Kaj morate vedeti o varnostnih izzivih pri dokumentnih sistemih, še posebej v povezavi z varnostno zakonodajo ZinfV-1.

Dokumentni sistemi hranijo občutljive poslovne in osebne podatke, podpirajo ključne procese in pogosto nudijo dostop širšemu krogu uporabnikov. Čeprav v večini primerov niso kritični glede neprekinjene razpoložljivosti pa je vsebina tista, ki od podjetij zahteva, da se poglobijo v obvladovanje tveganj pri njihovem delovanju.

Dokumentni sistemi so pogosta tarča napadov zlonamernih akterjev, ki iščejo podatke z visoko vrednostjo. Hkrati so ti podatki lahko ogroženi s strani zaposlenih, ki do podjetja gojijo negativne občutke in ga želijo zapustiti – na primer podatki o strankah, poslovne skrivnosti, intelektualna lastnina. Na drugi strani pa so čisto tehnična tveganja, ki izhajajo iz napačnih nastavitev, uporabe zastarelih delov ali nepreglednih delov programske opreme, od operacijskega sistema do posameznih programskih knjižnic ter integracijskih vmesnikov. Nova zakonodaja o informacijski varnosti ZinfV-1 dodatno zaostrujejo zahteve glede varnosti, poročanja in upravljanja tveganj.

Kaj torej morate preveriti pri svojem dokumentnem sistemu ali če investirate v novega?

Glavni varnostni izzivi, ki jih morate obravnavati so:

• upravljanje uporabniških dostopov: ali dokumenti sistem omogoča ozko nastavljanje pravic, ali so uporabniške vloge dovolj ločene, da ne prihaja do prekrivanj, ali omogoča upravljanje privilegijev – da imajo ključne upravljavske zmožnosti na voljo le izbrani posamezniki;
• nezadostna avtentikacija in avtoriteta: ali vaš dokumentni sistem podpira večfaktorsko avtentikacijo, kako močni so prijavni podatki, ali si uporabniki lahko delijo račune;
• šifriranje podatkov: ali so podatki v mirovanju ali med prenosom šifrirani in kako, kako je z upravljanjem šifrirnih ključev;
• kontrolni in revizijski mehanizmi: ali je revizijska sled popolna in nespremenljiva, ali je možno popravljati dnevniške zapise;
• ranljivosti v programski opremi, vtičnikih in povezavah: nepopravljene varnostne vrzeli, uporaba slabo dokumentirane odprte kode, pomanjkanje overjanja integracijskih vmesnikov in upravljanja z žetoni;
• kakšno je upravljanje življenskega cikla dokumentov: kako je rešeno upravljanje različic dokumentov, kakšni so varnostni postopki pri trajnem izbrisu;
• kako je podprto varnostno kopiranje in obnavljanje sistema: se varnostno kopiranje podatkov izvaja dovolj pogosto, ali so procesi obnove po prekinitvi delovanja ustrezno preizkušeni in koliko časa trajajo;
• tveganja dobavne verige: kateri podizvajalci nastopajo pri razvoju in vpeljavi, kakšna je sestava programske opreme, kako je rešeno gostovanje sistema oziroma najem aplikacije v oblaku glede pogojev o varnosti in zaupnosti;
• kakšna je odpornost na uporabniške napake in družbeni inženiring: spletne goljufije (phishing), nenadzorovano deljenje povezav, napačno nastavljanje deljenj dokumentov.

Dokumentni sistemi so strateški informacijski vir in zato lahko kaj hitro postanejo vektor napada. Zato morate pri naložbah upoštevati tako osnovne tehnične kontrole kot širše regulatorne zahteve kot sta ZinfV-1 in ZVOP-2. Priporočljivo je, da lahko v dokumentnem sistemu podprete tudi zahteve standardov, kot sta ISO 27001 in ISO 9001. Ključ za varen dokumentni sistem je namreč sistematično upravljanje tveganj, preglednost dobavne verige, robustne tehnične kontrole, jasne pogodbe o odgovornosti in dosledno testiranje odpornosti. S kombinacijo kakovostne dokumentne rešitve, kot je Genis e-GenDoc teh ukrepov boste lahko zagotovili varno, skladno in zanesljivo upravljanje svojih dokumentov.