Informacijos saugumas

Informacijos saugumo auditai padeda bendrovėms taupyti pinigus

Maili Torma

2020 metai buvo įsimintini ne tik dėl pandemijos, tačiau ir dėl išaugusio kibernetinių nusikaltimų skaičiaus. Federalinių tyrimų biuro duomenimis, Jungtinių Amerikos Valstijų bendrovės pranešė apie 400 % išaugusį kibernetinių atakų skaičių ir, lyginant su 2019 metais, 68 % daugiau bendrovių pranešė apie kibernetinį sukčiavimą.

2020 m. spalio mėnesį Europolas perspėjo, kad dėl Covid - 19 padaugėjo kibernetinių nusikaltimų. 2020 m. rugsėjo mėnesį Estijos informacinės priežiūros tarnyba (RIA) pranešė, kad kibernetiniai nusikaltėliai padarė daugiau kaip 1 milijono eurų dydžio žalą Estijos bendrovėms, o didžiausias incidento metu patirtas nuostolis – 100 000 eurų.

Nepakankama kibernetinė sauga yra viena iš didžiausių nematomų bendrovės veiklai kylančių grėsmių, nes labai dažnai kibernetinė rizika nėra įtraukiama į bendrą bendrovės rizikų sąrašą. Tačiau nesuvaldžius šios rizikos, bendrovė gali patirti labai didelius nuostolius.

Žalos pridaro ne tik kibernetinės atakos, bet ir netinkama apsauga nuo sukčiavimo ir kenkėjiškų programų, pvz. darbuotojams neturint pakankamai žinių apie kibernetines grėsmes ir nežinant, kaip elgtis, arba nesant darbdavio paruoštų instrukcijų, kaip apsaugoti bendrovės intelektinę nuosavybę ir informaciją. Be to, bendrovės nenaudoja naujausių kibernetinio saugumo technologijų. Pavyzdžiu galima pateikti kibernetinį incidentą Charlot OÜ elektroninėje parduotuvėje, kai buvo nutekinti 14 000 pirkėjų duomenys, kadangi parduotuvė neįdiegė tinkamų kibernetinių saugumo programų.

Darbas nuotoliniu būdu, 2020 metais tapęs prioritetu dėl Covid–19, taip pat kelia papildomų kibernetinio saugumo iššūkių ir rizikų. Nuotolinis darbas tapo daugumos bendrovių realybe, tačiau dažna bendrovė neturėjo saugių ryšių su savo serveriais ir tai pareikalavo tiek papildomų bendrovių išteklių, tiek laiko sąnaudų.

Labiausiai paplitęs kenkėjiškų programų plitimo būdas yra per apgaulingus elektroninius laiškus, kurie pastaraisiais metais tapo vis sudėtingesni ir iš pirmo žvilgsnio atrodo lyg visiškai tikri. Patyrinėjus atidžiau, galima pamatyti, kad yra pakeista viena vienintelė raidė bendrovės pavadinime arba laiško formuluotė šiek tiek neatitinka įprastai naudojamo stiliaus. Užtenka vienam darbuotojui papulti į sukčių pinkles ir bendrovės intelektinė nuosavybė ir konfidenciali informacija tampa prieinama kibernetiniams nusikaltėliams. Atakos, kurios tikslas gauti piniginę išpirką, metu nusikaltėliai užšifruoja bendrovės duomenų bylas ir reikalauja išpirkos už jų iššifravimą ir saugų grąžinimą. Deja, saugumo prasme tai dažniausiai jau būna per vėlu, nes bendrovės informacinė sistema jau pažeista, duomenys pavogti ir bendrovė nebegali kontroliuoti jų nutekėjimo ar netinkamo panaudojimo.

Reguliarus darbuotojų mokymas, infrastruktūros ir informacijos saugos patikrinimai, atnaujinti verslo tęstinumo ir jo atkūrimo planai bei reguliarus šių planų testavimas turėtų būti neatskiriama šiandienos verslo veiklos dalis. Tai užtikrina operatyvų pasirengimą kovoti su nuolat besikeičiančiomis kibernetinėmis grėsmėmis.

Informacijos saugos auditas, kurio metu identifikuojamos kibernetinės saugos rizikos ir pateikiamos rekomendacijos, kaip jas sumažinti, gali padėti bendrovei pasiekti aukštą kibernetinės saugos lygį. Mes analizuojame ir tikriname įvairių informacijos šaltinių saugos poreikius, bendraujame su vadovybe ir darbuotojais, tikriname duomenis (pvz. vidaus politikas, kompiuterio nustatymus, serverių nustatymus) ir, remdamiesi stebėjimais, teikiame rekomendacijas, kaip sumažinti kibernetinės saugos riziką.

Informacijos saugos auditą atliekame vadovaudamiesi ISO 27001 standartu, kuris apibrėžia informacijos saugos valdymo sistemos (ISMS) reikalavimus. ISMS yra politikų ir procedūrų sistema, apimanti visas teisines, fizines ir technines kontrolės priemones, susijusias su informacijos saugos valdymo procesais. Auditas naudingas ir tuo atveju, kai bendrovės partneriai, investuotojai ar klientai reikalauja įrodymo, kad bendrovė laikosi informacijos saugos reikalavimų.

Domina kibernetinio saugumo paslaugos?

Susisiekime