Šiandien vis aktualesnis tampa informacinio saugumo užtikrinimo klausimas. JAV bei Europos šalių praktika rodo, jog incidentų, susijusių su informacine sauga skaičius vis labiau auga. Kas lemia šį augimą?
Visų pirma, tobulėjant technologijoms, tobulėja ir nusikaltėliai: neretai juos vilioja tai, kad pavogti vertingą informaciją iš nepasirengusios organizacijos yra pakankamai lengva – tarsi atimti saldainį iš mažamečio vaiko. Kitas svarbus faktorius yra tai, jog skaitmeninių duomenų vagystė gali likti niekada nepastebėta, o tai reiškia, jog ir vagies niekas neieškos...
Suprasdamos ar bent jau bandydamos suprasti skaitmeninių technologijų pritaikymo keliamas grėsmes, organizacijos vis daugiau dėmesio skiria ir savo skaitmeniniam saugumui užtikrinti. Kadangi saugumo incidentų pasitaiko ir specializuotas saugumo valdymo priemones įsidiegusiose organizacijose, kyla klausimas – kodėl vienos organizacijos yra saugesnės už kitas?
Daugelis atsakymo mėginame ieškoti informaciniam saugumui bei apskritai IT technologijoms skiriamų lėšų biudžetuose, tačiau net ir labai dideli pinigai nepadeda sukurti tinkamo organizacijos apsaugos lygio, jeigu yra naudojami netinkamai. Informaciniam saugumui skirtų lėšų švaistymas prasideda nuo to, kai apsisprendžiama jas skirti. Geri vadovai supranta, jog jeigu organizacijoje nekyla informacinio saugumo incidentų, tai dar nereiškia, jog padėtis yra gera – organizacijai galėjo pasisekti, galbūt į ją dar nespėjo nusitaikyti profesionalūs įsilaužėliai ar nesąžiningi konkurentai, bet ir ši diena turbūt ne už kalnų, todėl ruoštis reikia jau dabar.
Kitas etapas ateina kartu su suvokimu, jog įmonei yra reikalingos informacijos apsaugos priemonės ir imama galvoti kaip apsaugą realizuoti praktiškai. Pirmosios klaidos prasideda jau šiame etape, kadangi daugelis vadovų pasitiki savo IT skyriaus darbuotojais ir dažniausiai jie formuoja poreikius ar reikalavimus informacinės apsaugos priemonėms. Deja, tikrai nedaug Lietuvos įmonių gali pasigirti kompetentingais darbuotojais, turinčiais gerą informacinio saugumo srities subtilybių suvokimą ir, svarbiausia, geba turimas žinias tinkamai pritaikyti.
Dažniausiai šie darbuotojai yra pernelyg lojalūs įmonei ir negali objektyviai įvertinti esamos padėties. Taip pat, dažnai pasitaikantis atvejis, kai darbuotojai iš esmės vengdami papildomo darbo nenori užsikrauti atsakomybės diegdami naujas technologijas bei programinę įrangą. Jie tiesiog slepia pažeidimus ir neįvertina, kad to kaina gali būti nepamatuojamai didelė.
Todėl norint sutaupyti informacinio saugumo poreikių bei priemonių diegimo planavimo stadijoje, reiktų bendradarbiauti ir konsultuotis su kompanijomis, besispecializuojančiomis išskirtinai informacijos apsaugos srityje. Specializacija iš tiesų yra labai svarbus kriterijus, kadangi siaura veiklos kryptis priverčia bendrovę turėti profesionalių specialistų – nes tai reikalinga išgyvenimui rinkoje.
Informacijos apsaugos konsultantai turėtų padėti pažvelgti į situaciją įmonėje pro įsilaužėlio perspektyvą – išsiaiškinti kokios IT bei įmonės infrastruktūros dalys yra labiausiai pažeidžiamos, ar egzistuoja tokie pažeidžiamumai, kuriais pasinaudojus jau dabar galima pavogti vertingą įmonės informaciją bei sudaryti įmonės informacinio saugumo strategiją, glaudžiai susijusią su bendru IT infrastruktūros gerinimo planu, nes tik taip galima sukurti efektyvų apsaugos lygmenį, atitinkantį verslo poreikius bei neiššvaistyti turimų lėšų.
Kaip išsirinkti tinkamą partnerį, padėsiantį sunkiame kompanijos apsaugojimo procese? Pirmasis vertinimo kriterijus yra nuveikti darbai – kas dar pasitiki vertinama įmone, t.y. su kokiais klientais, partneriais ji dirba? Ar šie liko patenkinti rezultatais? Svarbu yra tai, kad konsultacinės kompanijos darbuotojai turi būti savo srities profesionalais: pirmoji mintis, žinoma, yra atitinkamų sertifikatų turėjimas.
Šis kriterijus daugeliui atrodo labai svarbus, tačiau norint protingai investuoti reikia žvelgti giliau: sertifikatai iš esmės yra prekė, kurią nusipirkti gali praktiškai bet kuris norintis. Kur kas svarbiau už kompanijos gražią „popierinę“ prekinę išvaizdą yra jos realūs darbai: ar ši kompanija turi viešai paskelbtų savo specialistų aptiktų pažeidžiamumų programinėje įrangoje? Ar jos specialistai skaito pranešimus apie IT saugą, dalyvauja renginiuose, bei eina koja kojon su naujovėmis? Ir, svarbiausia, būtina išsiaiškinti ar ji atlieka šabloniškus informacinio saugumo politikų kūrimo veiksmus, ar turi patirties atliekant sėkmingus įvairaus tipo įsibrovimo į organizacijas testus, kas garantuoja, jog specialistai suvokia įsilaužėlių logiką bei nusikalstamų struktūrų naudojamas „juodąsias“ technologijas.
Turint gerą ir efektyvią informacinės saugos įgyvendinimo strategiją, priemonių diegimas įmonėje nesukuria didelių nepatogumų ir kartu yra racionaliai sumažinama verslui kylanti rizika. Taip nuo „gaisrų gesinimo“ yra žengiama prie racionalių sprendimų - reagavimas virsta į prevenciją.
Protingai lėšas bei žmonių resursus norinčioms naudoti organizacijoms, jau turinčioms įmonės saugumo strategiją ir įvairias priemones saugumui užtikrinti galima būtų patarti visapusiškai žiūrėti į situaciją, vertinti ne tik techninių priemonių pajėgumus, bet kontroliuoti ir darbuotojų pasirengimo pasipriešinti įsilaužėlių veiksmams galimybes – darbuotojai turi žinoti apie esamą IT resursų naudojimo tvarką organizacijoje ir jos tinkamai laikytis. Taip pat reikia suprasti ir tai, kad personalas yra samdomas atlikti savo tiesioginei užduočiai – darbuotojams iš tiesų nesinori nuolat galvoti apie duomenų, su kuriais jie dirba apsaugojimą bei nutekėjimo kelių užkirtimą. Todėl atsiranda ir būtinybė periodiškai atnaujinti bei papildyti darbuotojų žinias apie informacijos apsaugą, priminti jų pareigas.
Informacijos apsaugos procesas yra labai dinamiškas ir čia nėra paprasta išvengti klaidų, kurios atveria vartus įsilaužėliams – įmonių vadovams reikia galvoti apie visų įmanomų įsilaužimo kelių blokavimą, tuo tarpu įsilaužėliams, norint laimėti šią nelygią kovą užtenka surasti mažiausią netobulumą, kuriuo pasinaudojus gali būti pasiekta trokštama konfidenciali informacija ir padaryti sunkiai išmatuojami nuostoliai.
Todėl reikia suvokti, jog bėgant laikui situacija keičiasi: atsiranda naujos grėsmės, naujos atakų rūšys – taupant lėšas reikia pagalvoti apie ateitį, pamąstyti ko gali prireikti, įvertinti rezultatus bei drąsiai kreiptis į trečiąją pusę, kuri padėtų suvokti ar tinkamai veikia esamos priemonės, ar priimti sprendimai buvo pateisinami. Tai sužinoti galima tiek atliekant vidinį auditą, tiek ir praktiškesniais būdais, vienas kurių būtų realaus įsibrovimo į organizaciją imitacija.
Užeiti pro atviras duris yra kur kas paprasčiau, nei jas užrakinant. Besivystantis pasaulis mums diktuoja savo sąlygas – be tinkamo organizacijos saugumo lygio užtikrinimo sėkmingai veikti nebeįmanoma. Norint sutaupyti reikia pereiti nuo gaisrų gesinimo prie problemos nagrinėjimo iš esmės, vertinant situaciją taip kaip tai daro priešai, kombinuojant daugelį komponentų: technologijas, įvairių tipų politikas bei žmogiškąjį faktorių. Bet kurios iš šių aplinkybių ignoravimas arba netinkamas įvertinimas veda prie nesėkmės ir lėšų švaistymo.
