Ochrona danych w przedsiębiorstwach i instytucjach

Z naszego doświadczenia – zdobytego podczas wdrożeń systemów do zarządzania infrastrukturą IT – wynika, że zdecydowana większość podmiotów nie chroni swoich danych w odpowiedni sposób.

Wdrożone w polskich podmiotach mechanizmy ochronne skupione są głównie na ochronie dostępu do komputerów (hasło i jego okresowa zmiana), politykach praw dostępu do zasobów sieciowych (w oparciu o MS AD), szyfrowaniu danych (głównie na urządzeniach mobilnych, z których korzysta się poza biurem), politykach korzystania z portów USB (głównie w zakresie pendrive), sporządzaniu kopii bezpieczeństwa (w większości bez walidacji poprawności), ochronie dostępu do serwerowni, sporadycznym (zazwyczaj podczas przyjęcia pracownika) szkoleniu użytkowników. Wiele podmiotów dopracowało się już regulaminów korzystania ze sprzętu IT i oprogramowania, a także zbudowało dokumenty polityki bezpieczeństwa. Nie są to regulaminy idealne i bezbłędne, ale takie być nie muszą. Ważne, żeby „żyły”, podlegały okresowym walidacjom, a pracownicy o nich wiedzieli i je stosowali (nie wspominając o działach IT i kierownictwie).

Posiadane przez firmy i instytucje mechanizmy bezpieczeństwa wciąż nie są skuteczne, a przy stale rosnącej świadomości pracowników (dużą rolę odgrywa powszechny dostęp do internetu i możliwość znalezienia w sieci dowolnego rozwiązania) w większości przypadków nie ma problemów w obejściu stosowanych zabezpieczeń. Podmioty nie dysponują zaawansowanymi mechanizmami ochrony dokumentów w oparciu o treści tych dokumentów, czy też niezależne klasyfikacje. Aby lepiej chronić dane, należy skupić się właśnie na warstwie danych (treści). Realizują to systemy nazywane w skrócie DLP (ang. Data Loss Prevention – najpowszechniejsze z określeń lub też Data Leak/Leakage/Loss Protection/Prevention), a ich zadaniem jest zapobieganie utracie danych.

Systemy DLP wdraża się w organizacjach przetwarzających informacje podlegające ochronie z powodów biznesowych (w celu zachowania tajemnicy podmiotu) lub prawnych (osobowe, wrażliwe, finansowe, zdrowotne), a których ujawnienie może narazić na odpowiedzialność cywilną, karną lub innego rodzaju straty.

Systemy DLP mogą wykorzystywać wiele technik do kontroli przepływu informacji:

  • wykrywanie danych wrażliwych w ruchu sieciowym (w sposób podobny jak systemy wykrywania włamań) lub w plikach zapisywanych na nośnikach zewnętrznych (w sposób podobny do programów antywirusowych),
  • klasyfikacja i przypisywanie wag plikom (np. poprzez znaczniki) w lokalnym systemie na podstawie zawartości plików (np. dane wrażliwe), a następnie kontrolowanie ruchu tych plików w sieci, kontrolowanie ich zapisu na nośniki zewnętrzne lub wysyłania poza sieć (np. do chmury),
  • blokowanie zapisu na nośniki zewnętrzne w ogóle,
  • transparentne szyfrowanie i deszyfrowanie wrażliwych dokumentów, tak aby nigdy nie opuszczały one organizacji w formie niezaszyfrowanej,
  • nadawanie odpowiednich uprawnień (niezależnie od lokalizacji pliku), tak aby dokumenty były czytelne tylko dla osób uprawnionych, w określonych godzinach, na określonych komputerach, z wykorzystaniem odpowiednich programów.
Ochrona danych - jakie dane chronić

Obszary, które należy chronić

Z perspektywy IT istnieją trzy obszary, które należy chronić: dane w spoczynku, dane w użyciu i dane w ruchu.

Aby zabezpieczyć dane, należy odpowiedzieć w pierwszej kolejności na pytanie, „gdzie znajdują się dane”.

Poniżej przykłady lokalizacji, w których mogą istnieć dane wraz ze wskazaniem obszarów funkcjonalnych, w których można wdrożyć lub udoskonalić stosowne kontrole bezpieczeństwa i prywatności.

 

Obszar Lokalizacja danych Cel ochrony / obszar funkcjonalny
Dane w spoczynku Bazy danych
Komputery lokalne
Urządzenia dostępu (w tym USB)
Strony www
Katalogi udostępnione
Archiwa danych organizacji (w tym korespondencja elektroniczna)
Urządzenia mobilne – komputery przenośne
CD / DVD
Dokumentacja drukowana
Urządzenia faksujące
Kopiarki
Szafy z dokumentami (archiwa)*
Ochrona komputerów mobilnych
Ochrona zasobów współdzielonych (dyski sieciowe, NAS)
Nośniki fizyczne (dyski, macierze, kopie bezpieczeństwa)
Zabezpieczenie przed modyfikowaniem, usuwaniem, zniszczeniem
Dane w ruchu Poczta e-mail
Kanał www – internet
Transfer plików
Udostępnienia danych
Portale społecznościowe (np. Facebook, Twitter, LinkedIn)
Komunikatory internetowe
Blogi
Komentarze
Transmisja elektroniczna dokumentów drukowanych zawierających dane osobowe (np. PESEL, NIP, nr dowodu, nr telefonu, adres)
Bezpieczeństwo punktów końcowych (ang. endpoint)
Monitorowanie sieci
Kontrola dostępu do www
Gromadzenie i wymiana danych
Komunikatory
Zdalny dostęp VPN
Dane w użyciu Stacje robocze
Serwery
Urządzenia przenośne
Monitorowanie użytkownika
Monitorowanie dostępu / użytkowania
Anonimizacja danych
Monitorowanie edycji dokumentów
Kontrola eksportu danych

 

* lokalizacje niezwiązane bezpośrednio z IT

Chcesz dowiedzieć się więcej o naszym oprogramowaniu – skontaktuj się z naszymi konsultantami!

The post Obszary ochrony danych – jakie obszary należy chronić w organizacji? appeared first on Hyprovision DLP.