;

Desatero mýtů o ochraně dat

22. 5. 2009
Doba čtení: 11 minut

Sdílet

Bezpečnostní průniky jsou každodenní realitou, ať se již týkají nízce zabezpečených systémů malých firem či nákladných elektronických hradeb státních institucí.

Ochrana dat patří mezi základní povinnosti CIO, nicméně panuje spousta mýtů a pověr o tom, jak tuto ochranu efektivně provádět:


1.Zajištění ochrany proti úniku dat je problémem bezpečnostního administrátora

Ochraňovat firemní síť proti vnějším hrozbám, jakými jsou viry a jiný malware, je tradiční doménou administrátorů bezpečnosti. Ale zabezpečení firmy proti informačním únikům vyžaduje mnohem širší spolupráci odpovědných lidí uvnitř společnosti. Zahrnuje samozřejmě IT, ale také například právní oddělení a samozřejmě i nejvyšší vedení firmy. Každý den musí šéf podnikové informatiky dbát o implementaci nezbytných technologií a procesů, které mají na jedné straně ochránit firmu před úniky dat a vyhovět zákonných požadavkům, například předpisům pro ochranu osobních údajů, na druhé straně nesmí tato činnost narušovat chod firmy.

2. Hrozbu úniku informací lze odstranit zablokováním přenosu instantních zpráv, webových mailů a externích disků

Kontrola programů pro přenos krátkých zpráv, webových e-mailů a externích disků sice může zvýšit obecnou úroveň bezpečnosti, ale při současných velkých nárocích na hladký tok informací mohou taková omezení ve výsledku podkopat konkurenceschopnost firmy.

Účinná ochrana dat proti úniku znamená udržet citlivé informace uvnitř firmy, zároveň ovšem nesmí narušovat tok nutných informací dovnitř a ven.

IT management vyžaduje dobře vyvážený přístup, který obsahuje definici a implementaci politik používání IM a web e-mailů s cílem zamezit úniku dat, to doplňovat stále širším spektrem bezpečnostních technologií, jakými jsou například bezpečnostní koncové body a šifrování dat, které chrání citlivá data, zároveň však umožňují zaměstnancům používat přenosné disky.

3. Vím, kde jsou moje data uložena

Většina organizací má jen chabý přehled o tom, kde vlastně firemní data jsou, zda na datových serverech či ve firemních noteboocích. Přitom pro správu dat je nezbytné znát, kdo má přístup ke kterým datům, odkud a kam se pohybují a zejména kdy a kde překračují hranice firemní sítě. CIO musí identifikovat citlivá data, místa zvýšeného bezpečnostního rizika, například nezabezpečené koncové body, a zajistit existenci a uplatňování bezpečnostních politik.

4. Nejvíce snah je třeba věnovat ochraně dat před krádeží a záměrnými informačními úniky

Interní záměrné úniky dat a jejich krádeže jsou bezpochyby závažnými problémy, kterým je třeba se věnovat, nicméně většina datových úniků není ve své podstatě záměrná. Velmi často jsou za úniky nedodržování bezpečnostních politik, odchylování se od stanovených podnikových procesů, nedbalost ze strany zaměstnanců a obchodních partnerů.

Podle agentury Forrester Research je více než 70 % úniků náhodných, nezamýšlených. Patří mezi ně například automatické vyplňování adresáta elektronické pošty, tak typické ve většině webových i samostatných poštovních klientů. Vedle zaměření na záměrné krádeže dat je tedy potřeba se dostatečně věnovat i těm náhodným únikům, které jsou ve své nahodilosti pro firmu i jednotlivce ještě trapnější než cílené datové útoky.

5. Technologie pro prevenci úniku dat jsou složité a nákladné, není efektivní si je vůbec pořizovat a instalovat

Každá organizace má svá specifika, která také určují potenciální náklady plynoucí z úniku dat. Na téma nákladů spojených s takovými úniky byla zpracována řada studií. Forrester Research ocenila v prostředí USA průměrné náklady na ztrátu informací o zákaznících na 90 až 305 dolarů na jednu položku, konkrétní částka záleží na typu firmy a rozsahu uniklých informací. Mezi výrazné případy poslední doby patří únik v americké společnosti TJX, která vynaložila 118 milionů dolarů, aby zvládla jeho důsledky.

