Upplýsingaöryggismál fyrir minni fyrirtæki

Lítil og meðalstór fyrirtæki eru samanlagt stærstu vinnuveitendur landsins og starfsfólk slíkra fyrirtækja,  þekkja vel þörfina fyrir útsjónarsemi í lausn ýmissa áskorana í rekstri.

Aukin upplýsingatæknivæðing hefur ekki farið framhjá þessum fyrirtækjum og um leið hefur vitund um verðmæti og mikilvægi rafrænna gagna aukist. Hins vegar beinist umfjöllum um upplýsingaöryggismál og tölvuinnbrot oftast að stærri fyrirtækjum fremur en að þeim minni.

Það er þó ljóst að þær ógnir sem fyrirtæki standa frammi fyrir eru ekki nauðsynlega bundin við stærð. Ef skoðaðar eru þær hættur sem algengast er að steðji að tölvum og upplýsingavinnslu fyrirtækja má gróflega skipta þeim í þrennt:

• Mannleg mistök, t.d. gögnum eytt, afrit ekki í lagi, kaffi hellt yfir tölvubúnað o.s.frv.
• Viljaverk, t.d.innbrot, tölvuveirur, njósnir, skemmdarverk o.s.frv.
• Bilanir og hamfarir, t.d. rafmagnsbilun, bilun í tölvubúnaði, bruni, vatnsleki, jarðskjálftar o.s.frv.

Fyrir minni fyrirtæki má vel vera að minni áhætta sé á að gögn tapist vegna ytri viljaverka, s.s. vegna innbrota eða njósna þar ávinningur tölvuþrjóta verði óhjákvæmlega minni. Hins vegar eru minni fyrirtæki í mikilli hættu vegna tölvuveira og annars ófögnuðar sem leitar uppi öryggisveilur í tölvum. Skýringin er oftast sú að minni fyrirtæki hafa ekki sérstaka tölvudeild og hugbúnaður er því ekki nauðsynlega uppfærður eða viðhaldið.

Mannleg mistök og bilanir verða jafnt hjá smærri sem og stórum fyrirtækjum en jafnvel oftar hjá þeim minni sem ekki geta fjárfest í dýrum innviðum og verkferlum. Lög og reglur varðandi upplýsingaöryggi, verndun persónuupplýsinga og skjalavörslu hafa hinsvegar sama gildi fyrir öll fyrirtæki og því þurfa minni fyrirtæki að huga markvisst að þessum málum. Öryggi upplýsinga og tölvuöryggismál almennt eru því oft raunverulegt vandamál hjá minni fyrirtækjum. Þessi mál geta verið mjög erfið við að eiga ef ekki er farið rétt að málum. Hvað geta þessi fyrirtæki þá helst gert til að auka öryggi upplýsingaeigna sinna?

Hér eru nokkur ráð sem öll lítil og meðalstór fyrirtæki ættu að hafa í huga:

1. Meta hver staðan er
Við förum með bílinn okkar í skoðun á hverju ári til að tryggja rekstrarhæfi. Sömuleiðis þurfa minni fyrirtæki að athuga reglulega hver staða öryggismála er í fyrirtækinu. Framkvæma þarf ástandsskoðun á öryggismálum þar sem skipulega er farið yfir málin. Ef ekki er þekking innan fyrirtækisins á framkvæmd slíkrar skoðunar má leita til sérhæfðra ráðgjafa á sviði öryggismála.

2. Leikreglur skýrar
Umgengni um tölvur og upplýsingar fyrirtækisins þarf að lúta skýrum leikreglum.
Eitt þeirra atriða sem huga þarf að er hvort starfsmaður megi senda einkapóst á netfangi sínu hjá fyrirtækinu. Þá þarf að taka afstöðu til og setja reglur um uppsetningu starfsmanna á forritum. Reglurnar þurfa að vera einfaldar og upplýsa verður alla starfsmenn um þær. Öll fyrirtæki ættu að setja sér stefnu í öllu því er varðar öryggi upplýsinga og skilgreina að lágmarki meginreglur um meðferð upplýsinga hjá fyrirtækinu.

3. Allir þurfa að vinna saman
Engin keðja er sterkari en veikasti hlekkurinn og því er mikilvægt að upplýsa og fræða starfsfólk fyrirtækisins um allt er lýtur að öryggi upplýsinga, söfnun þeirra, skráningu, samtengingu við aðrar upplýsingar – sem og tryggja eyðingu þeirra að lokinni notkun. Það er upplagt að taka öryggismálin upp á starfsmannafundum og á veraldarvefnum, t.d. á vefsíðunum netoryggi.is og netsvar.is, er hægt að finna margar góðar almennar upplýsingar varðandi öryggi rafrænna gagna . Ýmis námskeið bjóðast sem miða að því að efla öryggisvitund starfsmanna.

4. Ekki geyma óþarfa
Mörg fyrirtæki taka óþarfa áhættu með því að geyma upplýsingar sem ekki er lengur þörf fyrir í starfseminni. Ekki er hægt að stela eða misnota upplýsingar ef þær eru ekki til staðar í fyrirtækinu. Því er mikilvægt að geyma aðeins þau gögn sem nauðsynleg eru fyrir reksturinn og í eins stuttan tíma og hægt er.  Útvistun á rekstri tölvukerfa, greiðslumiðlun, afritun og því um líku getur reynst góð og einföld leið fyrir fyrirtæki sem kjósa að einbeita sér að eigin kjarnarekstri og forðast óþarfa kostnað og áhættu.

5. Til er uppskrift
Mörg minni fyrirtæki hafa staðið frammi fyrir sams konar áskorun og fundið hagkvæmar leiðir til að koma öryggismálum í gott horf. Gott er því að bera bækur sínar saman við aðra í svipuðum rekstri og fá hugmyndir um hvað má bæta og hvernig. Uppskriftabók um stjórnun upplýsingaöryggismála fá finna í staðlinum ISO 27001 sem fæst hjá Staðlaráði Íslands. LMF geta valið að innleiða valda þætti sem gagnast fyrirtækinu best. Sömuleiðis má leita til ráðgjafa á sviði upplýsingaöryggismála sem geta leiðbeint fyrirtækinu í rétta átt eða jafnvel alla leið í vottun ef við á.