Kaip pasirūpinti verslo duomenų saugumu?

Asociatyvi nuotrauka
Gana įprasta įmonėms nerimauti dėl išorinių grėsmių saugumui – ir fiziniam, ir kibernetiniam. Juk įrangą gali pavogti arba pažeisti, tad būtini įvairiapusiai sprendimai. Vis dėlto per retai pasvarstoma apie vidines rizikas, kurias kelia nepakankamai žinių kibernetinio saugumo srityje turinti komanda ir netinkamai apsaugotos sistemos. Tokios spragos ypatingai išryškėjo daugeliui pradėjus dirbti nuotoliniu būdu. Taigi, ką reikėtų padaryti patiems ir iškomunikuoti darbuotojams, kad jautrūs įmonės, klientų, partnerių bei pačių komandos narių duomenys būtų saugesni?

Kas kelia daugiausiai pavojaus?

Galima išskirti keletą dalykų, dėl kurių žala duomenims patiriama dažniausiai. Tai:

    • Nepatikimas bevielis interneto ryšys – riziką gali kelti ne tik techniniai sutrikimai, bet ir apskritai naudojimasis viešu (neapsaugotu slaptažodžiais, prieinamu bet kur mieste) tinklu.
    • Kenkėjiški el. laiškai. Pavojingos tiek į oficialią įmonės, tiek į asmeninę darbuotojų pašto dėžutę siunčiamos nuorodos, netikros užklausos ar kitokie socialinės manipuliacijos elementai. 
    • Asmeninės įrangos naudojimas darbo reikmėms. Tai nėra pavojinga, jei pasirūpinta aukščiau esančiais veiksniais. Papildomai darbuotojas turi aiškiai atskirti asmenines ir darbo reikmes, pasirūpinti, kad prie komercinių duomenų neturėtų prieigos šeimos nariai.

Pavojų gali taip pat kelti nepakankamas sistemų (ar paties serverio) saugumas, nelicencijuotų programų naudojimas ir panašiai. Dalis rizikos susiję su netinkamais visos komandos įpročiais, o dalį galima koreguoti tiesiog pakeitus, atnaujinus įrangą, perėjus prie vieną naudotoją turinčių (dedikuotų) fizinių serverių. Pašalinus tokius rizikos veiksnius, galima kiek mažiau jaudintis dėl DDoS atakų, kenkėjiško kodų eilučių įterpimo ar kitokių išorinių grėsmių.

Visa ko pagrindas – saugus prisijungimas

Kaip jau minėta, kartais pavojus kyla dėl dalykų, kurie suvokiami kaip savaime suprantami. Visgi ne visuomet ir ne visiems aišku, kas yra tas saugus prisijungimas, stiprus slaptažodis ar kur vienokią ar kitokią informaciją derėtų saugoti. Pavyzdžiui, darbuotojas gali susikurti gana stiprų slaptažodį ir vartotojo vardą – sudarytus iš didžiųjų ir mažųjų raidžių, skaičių, kitokių simbolių, turinčių jam unikalią reikšmę – tačiau išsisaugoti juos, kad nepamirštų, popieriaus lape, prikabintame prie ekrano. Jis taip pat gali naudoti tą patį slaptažodį visoms sistemoms.

Komandos narius rekomenduotina edukuoti net ir tokiomis temomis. Dar vienas, atrodytų, akivaizdus sprendimas – prisijungimas prie el. pašto, kitų sistemų naudojant slaptažodžių šifravimo programas, autentifikavimą 2 būdais (2FA). Jei per platformą vykdomas apmokėjimas, renkami kiti jautrūs duomenys, būtinas ir SSL sertifikatas. Be to, sistemų valdytojai gali nustatyti individualią prieigą prie failų – tegul ją turi tik tie, kurie tiesiogiai dirba su konkrečiais duomenimis. Prieigos teisę būtina pašalinti iškart, kai tik nutraukiama darbo sutartis – jei nepavyksta paskyros apskritai sunaikinti (dėl, pavyzdžiui, čia saugomų reikalingų duomenų). 

Dar keli patarimai įrangos saugumui

Darbo priemonėmis, jų patogumu ir saugumu turi rūpintis kiekvienas darbdavys. Žemiau – keli sprendimai, apimantys tiek vidinį (serverio, sistemų), tiek fizinį saugumą:

    • ugniasienės ir antivirusinės programos;
    • VPN (virtualusis privatusis tinklas, kurį galima papildomai įsidiegti serveryje);
    • darbuotojams prieinama atmintinė, kaip atpažinti kibernetines grėsmes ir protokolas, ką daryti kilus pavojui;
    • reguliarus programinės ir, atėjus laikui, fizinės įrangos atnaujinimas;
    • reguliarus ir saugus duomenų kopijų saugojimas;
    • aiški direktorijų sistema su nurodymais, kur ir ką saugoti, įpareigojimas saugoti informaciją tik įmonei prieinamose platformose.

Nemaža dalis tokių sprendimų gali būti priimta tiesiog pasirinkus tinkamą serverių nuomotoją (duomenų centrą). Šiuo atveju nauda patiriama visais atžvilgiais: DC rūpinasi savo įrangos patikimumu, užtikrina maksimalų paslaugų pasiekiamumą ir optimalias serverių darbo sąlygas, papildomai saugo sistemas nuo kenkėjiško srauto, saugo pačias fizines patalpas. Be to, jų personalas gali teikti konsultacijas ar netgi atskirai rūpintis jūsų serverio sistemų priežiūra. Kai paslaugas teikia modernus DC, projekto vadovams telieka pasirūpinti serveryje papildomai diegiamomis programomis ir visos komandos švietimu apie kibernetinį saugumą.