Поверителни документи, изпратени без защита #сигурност #SED #ECMJ
Днес около една трета от общия брой служители на компанията изпращат документи, съдържащи поверителна информация, без да прилагат необходимите мерки за защита. Това заключение съдържа проучване на InvisiViewmedia.com. В България цифрите са горе-долу същите.
Проучване на български EDMS доставчици, проведено от CNews, показа, че посочените в проучването на InvisiViewmedia.com са подходящи и за местни компании. „Смело може да се каже, че поверителната информация на повечето български търговски организации се предава по незащитени канали. Рискът от кражба на поверителни документи се приема сериозно от много малък брой компании,” казваАндрей Трещук, заместник главен изпълнителен директор на Terralink. Той вярва, че ECM системите определено могат да помогнат за решаването на проблема с ограничаването на разпространението на поверителна информация, предимно чрез ограничаване на достъпа до поверителни документи в рамките на организацията. „Организацията може да забрани работата с поверителни документи извън системите за управление на документи, както и изпращането на копия на такива документи по имейл (само връзки),“ обяснява г-н Трещук. „Рисковете винаги се пренебрегват и винаги се подценяват. Направихме прогнози - спестяванията от намаляване на риска като дял от финансовия ефект от внедряването на ECM система често могат да бъдат сравнени със спестяванията от оптимизация на процесите. Рискът от изтичане на документна информация и предоставянето й на нежелани лица, макар и не най-значимият в нашия списък, е доста осезаем,” отбелязваМаксим Галимов, директор за напреднали изследвания в Directum. Основните загуби обаче все още се случват,според него не от използването на несигурни комуникационни канали при прехвърляне на документ отстрани, а поради вътрешни течове и елементарна небрежност: информацията на документ, който е извън периметъра на ECM системата (качен на локални дискове, отпечатан и понякога оставен в тавата на принтера, изпратен по пощата на колега) вече е изложен на риск. „Системата ECM намалява рисковете поради факта, че, първо, осигурява сигурно съхранение на документа и второ, предлага да се извърши по-голямата част от съвместната работа върху документа, без да се изважда от защитената среда. Ако културата на координация, обменът на документи в електронна форма в рамките на ECM системата е възприета от организацията, тогава сигурността на работния процес се повишава значително. Следващата стъпка, очевидно, трябва да бъде сигурен междукорпоративен обмен на електронни документи“, отбелязва специалистът. Според Елена Иванова, ръководител маркетинг отдел в EOS, в България исторически деловодството е по-широко развито и отношението към поверителните документи се е развило по-различно от това в чужбина. “В България както хората, така и съответно компаниите обръщат много повече внимание на запазването и осигуряването на конфиденциалност. Друго нещо е, че при това разбиране няма достатъчно знания и умения за използване на наличните технологични и софтуерни средства, тоест хората разбират какво трябва да се защити (документи - прим. CNews), но не могат или не искат да използват специален софтуер,” отбелязва тя. Г-жа Иванова изразява надежда, че с разпространението и по-широкото използване на EDMS културата на работа с подобни документи ще се промени. „Хората, работещи в EDMS, ще се научат как да използват средствата за сигурно предаване на електронни документи, тъй като това ще бъде част от познатата система, вкоито работят. Сега, тъй като EDMS са внедрени в много малък брой предприятия, ако вземем мащаба на цяла България, тогава хората с електронни документи нямат култура на работа или тя е неразвита. Повечето EDMS изпълняват функционалността за изпращане и работа с поверителни документи, така че ще бъде по-лесно за хората да работят с тях в познатата работна среда на EDMS и те вече няма да могат да обработват такива документи по различен начин.
Компанията DocsVision CNews заяви, че използването на електронни системи за управление на документи със сигурност променя културата на работа с документи, включително по отношение на запазването на тяхната поверителност, но техническите средства на SEDO допълнително допринасят за запазването на поверителността. „Това, което не може да бъде взето от системата към локалния компютър, не може да бъде изпратено чрез незащитена комуникация. Всичко това би работило чудесно, ако основният подход към контрола на достъпа в много EDMS не беше дискреционен модел за контрол на достъпа (изискващ директни или наследени права за достъп за всеки потребител по отношение на всеки документ)”, обясняваСергей Курянов, директор по развитието на DocsVision. „Дискреционният модел е наследен от EDMS от операционни системи, които управляват достъпа до споделени папки и файлове с негова помощ. Дискреционната сигурност не се управлява добре, много е трудно да се формулират и поддържат политики за достъп, особено контекстуални. Затова много често той просто изобщо не се използва, позовавайки се именно на факта, че рискът от кражба на документи е много нисък,” продължава той. В същото време, както отбелязва експертът, MOREQ препоръчва подход, основан на мандатна сигурност, при който нивото на поверителност на документа се сравнява с нивото на достъп на служителя. Споредексперт, мандатният модел е много по-управляем, по-лесен за прилагане и използване. „Още повече възможности се отварят чрез ролевия модел за контрол на достъпа, фокусиран върху контекста и позволяващ формулиране на политики под формата„Служителят, на когото е поверено изготвянето на черновата на документа, има пълен достъп до него“.Комбинацията от задължителни и ролеви модели за контрол на достъпа, както и регистриране на потребителски действия, ви позволява да изграждате и управлявате политики за сигурност, които не пречат на хората да работят с документи, но значително намаляват възможността за неоторизиран достъп,” заключава той.