo analitikas Justinas Radzevičius.
Būtina pasiruošti iš anksto
Anot technologijų direktoriaus, įmonės, norėdamos sklandžiai įdiegti aukštus kokybės ir saugumo standartus, turėtų tam rimtai ir iš anksto pasiruošti.
„Šiandien saugumas yra vienas iš svarbiausių prioritetų įmonėje, ypač tada, kai didžioji dalis procesų yra elektroninėje erdvėje, o daugelio įmonių darbuotojai nuolatos dirba nuotoliniu būdu. Net ir mažas incidentas ar ataka gali pakenkti reputacijai bei sukelti finansinius nuostolius. Įmonės, kurios nori pasiruošti įsidiegti saugumo standartus, turėtų suprasti, kad tai nebus baigtinis procesas – jis bus pastovus ir pareikalaus daug nuolatinių pastangų“, – teigia vadovas.
R. Benečio teigimu, būtina suprasti, kad tokių saugumo standartų diegimas įmonėje – tai nėra tik investicija pavienius techninius įrankius, užtikrinančius klientų duomenų apsaugą.
„Kliento duomenis čia reikėtų suprasti plačiąja prasme, tai ne tik duomenys, patalpinti duomenų bazėse, tačiau ,apskritai, informacija apie projektus, darbinius procesus. Vienas iš patikimų standartų, kuris reglamentuoja kaip organizacija turėtų kontroliuoti tokių jautrių duomenų tvarkymą yra SOC2, tai padeda užtikrinti organizacijos kliento duomenų saugojimo kontrolės mechanizmą. IT srityje paprastai dažniausiai galima išgirsti apie du pagrindinius standartus – tai yra arba SOC2, arba ISO 27001“, – akcentuoja technologijų direktorius.
Privalu edukuoti darbuotojus
Anot informacijos duomenų analitiko Justino Radzevičiaus, būtina suprasti, kad tokių saugumo standartų diegimas įmonėje pareikalaus ir nemažai laiko, pavyzdžiui, supažindinant įmonės darbuotojus su galimomis grėsmėmis, jų atpažinimu ir nuolatiniais mokymais, kaip išvengti nemalonių incidentų.
„Mūsų įmonėje jau pakankamai anksti pradėjome žiūrėti į saugumą, kaip į vieną svarbiausių mūsų teikiamų paslaugų dalį. Sistemų saugumas yra mūsų kultūros dalis. Todėl pasirinkome SOC2, kadangi jis plačiai naudojamas JAV ir taip pat yra pripažįstamas Europos Sąjungos šalyse. Žinoma, teko nemažai pavargti, kol procesai pradėjo sklandžiai veikti.
Nors ir anksčiau turėjome griežtus saugumo procesus įmonėje, tačiau nusprendėme juos standartizuoti ir tai pasiteisino. Tačiau vienas iš pagrindinių saugumo užtikrinimo garantų yra nuoseklus darbas su įmonės darbuotojais. Imituotos socialinės inžinerijos atakos įmonėje padeda darbuotojams neprarasti budrumo bei išsigryninti esamas technines ar net procedūrines spragas. Taip pat su darbuotojais nuolat aptariamos grėsmės, kaip jiems išvengti apgaulių bei apsisaugoti nuo nemalonių incidentų“, – teigia informacijos saugumo ekspertas.
Kaip neprarasti budrumo?
J. Radzevičiaus teigimu, deja, tačiau vieno saugumo standarto, kuris padėtų verslui apsaugoti jautrius klientų duomenis ir išvengti nemalonių incidentų, vis dėlto dar nėra. Todėl būtina nuolat edukuoti darbuotojus ir dalytis esminiais patarimais, kaip apsaugoti savo ir klientų duomenis:
1 patarimas. Sveika nuovoka – visada laimi
Niekada nesidalykite informacija apie savo banko sąskaitą su asmenimis, kurie šią informaciją jau turėtų žinoti ar ją turėti. Pavyzdžiui, jūsų bankas niekada asmeniškai neprašys papildomai pateikti informacijos apie jūsų banko sąskaitą, kadangi jie jau turi šią informaciją.
2 patarimas. Slaptažodžius turite žinoti tik jūs
Atminkite, kad jokia rimta organizacija ar kolega niekada neprašys atskleisti jūsų asmeninio slaptažodžio. Jeigu jums kilo bent menkiausias įtarimas, kad ši informacija galėjo patekti į svetimas rankas, nedelsiant pasikeiskite visus slaptažodžius.
3 patarimas. Pasitikėkite organizacijos saugumo procesais
Domėkitės ir atidžiai sekite savo organizacijos saugumo procesus. Būkite budrūs ir niekada neignoruoti patys bei neleiskite kitiems kolegoms jūsų organizacijoje nesilaikyti nustatytų saugumo procedūrų bei reikalavimų.
4 patarimas. Tikrinkite informacijos šaltinius
Visada atkreipkite dėmesį į įtartinas žinutes ar elektroninio pašto adresą, net jei juos tariamai siuntė draugas ar kolega. Nepatingėkite patikrinti informaciją apie tokio pobūdžio žinučių siuntėją. Tiesiogiai kreipkitės į žinutę tariamai siuntusį asmenį arba informuokite įmonės specialistus apie įtarimą sukėlusią informaciją.
5 patarimas. Nestresuokite ir nesijaudinkite
Viena iš esminių sukčių gudrybių – sukelti įtampą ir stresą. Iš karto atkreipkite dėmesį, jei su jumis kontaktą užmezgęs žmogus verčia jus skubėti atlikti tam tikrus veiksmus. Tai dažnai pasitaikanti ir įprasta technika – greitai sukelti įtampą ir siekti išmušti žmogų iš vėžių, priverčiant jį suklysti. Todėl neskubėkite priimti skubotų sprendimų ir visada verčiau pasitarkite su kitais asmenimis.