Kas tai? Eksperto įžvalgos

Kas geriau: saugus verslas ar jokio?

Publikuota: 2018-05-22
Anot Tomo Stamulio, UAB „Atea“ Informacijos saugos valdymo grupės vadovo, besibaimindamos, kad BDAR suvalgys nemažą dalį biudžeto, bendrovės pamiršta nenuginčijamą tiesą: numojus ranka į saugumą kyla grėsmė pačiam verslui. Ryčio Galadausko nuotr.
Anot Tomo Stamulio, UAB „Atea“ Informacijos saugos valdymo grupės vadovo, besibaimindamos, kad BDAR suvalgys nemažą dalį biudžeto, bendrovės pamiršta nenuginčijamą tiesą: numojus ranka į saugumą kyla grėsmė pačiam verslui. Ryčio Galadausko nuotr.

Tyrimų duomenimis, 80% vadovų pasiruošimą BDAR laiko vienu iš trijų svarbiausių verslo prioritetų, tačiau tik trečdalis mano, kad reikalavimus pavyks įgyvendinti iki numatytosios datos – gegužės 25 dienos. Tomas Stamulis, UAB „Atea“ Informacijos saugos valdymo grupės vadovas, sako, kad sunkiausia įgyvendinti BDAR reikalavimus bus toms bendrovėms, kurios iki šiol išvis nesirūpino duomenų apsauga ar į pasiruošimo procesą neįtraukė aukščiausio lygio vadovų.

Kibernetinės saugos rinkodaros kompanijos „Crowd Research Partners“ atliktoje apklausoje dalyvavę ES verslo vadovai tikina, kad Bendrojo duomenų apsaugos reglamento (BDAR) įgyvendinimui sunkiausia ruoštis todėl, jog stinga lėšų (taip mano 50% apklaustųjų), trūksta išmanymo (taip mano 48% apklaustųjų) ir specialistų, kurie nuodugniai paaiškintų, ko konkrečiai reikalauja reglamentas  (37% apklaustųjų). Tyrimo rezultatai atskleidžia, kad 27% kompanijų vadovų apskritai nėra tikri, jog BDAR jiems pavyks pasiruošti laiku.

Moka už aplaidumą

Tomas Stamulis nesiginčija: pasiruošimo BDAR procesas reikalauja nemažai investicijų. Visgi, anot pašnekovo, į tokią duobę save įstūmė pats verslas – daugumai bendrovių duomenų apsauga iki šiol neatrodė nei prioritetas, nei problema, todėl jai nebuvo skiriama pakankamai lėšų ar resursų.

„Duomenų apsauga niekada nebuvo aiškiu verslo prioritetu. Dažnu atveju įmonės tam tikrų asmens duomenų, tokių kaip darbuotojų duomenys, kontaktinis telefono numeris, el. pašto adresas, IP adresas, nelaikydavo asmens duomenimis, todėl asmens duomenų saugumu buvo rūpinamasi labai atmestinai arba visai nesirūpinama. Didžioji dalis verslo į duomenų apsaugą neinvestavo daugiau kaip 10 metų, todėl neverta stebėtis, kad priėmus BDAR pasigirdo kalbų apie milžiniškas investicijas ir didžiules sąnaudas. Paskaičiuokite: jei asmens duomenų apsauga įmonė rūpintųsi keletą metų, dabar ūmai atsiradusias sąnaudas ji būtų galėjusi išskirstyti iš jos neatrodytų taip baugiai“, -  prisiminti aritmetiką siūlo p. Stamulis.

Žinoma, ne visoms kompanijoms prireikia vienodų investicijų. Anot eksperto, neįsigilinus į konkrečios bendrovės veiklą ir situaciją gana sunku patarti, į ką investuoti būtų svarbiausia.

