Maraming kumpanya ngayon ang ganap na umaasa sa datos na nakaimbak sa kanilang mga network server, PC, laptop, mobile device – o sa cloud. Ang ilan sa datos na ito ay malamang na naglalaman ng personal na impormasyon at/o kumpidensyal na impormasyon ng kumpanya.
Dito natin titingnan ang ilan sa mga isyung dapat isaalang-alang kapag sinusuri ang seguridad ng iyong mga computer system, at kung paano mabawasan ang mga panganib ng pagkawala ng data. Mayroon kaming kaugnay na factsheet na sumasaklaw sa ilang karagdagang konsiderasyon para sa mga may data sa cloud o gumagamit ng ilang uri ng outsourcing.
Maraming kilalang insidente ng pagkawala ng datos kung saan napakaraming personal na impormasyon ang nakapasok sa pampublikong domain. Kabilang dito ang mga rekord ng kalusugan, mga rekord sa pananalapi, at mga detalye ng empleyado.
Ang isang komersyal na organisasyon ay nahaharap din sa karagdagang panganib na mawala ang datos sa isang kakumpitensya.
Malinaw na naging laman ng mga balita ang mas malalaking pagkawala ng datos mula sa mga departamento at korporasyon ng gobyerno. Gayunpaman, anumang kumpanya, gaano man ito kalaki, ay maaaring magdusa ng pagkawala ng datos maliban kung gagawin ang mga makatuwirang pag-iingat.
Noong taong 2021, humigit-kumulang 39% ng mga negosyo sa UK ang nakaranas ng ilang uri ng paglabag sa seguridad o pag-atake sa cyber, ayon sa pananaliksik na ipinagawa ng Department for Culture, Media and Sport (DCMS). Ang ulat ay matatagpuan sa: https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022.
I-audit ang paggamit at pag-iimbak ng personal na datos
Isaalang-alang ang mga potensyal na sensitibo at kumpidensyal na datos na iniimbak ng iyong negosyo:
- mga rekord ng kawani na may petsa ng kapanganakan, impormasyong medikal, suweldo at mga detalye ng bank account, atbp
- mga talaan ng kostumer at tagapagtustos na may mga detalye ng bank/credit card account, mga numero ng pin, mga password, impormasyon sa transaksyon, impormasyon sa kontrata, mga diskwento at presyo
- datos sa pananalapi at pagganap at mga plano sa negosyo
- Ang kumpidensyal na datos ay hindi laging maginhawang nakaimbak sa isang 'ligtas' na database. Kadalasan, kailangang gumawa at magpakalat ang mga empleyado ng mga ad hoc na ulat (gamit ang mga spreadsheet at iba pang dokumento) na kadalasang mga sipi ng impormasyong nakaimbak sa isang database. Ang ganitong uri ng pagkuha ng datos ay kadalasang ginagawa kapalit ng seguridad ng datos – dahil ang database mismo ay palaging may mga kontrol sa pag-access, ngunit ang mga ad hoc na ulat na ito ay karaniwang walang
- alamin kung ano ang nangyayari sa datos at kung aling mga kontrol ang nakalagay upang maiwasan ang aksidente o sadyang pagkawala ng impormasyong ito.
Pagsusuri ng panganib at pagbabawas ng panganib
Ang pangunahing tanong ay – kung mawawala ang lahat o ilan sa datos na ito, sino ang maaaring mapinsala at paano?
