Vienas didžiausių iššūkių įmonėms interneto eroje – duomenų apsauga. Kiekvienas žino bent po kelias įmonės, kurios nesugebėjo apsaugoti savo vidinių, klientų ar partnerių duomenų ir dėl to patyrė didelių tiesioginių ir netiesioginių nuostolių: Grožio chirurgija, tv3, Gemius – tai tik kelios įmonės, kurios su tuo jau susidūrė.

Nors įmonės ir valstybės imasi relių priemonių padedančių užtikrinti efektyvesnę duomenų apsaugą, ne paslaptis - kad ir kiek moderniausių technologijų sudiegsime, žmogus yra silpniausia saugumo grandis, kurią išnaudoja nusikaltėliai. Todėl itin svarbu, kad organizacijoje būtų įdiegtos gerosios saugumo praktikos ir jų visos įmonėje dirbančios komandos aktyviai laikytųsi. Tad nuo ko pradėti?

Konfidencialumo ir informacijos neatskleidimo susitarimai

Bet kuriai politikai sėkmingai įgyvendinti ją su darbuotojais būtina įtvirtinti raštu. Visi, kurie turi prieigą prie jautrios informacijos taip pat turėtų pasirašyti konfidencialumo susitarimus – juos rekomenduotina pasirašyti su visais darbuotojais, partneriais ir tiekėjais.

Unikalus ID ir prisijungimas kiekvienai sistemai

Įprasta, kad kiekviena įmonė savo sistemas apsaugo slaptažodžiais ir taip apriboja nesankcionuotą prieigą prie konfidencialios informacijos. Tačiau vertėtų nepamiršti, kad kiekvienam darbuotojui turėtų būti kuriamas atskiras identifikatorius prisijungti prie kiekvienos sistemos.

Taip pat rekomenduojama taikyti prieigos valdymo protokolus (ang. access management protocols) siekiant apriboti skirtingų departamentų galimybę peržiūrėti ir valdyti jautrius duomenis, t.y. suteikiant konkrečiam darbuotojui teisę pasiekti tik tą informaciją, kuri yra būtina jų funkcijoms atlikti.

Kibernetinio saugumo, duomenų apsaugos ir konfidencialumo mokymai

Labai svarbu sukurti išsamią ir veiksmingą saugumo programą ir jos neatsiejama dalis – nuolatiniai mokymai ir saugumo akcijos. Taikydami šias praktikas padėsite darbuotojams užpildyti žinių spragas ir įtvirtinsite saugaus elgesio gaires – taip kolegoms bus lengviau bus perprasti, kaip saugumo politiką taikyti realiose situacijose.

Kokybiškų mokymų nepraėję kolegos yra daug pažeidžiamesni įvairaus tipo socialinės inžinerijos atakoms – jos keičiasi greitai ir yra ypač veiksmingos siekiant perimti jautrią informaciją.

Reikėtų nepamiršti, kad į mokymus būtina įtraukti ir visą vadovybę – jie yra didžiausios žuvys nusikaltėliams ir būtent prieš juos nutaikyta didelė dalis specializuotų atakų.

Reguliarūs auditai ir įrašų valdymo sistemos

Neabejotinai kiekviena sėkminga įmonė turi daug klientų duomenų – toks jau šiandieninis verslas. Dėl to būtina turėti gerą įrašų valdymo sistemą, kurioje būtų laikoma, keičiama ar naikinama konfidenciali informacija.

Be to, svarbu apsibrėžti, kur įmonės darbuotojai gali laikyti jautrią informaciją: trumposiose žinutėse, pokalbių programose, el. pašte ar kituose informacijos perdavimo kanaluose. Nepamirškite retkarčiais atlikti ir įrašų valdymo sistemos audito.

#GDPR #ITsaugumas #Kibernetiniosaugumomokymai #Duomenųapsauga