Informacijos sauga. Pirmiausia – strategija.

Informacijos sauga. Pirmiausia – strategija.

2017-05-09

Interneto platybėse kelių mygtukų paspaudimu kiekvienas iš mūsų gali rasti informacijos apie bet ką. Sparčiai auga informacijos kiekiai ir atsiranda efektyvesni būdai ją saugoti skaitmeninėje erdvėje, todėl tiek namų, tiek organizacijų naudotojai kaupia milžiniškus kiekius konfidencialios informacijos. Pradedant vidiniais el. laiškais, pardavimų strategijomis bei baigiant finansiniais planais ar klientų duomenimis. Visoms organizacijoms informacija yra konkurencinis pranašumas – ji slepia, kaip jūsų organizacija sprendžia problemas, pritraukia klientus ar plečia savo veiklą. Taip pat informacija reikalinga viešosioms organizacijoms vykdyti veiklą, saugoti konfidencialią valstybės informaciją ar išlaikyti teigiamą reputaciją. Natūralu, kad tokios informacijos jokia organizacija nenorėtų prarasti ar atskleisti viešai. Siekiant to išvengti,, šioje lygtyje atsiranda informacijos saugumo strategijos sąvoka. Kas tai, kam ji reikalinga ir kokių klaidų išvengti, jei ir toliau norite išlaikyti šį konkurencinį pranašumą?

Kas tai?

Informacijos saugos strategiją galima pavadinti ilgalaikiu procesu, kurio užduotis yra užtikrinti organizacijos informacijos konfidencialumą, autentiškumą, saugumą ir prieinamumą darbuotojams. Ši strategija taip pat užtikrina sklandų naudojimąsi organizacijos informacija ir tinkamą informacijos saugumo rizikų valdymą.

Informacijos saugos atsiradimą galima sieti su Antikos civilizacijose atsiradusiu hierarchiniu administraciniu valdymu. Anų laikų diplomatai ir kariuomenės vadai pradėjo taikyti įvairias informacijos saugos priemones, užtikrinančias perduodamos žinutės konfidencialumą, ir įvertinti, ar gauta informacija nebuvo pakeista. Tie patys principai išliko ir iki šių dienų, tačiau, naudojant naujausias technologijas, informacijos per pastaruosius du metus yra sukurta daugiau, nei prieš tai sukūrė visa žmonija.

Naujausios technologijos lėmė ir naujus būdus sutrikdyti organizacijos veiklą. Atsirado virusai, kurių paskirtis yra daugiau sunaikinti informaciją ir pakenkti organizacijai. Pavyzdžiui, „kriptovirusai“ užšifruoja kietąjį diską ir už jo dešifravimą paprašo išpirkos ar programišiai kenkėjišką kodą paslepia paveikslėlyje. Dabar net pasitaiko atakų, kurios nenaudoja jokių failų. Tačiau grėsmės yra ne tik virusai, bet ir kenksmingas kodas ar programinė įranga. Piktieji programišiai yra suinteresuoti šiomis priemonėmis pasisavinti ar nutekinti informaciją. Vėliau tokią jautrią informaciją jie gali parduoti organizacijų konkurentams ar tiesiog piktavališkai sužlugdyti subjekto reputaciją.

Saugiais negali jaustis niekas – dar visai neseniai girdėjome apie kandidatavusios į JAV prezidentus Hillary Clinton skandalą. Programišiai sugebėjo pasisavinti daugiau kaip 30 tūkst. el. laiškų iš H. Clinton ir jos komandos narių, vėliau juos paviešino „WikiLeaks“ platformoje. Akivaizdu, kad nebuvo laikomasi informacijos saugos principų.

Nauda ne tik tiesioginė

Paprastai organizacijos, susidūrusios su informacijos saugos grėsmėmis, skuba diegti sistemas, kad tokia problema nepasikartotų. Tik vėliau jos supranta, kad išleido daug pinigų, o išnaudoja tik 20 proc. sistemų efektyvumo. Su informacijos saugos strategija yra kitaip – organizacija, planuodama savo metinį biudžetą, investicijas informacijos saugumui gali atlikti palaipsniui ir gerai apgalvojusios naudą. Taip organizacija įsigyja tik tokių priemonių, kurių jai reikia. Tokiu būdu, tvarkingai planuodamos savo investicijas į saugumo priemones ir sistemas, organizacijos turi ir finansinės naudos.

Vis dažniau klientai reikalauja, kad jų tiekėjai turėtų tokią strategiją. Pagalvokite, ar jūs mieliau pateiktumėte savo asmeninius duomenis įmonei, kuri griežtai savo veikloje apibrėžia informacijos saugos taisykles, ar tai, kuri į šiuos dalykus žiūri pro pirštus? Atsakymas akivaizdus, todėl tobulindami savo informacijos saugą, ne tik sudarysite tvarios organizacijos įspūdį, bet ir pritrauksite naujų klientų.

Svarbiausia – nustatyti savo informacinį turtą

Informacijos saugos strategija apima tokias veiklos sritis, kaip informacijos saugos procesai, įdiegtos techninės saugos priemonės, darbuotojų švietimas. O jos diegimo procesą organizacijoje galima padalinti į tris etapus:

  1. Informacinio turto auditas. Tai yra sudėtingiausias ir ilgiausiai trunkantis procesas. Organizacijos savo veikloje naudoja labai daug informacijos ir kasdien jos generuoja vis daugiau. Tai klientų duomenys, sąskaitos, strategijos, planai, paslaugų aprašymai, pardavimų vadovai darbuotojams ir begalė kitų. Todėl šiame etape reikia susisteminti, kokią informaciją turite ir išskirti, kuri yra kritinė. Būtent šiai informacijai apsaugoti ir turi būti skiriamas didžiausias dėmesys.
  2. Rizikų vertinimas. Antrame etape svarbu išsiskirti rizikas – kokiose situacijose, kokiuose kanaluose ir kaip informacija gali nutekėti, tapti prieinama pašaliniams žmonėms, kokie kenkėjai yra aktualiausi organizacijai.
  3. Resursų dedikavimas. Šiame etape metas pagalvoti apie resursus – jie gali būti organizaciniai ir techniniai. Pastarieji susiję su techninių ar programinės įrangos sprendimų diegimu – antivirusinių, ugniasienių, įsibrovimų aptikimo ir stabdymo sprendimų, apsaugos nuo kenksmingo kodo. Šias sistemas reikia nuolat prižiūrėti, nes aplinka keičiasi, atsiranda pažeidžiamumų, o ir informacijos skaičius auga. Tačiau tik techninių sprendimų neužtenka, lygiagrečiai turi būti įgyvendinami ir organizaciniai. Jie padeda efektyviausiai išnaudoti resursus, investuotus į informacijos saugos procesą. Prie organizacinių saugos priemonių priskiriama informacijos saugos valdymo strategija, organizacinė struktūra, įgaliojimai, atsakomybės, rizikų valdymas, dokumentacijos valdymas ir naudotojų mokymai. Dažnai informacijos saugos politikoje išdėstyti reikalavimai gali reikalauti tam tikrų techninių sprendimų diegimo. Pavyzdžiui, kiekvienas informacinės sistemos naudotojo prisijungimas prie duomenų turi būti fiksuojamas žurnalinių įrašų valdymo sprendime ar riboti prieigą prie jautrios informacijos tik konkretiems vartotojams naudojant prieigos teisių valdymo sistemą.

Didžiausios klaidos

Informacijos saugumo strategijos diegimas yra sveikintinas žingsnis bet kuriai organizacijai, bet didelė dalis jų neišvengia trijų pagrindinių klaidų:

  1. Neatsižvelgiama į organizacijos strategiją – organizacija juda viena kryptimi, o informacijos sauga kita. Organizacijos paslysta todėl, kad sukurtos strategijos neadaptuoja pagal besikeičiančią veiklos aplinką. Organizacijos veiklos sritys plečiasi ar traukiasi, keičiasi veiklos aplinka. Natūralu, kad kinta ir kritinės organizacijai informacijos apimtis. Informacija, kuri buvo labai svarbi prieš metus, nebūtinai bus svarbi dabar ir atvirkščiai. Todėl svarbu, kad į šią strategiją organizacijos žiūrėtų kaip į dinamišką procesą.
  2. Manymas, kad informacijos sauga yra tik informacijos saugos srities darbuotojų užduotis. Nors šie darbuotojai yra informacijos saugos specialistai, informacija naudojasi visi organizacijos darbuotojai. Todėl informacijos sauga turi būti kiekvieno organizacijos darbuotojo atsakomybė ir visi turi žinoti apie savo atsakomybes bei pareigas šiame procese.
  3. Nepakankamas dėmesys žmonių edukacijai. Naujausios technologijos yra didelis žingsnis į priekį, bet reikia nepamiršti ir žmonių. Būtini mokymai, kurių metu darbuotojai, vadovybė ir paslaugų tiekėjai yra supažindinami su informacijos saugą reguliuojančia dokumentacija. Taip pat galimomis rizikomis, grėsmėmis ir pasekmėmis organizacijai, jei nebus laikomasi saugos reikalavimų bei kur kreiptis nustačius galimas grėsmes.
Jurij Šugalskij
IT konsultacijų verslo vystymo vadovas