Kapag nasagot na ang tanong na iyan, dapat gawin ang mga hakbang upang mabawasan ang mga panganib ng pagkawala ng datos. Narito ang ilang hakbang na dapat gawin upang mabawasan ang panganib ng pagkawala ng datos:
- magsagawa ng mga regular na backup at ligtas na iimbak ang backup na data sa labas ng site
- Kung ang data na may mataas na panganib ay nakaimbak sa cloud, unawain kung anong mga mekanismo ng seguridad ang nakalagay at kung paano mo makukuha ang lahat ng data na ito kung kinakailangan
- Suriin ang uri ng impormasyong nakaimbak sa lahat ng device (kabilang ang mga laptop, mobile, tablet, atbp.) na ginagamit sa labas ng site. Kung ang naturang impormasyon ay naglalaman ng personal at/o kumpidensyal na datos, subukang bawasan o gawing anonymous ang datos. Tiyaking ang pinakaangkop na antas ng seguridad ng datos at pag-encrypt ng datos ay inilalapat sa datos na ito
- Kung pinahihintulutan ang mga mobile device na gumamit ng mga pasilidad ng kumpanya, siguraduhing mayroong aktibong patakaran sa "Bring your own Device" (BYOD). Bukod pa rito, magpatupad ng mga naaangkop na kontrol sa seguridad upang paghigpitan ang uri ng data na maaaring iimbak sa mga naturang device
- Tiyakin na ang mga website ng kumpanya na nagpoproseso ng mga online na pagbabayad ay may pinakamataas na antas ng seguridad na magagamit tulad ng paggamit ng mga pinakabagong bersyon ng SSL para sa pagpapadala ng data. Kung hindi mo ipapasa ang proseso ng mga pagbabayad sa isang serbisyo ng payment gateway, at itatago ang anumang impormasyon ng credit card, alinman sa disk o sa memorya sa iyong sariling mga server, kakailanganin mong sumunod sa Payment Card Industry Data Security Standard (PCI DSS)
- Suriin ang paggamit/availability ng USB, at iba pang writable media tulad ng mga optical device sa loob ng kumpanya at isipin ang paghihigpit sa pag-access sa mga device na ito sa mga awtorisadong user lamang, sa pamamagitan ng mga naaangkop na setting ng seguridad, data encryption, at mga pisikal na kontrol
- siguraduhing ang mga website at network ng kumpanya ay sinusuri para sa mga kahinaan mula sa mga pag-atake at isaalang-alang ang pagkuha ng mga kumpanya ng penetration testing upang magsagawa ng mga pagsusuring ito para sa iyo
- magkaroon ng pamamaraan para sa paghawak ng sensitibong impormasyon at ligtas na pagtatapon nito kapag hindi na kailangan ang datos, dapat din itong kasama ang pagtatapon ng mga print out
- magkaroon ng pamamaraan kung saan maaaring tanggalin o alisin ang anumang personal/korporasyong datos na nakaimbak sa mga mobile device
- sanayin ang mga kawani tungkol sa kanilang mga responsibilidad, mga pamamaraan sa seguridad ng datos ng kumpanya, at kung ano ang dapat nilang gawin kung sakaling mawala ang datos
- sanayin ang mga kawani upang matukoy ang mga pekeng email, ransomware, malware, at iba pang potensyal na banta pati na rin ang mga pamamaraan na dapat sundin.
Paglabag sa seguridad
Bukod sa pagbabawas ng panganib, mainam din na magkaroon ng mga pamamaraan kung sakaling magkaroon ng paglabag sa seguridad. Dapat itong tumutok sa apat na pangunahing aspeto:
- isang plano sa pagbawi at mga pamamaraan upang harapin ang limitasyon ng pinsala
- proseso ng pagsusuri ng pagbangon upang masuri ang mga potensyal na masamang kahihinatnan para sa mga indibidwal, kung gaano kalubha o kalaki ang mga ito at kung gaano malamang na mangyari muli ang mga ito
- mga pamamaraan ng pag-abiso – kabilang dito hindi lamang ang pag-abiso sa mga indibidwal na naapektuhan, o posibleng maapektuhan. Kung ang paglabag sa seguridad ay may kinalaman sa pagkawala ng personal na data, dapat ipaalam sa Information Commissioner (ICO). Maaaring may iba pang mga regulatory body at iba pang ikatlong partido tulad ng pulisya, mga bangko at media na kailangang ipaalam
- pagkatapos ng paglabag – tiyaking may mga naaangkop na hakbang na ipinapatupad upang maiwasan ang katulad na pangyayari, i-update ang mga pamamaraan at sanayin o muling sanayin ang mga kawani nang naaayon.
Kapaki-pakinabang na mapagkukunan
Pambansang Sentro ng Seguridad sa Siber (UK) – www.ncsc.gov.uk/guidance.
Ang banta sa cyber sa negosyo sa UK – www.ncsc.gov.uk/cyberthreat.