Nicméně zákaznické informace tvoří jen část všech uniklých dat. S ještě vážnějšími následky jsou spojeny případy týkající se rozvojových plánů firem, jejich marketingových kampaní, vývoje a know-how. Je na managementu firmy, aby provedl precizní analýzu rizika spojeného s únikem všech typů dat a z toho plynoucích maximálních možných nákladů na jejich zabezpečení. V naprosté většině případů zjistí, že náklady na zabezpečovací technologie jsou jen zlomkem potenciálního kvantifikovaného rizika.

6. Zaměstnanci dobře rozumí tomu, co smí a co nesmí posílat z firmy

Jak již bylo řečeno, většina lidí ve firmě nepouští chráněné informace z organizace záměrně a pokud jsou dostatečně informování, jsou jim poskytnuta patřičná školení a trénink, výrazně to snižuje spolu s implementací bezpečnostních technologií riziko nezamýšleného úniku dat. Většina lidí v organizaci ovšem nezná firemní politiky, pokud je zná, ne vždy jim rozumí, popřípadě nerozumí tomu, proč by měly být dodržovány. Například, proč by si neměli posílat domů pracovní soubory skrze webový e-mail? A proč je vlastně ochrana přístupových hesel a jejich správná volba tak důležitá?

Nejlépe je začít s tréninkem zaměstnanců již při jejich nástupu a pokračovat v něm v pravidelných intervalech, aby měli jasno v tom, jak ke kterým informacím přistupovat a zacházet s nimi. Tady je důležité se ujistit, že lidé pochopili a přijali, co se po nich žádá, aby nešlo jen o formální školení, jak tomu naneštěstí mnohdy bývá. Druhým krokem je použít technologické prostředky pro připomínání politik a obnovu povědomí o nich. Dobrým příkladem je třeba automatické rozesílání zprávy všem lidem, kteří nějak pravidla poruší (připojí k počítači nešifrovaný disk apod.). Taková zpráva by je neměla peskovat, ale vysvětlit jim, jak jejich chování porušuje bezpečnostní politiky a vybídnout je, aby se v budoucnu vyvarovali rizikového jednání.

7. Protiúnikové technologie brzdí firemní operace

V rozporu s tím, co si mnoho CIO myslí, když slyší o „prevenci úniku dat", správné řešení může ve skutečnosti firemní procesy vylepšit. Jestliže implementovaný produkt „ví", o jaká data se kategoriálně jedná, kdo je posílá a jaké je jejich cílové určení, pak vlastníci oněch informací mohou být automaticky uvědoměni o porušení bezpečnostních pravidel - aniž by to muselo jít přes IT oddělení. To snižuje zátěž kladenou na administrátory a zároveň posiluje vědomí o tom, že úniky dat musejí být řešeny primárně na úrovni organizačních jednotek firmy.

8. Instalovaná technologie proti úniku dat generuje nezvládnutelné množství planých poplachů

Schopnost rozlišovat mezi nežádoucími datovými úniky a běžnou komunikací je kritická pro rovnováhu mezi bezpečnostními nároky a hladkým chodem firmy. Jsou jistě technologická řešení, která mají vysoký počet falešných poplachů (a často i těch opodstatněných).

Abyste se tomu vyhnuli, je třeba najít takové řešení, které má falešných hlášení co nejméně, které má schopnost dobře analyzovat strukturovaná i nestrukturovaná data. Problém také často nemusí být v samotných aplikacích, ale v jejich nastavení, kterému je třeba věnovat dostatečnou pozornost, aby co nejlépe odráželo definované vnitrofiremní politiky a samozřejmě také právní předpisy.

9. Pouze regulovaná odvětví potřebují protiúnikové technologie

Informace o zákaznících a obchodních partnerech nejsou jedinými, které je třeba důkladně chránit. Jak již bylo zmíněno, každá firma či organizace má svoje specifické nehmotné bohatství a rozhodně nestojí o to, aby se toto dostalo mimo intranet firmy.

bitcoin_skoleni

10. Technologie proti úniku dat vyřeší všechny problémy s únikem informací

Protiúnikové aplikace a zařízení pomáhají určit, kde jsou citlivá data uchovávána a zabraňují jejich úniku z organizace prostřednictvím běžných komunikačních kanálů, jakými jsou e-mail a instantní zprávy. Ale ani ony nejsou samy o sobě samospasitelné, spolu s jejich nasazením musíme mít jistotu, že zaměstnanci jsou řádně informováni a proškoleni, že vědí, jak s daty zacházet, kterému chování se vyhýbat. Dále je třeba je kombinovat s DRM (Document Rights Management), šifrováním, zabezpečením koncových bodů a fyzickými opatřeními.