„IT ūkis, informacinės sistemos, kuriuose tvarkomi asmens duomenys, skiriasi tiek IT požiūriu, tiek pagal jų panaudojimą. Vienos įmonės duomenis saugo centralizuotai, vienoje sistemoje ar duomenų bazėje, kitos – keliose sistemose, trečios asmens duomenis tvarko tik kompiuteryje ar el. paštu, todėl kiekvienu atveju galima pasiūlyti skirtingų patarimų. Kalbėdamas apie saugumą, pirmiausia siūlyčiau pasirūpinti asmens duomenų prieigos užtikrinimu. T.y., asmens duomenis saugokite ten, kur galėsite kontroliuoti, kas prie jų gali prieiti, kokius veiksmus gali atlikti. Tam, kad įvykus incidentui išvengtumėte problemų, būtinai darykite ir saugokite audito įrašus – juose matysite, kas, kada ir kaip asmens duomenis tvarkė. Taip pat privalote užtikrinti įrenginių, kuriuose tvarkomi duomenys, saugumą. Pavyzdžiui, jeigu asmens duomenys apdorojami kompiuteriu, jis turėtų būti apsaugotas slaptažodžiu,  pasirūpinta šifruota atmintimi, įdiegta kokybiška antivirusinė programa, būtinai naudojamasi legalia programine įranga, atskirai daroma ir saugoma asmens duomenų kopija ir t.t., - patarimus beria p. Stamulis. - Informacines sistemas reikia pritaikyti taip, kad užtikrintumėte duomenų subjektų teises. Pavyzdžiui, duomenų subjektui paprašius ištrinti jo duomenis, turėkite galimybę tą padaryti nesudėtingai, nesugriaudami visos sistemos. Kitas atvejis – jei duomenų subjektas prašo pateikti informaciją apie tvarkomus jo duomenis, turėkite galimybę juos nesudėtingai surinkti“.

Branginantiems reputaciją

Daug kalbama apie tai, kad BDAR naudingas tik toms įmonėms, kurios kuria bei diegia saugumo sprendimus, o kitoms bendrovėms lengviau matuoti naštą, nei įžvelgti apčiuopiamos naudos. Visgi, pasak p. Stamulio, reglamento teikiamą naudą patartina vertinti plačiau.

„Klientai ir partneriai visame pasaulyje daug palankiau atsiliepia apie verslą, kuris rūpinasi saugumu. Jeigu įmonė vertina savo informaciją, prioretizuoja jos saugumą, lengviau daryti prielaidą, jog ji brangina ir klientų ar partnerių pateiktą informaciją, - sako ekspertas. – Nuo senų laikų yra susiformavusi nuomonė, jog susikoncentravus į saugumą nukenčia verslas. Taip pat manoma, kad investicijos į saugumą yra papildomos, dažnai niekam nereikalingos išlaidos – mažinant biudžetą būtent jų atsisakoma pirmiausiai. Tačiau ne visada įvertinama, kad numojus ranka į saugumą kyla grėsmė pačiam verslui - įvykus incidentui gali tekti padengti didelę žalą. Pasaulis gyvena skaitmenizacijos eroje, ir saugos tema tampa vis aktualesnė. Pasitelkęs informacines technologijas, verslas perkelia ir optimizuoja savo veiklas. Norint užtikrinti, kad veikla vyktų be trikdžių, garantuoti pajamas, sumažinti galimus praradimus ir žalą būtina imtis atitinkamų saugumo priemonių.“

Tas bendroves, kurios į reglamento reikalavimus kol kas nusprendė žvelgti pro pirštus, anot eksperto, paklusti BDAR privers aplinkybės.

„Viešojo ir privataus verslo atstovai, kurių veikla atitiks BDAR reikalavimus, pirkdami prekes ar paslaugas to paties reikalaus ir iš rangovų, kai perkamos paslaugos bus susijusios su asmens duomenimis bei jų tvarkymu. Todėl įmonės, kurios norės dalyvauti pirkimo konkursuose, turės atitikti BDAR. Kitaip sakant, verslą, kuris norės išlikti rinkoje, pati rinka anksčiau ar vėliau privers susirūpinti duomenų apsauga“, - tikina pašnekovas.

Vadovams dalyvauti būtina

Net ir tie vadovai, kurie pripažįsta saugos svarbą, neretai pabrėžia, jog BDAR - pernelyg techniškas ir painus taisyklių rinkinys. Daliai jų atrodo logiška, pasiruošimo BDAR procesą atiduoti į IT ir teisės skyrių rankas arba patikėti šią paslaugą siūlantiems specialistams iš šalies. Tai, anot p. Stamulio, vienos didžiausių verslo daromų klaidų.

