Живееме во време кога основното средство со кое ги плаќаме “бесплатните“ услуги се податоците. Почнувајќи од податоци за локација, време на активност, преференци, веб локации кои ги посетуваме и производи кои ги бараме, па се до податоци за возраста, полот, националноста, лично име и адреса – секојдневно сме соочени со предизвикот дали да ги обезбедиме овие податоци или да се откажеме од користење на услугата.
Доколку претпоставиме дека секој од нас поседува барем задоволително ниво на информациска писменост – одлуката треба да ја донесеме врз основа на фактот кому му ги обезбедуваме овие податоци, за каква цел компанијата ќе ги користи и какви сѐ мерки презема за да ги заштити.
Ризикот од нарушување на безбедноста на информациите со кои дадена компанија располага е во постојан пораст, пред се заради големата побарувачка на такви податоци за различни цели – почнувајќи од финансиска мотивација, па се до желба за суптилно обликување на поширокото јавно мислење. Од друга страна, безбедноста на информациите станува еден од главните приоритети на модерните компании. Охрабрувачки е да се види статистиката која покажува дека сѐ поголем процент на компании стануваат свесни за важноста на информациската безбедност, па вложуваат во подобрување на својата поставеност во однос на истата и воведување на систем за управување со безбедност на информациите. Ова делумно се должи на воведувањето на Европската регулатива за заштита на личните податоци, но делумно и на финансиските и репутациските последици со кои во минатото се соочија многу компании поради нарушување на безбедноста на нивните податоци.
Од гледна точка на компанија, неколку компоненти се клучни за воспоставување на добра поставеност на системот за управување со безбедноста на информациите:
- познавање на информациите со кои компанијата располага. Не можеш да го заштитиш она што не знаеш дека постои – па од клучно значење е компанијата да биде свесна за количеството и типот на податоци со кои располага, како и локациите на кои тие се наоѓаат.
- слоевита заштита. Зад нас е веќе времето кога за решенијата од типот еден-за-сите се тврдеше дека овозможуваат адекватна заштита на сите информациски системи во една компанија. Поделбата на информацискиот систем на колку што е можно понезависни компоненти, поставување на заштита околу секоја од нив, како и поставување на слоевита заштита околу целиот систем ја отежнуваат работата на потенцијалниот напаѓач и помагаат во изолирање на потенцијално ранливите компоненти.
- контрола и евидентирање на пристапот. Дали би ја оставиле отклучена влезната врата во вашиот дом? Дали би дозволиле вашите соседи да имаат пристап до вашиот сеф? Дали би повикале случајни минувачи да ги следат трансакциите на сметката на вашата компанија? Дали ви е сеедно кој сѐ ја прочитал вашата компаниска стратегија? Класифицирањето на информациите, контролата на пристапот до истите на евидентирањето на очекуваните шеми на нивно користење помага за полесно идентификување на сомнителни активности уште во почетната фаза на потенцијално загрозување на безбедноста.
- надгледување. Откако ќе осигурате дека пристапот до различните компоненти од системот за управување со информации во вашата компанија е контролиран и соодветно евидентиран, редовното надгледување и ловење на неочекувани, несекојдневни и сомнителни шеми на однесување е од клучно значење за превенција и рано откривање на потенцијално загрозување на безбедноста на информациите
- редовна ревизија. Гледањето на истите настани од поинаква перспектива може да донесе непредвидени резултати. Без разлика дали ќе биде спроведена од компетентен независен тим од вашата компанија или тим од надворешни експерти – редовната независна ревизија е неизоставен дел од цврст систем за информациска безбедност.
- свесни вработени. Човечкиот фактор е неизоставна, но честопати најслаба алка во синџирот. Вработените кои се свесни за потенцијалните закани, како и влијанието кое го имаат при работата со информации е поверојатно дека нема да се впуштат во ризично однесување и ќе препознаат и навремено ќе пријават безбедносен инцидент.
- соодветен буџет. Информациската безбедност не е состојба, туку процес кој постојано се евалуира и подобрува. Потенцијалните напаѓачи постојано вложуваат во изнаоѓање на нови и ефективни начни за нарушување на безбедноста на информациите со кои располагаат компаниите. Зошто тогаш компаниите да не вложуваат во одбрана на истите тие информации? Зошто да трошат милиони на справување со нарушување на безбедноста, наместо да инвестираат во постојано подобрување на истата?
- време. Информациската безбедност секако не е нешто кое може да се постави и заборави. Компаниите мора да посветат дел од своето скапоцено време за да ја разберат суштината и правилно да ги заштитуваат своите информации.
Сигурно на сите ви е позната поговорката: “Подобро е да се спречи, отколку да се лечи!“. Вложувањето во безбедноста на информациите во вашата компанија е паметна инвестиција. Не чекајте да биде предоцна!
Фото:Pexels
Автор на текстот Катерина Коцева од EOS Matrix