„Įmonės gana dažnai atitikties BDAR paslaugas perka iš trečiųjų šalių ir daro klaidą samdydamos tik teisininkus arba tik IT specialistus. Nei teisės, nei IT specialistai individualiai neatliks visos apimties darbų, - nuodugniau vertinti situaciją ragina p. Stamulis. – Net tokiu atveju, kai teisininkai ar IT specialistai yra jūsų darbuotojai, jie neišmanys absoliučiai visų įmonės veiklos niuansų, todėl būtina į procesą nuo pat pradžios įtraukti daugiau įmonėje dirbančių skirtingų sričių specialistų. Tik su konkrečia informacija dirbantys specialistai gali pasakyti, kokie duomenys jiems reikalingi, kiek laiko jų reikia, kokiose sistemose tie duomenys tvarkomi ir pan. Sakykime, BDAR reglamentui jus ruošia teisininkas ir IT specialistas, tačiau jie nė nenutuokia, jog marketingo skyrius tiesioginę rinkodarą vykdo ne tik el. paštu, bet ir telefonu ar klientams siųsdami popierinius reklaminius pranešimus. Tokiu atveju net nepriekaištingai atlikdami savo darbą ekspertai paliks spragų, kurios nuo jų nepriklauso, bet įmonei gali tapti lemtingomis. Bėda ta, kad dažnai įmonės vadovybė per menkai arba iš viso nedalyvauja ruošiantis BDAR, nesuteikia pakankamų įgaliojimų atsakingam darbuotojui, todėl šis negali į šį procesą įtraukti visų reikalingų darbuotojų“.

Kita klaida - manymas, kad naujasis reglamentas svarbesnis kitiems verslams, bet ne maniškiui.

„BDAR vienodai svarbus visam verslui ir tie, kas į reglamento reikalavimus numojo ranka, sulauks pasekmių, - atsainumo netoleruoja pašnekovas.

Ragina dalintis kompetencija

Ragindamas į procesą įtraukti kuo daugiau darbuotojų, p. Stamulis sako, kad IT specialistai turėtų patys rodyti daugiau iniciatyvos – juk BDAR tiesiogiai susijusi su jų veiklos sritimi.

„Kiekvienas  darbuotojas turi rūpintis duomenų saugumu, o pamatęs kažką, kas kelia nerimą ar atrodo neteisėta, įtardamas, kad buvo pažeistas saugumas, privalo informuoti atsakingus asmenis. IT specialistai šioje srityje dažnai turi daugiau kompetencijos, todėl galėtų pamokyti kitus darbuotojus kaip reikia elgtis tvarkant asmens duomenis, į ką atkreipti dėmesį dirbant su IT priemonėmis, - siūlo ekspertas. – Apskritai net tada, kai atlieka savo tiesioginius pavedimus IT specialistai turėtų žvelgti plačiau: ne tik rūpintis sklandžia sistemų ar kompiuterių veikla, bet ir skirti daugiau dėmesio saugumo priemonėms, kruopščiau vertinti kiekvieną incidentą. Pavyzdžiui, jeigu virusas užšifravo kompiuterio failus, neužtenka atstatyti tuos failus – reikia išsiaiškinti, kodėl taip įvyko ir imtis priemonių, kad tai nepasikartotų“.

infogr.am::infogram_0_753a3f9b-5ed6-4e4a-8cd6-c01e7c80dbff

Rašyti komentarą

Rašyti komentarą

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















Svarbiausios dienos naujienos trumpai:



 
Pasiklydę vertime: tarp prekių ženklo ir prekės Rėmėjo turinys 1

Kuris prekių ženklas stiprus, o kuris silpnas, galiausiai sprendžia vartotojai. Tačiau tai, koks bus įdirbis...

2018.06.26
Prakąsta kriaušė – ne obuolys? Paklauskite teisininko Rėmėjo turinys

Užsidegę idėja ir kūrybine energija, investavę laiko ir lėšų, pagaliau sukūrėte prekių ženklą, kuris įkūnija...

2018.06.19
Ant svarstyklių: franšizė ar nuosavas prekių ženklas? Rėmėjo turinys 3

Kiekviena įmonė svajoja apie stiprų ir sėkmingą prekių ženklą. Tačiau ne kiekvienam verslo Niutonui ant...

2018.06.12

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau