Zagrożenia i czynniki ryzyka – ochrona przed wyciekiem danych czy ochrona organizacji?
W tym artykule przeczytasz o:
- typach danych, jakie możesz spotkać w przedsiębiorstwach i instytucjach,
- zagrożeniach związanych z utratą danych wg ich typu,
- czynnikach ryzyka dla podmiotu tracącego dane.
Artykuł pozwoli ci na usystematyzowanie wiedzy na temat danych, co jest niezbędne przy określaniu strategii ochrony danych. Właściwa strategia ochrony (DLP) to taka, która prowadzi nie tylko do ochrony samych danych przed wyciekiem lecz zapobiega stratom finansowym i pozafinansowym organizacji (chroni organizację).
Zobacz Część I – „Obszary ochrony danych – jakie obszary należy chronić w organizacji (Część I) ?”
Uniwersalne zagrożenia i obszary ryzyka – czy istnieją?
Każda organizacja powinna indywidualnie zdefiniować swoje zagrożenia, bowiem ma inny cel biznesowy, jest na innym etapie rozwoju, dysponuje innym kapitałem i możliwościami, działa na innych rynkach z innymi produktami, posiada inną konkurencję, ma inną kulturę organizacyjną.
Są oczywiście główne, uniwersalne typy danych, obszary ryzyka z nimi związane i skutki ich utraty. Dla jednego podmiotu utrata bazy klientów nie będzie problemem „być albo nie być”, a dla innego może prowadzić do zaprzestania funkcjonowania.
O rodzaju danych chronionych, sposobie realizacji ochrony winni decydować wszyscy zaangażowani w organizację gracze – kierownictwo, pracownicy, audytorzy i partnerzy wspierający.
Poniższa tabela ma charakter ogólny, wskazuje typy danych, zagrożenia z nimi związane oraz skutki, jakie mogą wystąpić w przypadku ich utraty.
| Typ danych | Przykład | Zagrożenia | Czynniki ryzyka |
|---|---|---|---|
| Własność intelektualna / prawa | Projekty techniczne. Receptury. Dokumentacja patentowa. Kody źródłowe. Niepatentowana wiedza techniczna. Patenty w przygotowaniu lub na etapie badania. Wzory użytkowe i znaki towarowe. Tajemnica przedsiębiorstwa. |
Konkurencja. Niezadowoleni pracownicy. |
Utrata dobrego imienia. Utrata przewagi konkurencyjnej. |
| Dane produktów własnych | Projekty techniczne. Badania i testy bezpieczeństwa. Zalecenia technologiczne. Strategie rozwoju. |
Klienci. Konkurencja. |
Możliwość złamania zabezpieczeń u użytkowników produktów własnych. Utrata bezpieczeństwa przez klientów. Utrata przewagi konkurencyjnej. Bankructwo. |
| Strategie | Plany strategiczne. Plany sprzedaży. Plany inwestycyjne, w tym plany przejęć i fuzji. Badania produktów. Badania rynku. Projekty przekazów prasowych. |
Konkurencja | Utrata przewagi konkurencyjnej. Utrata wiarygodności. |
| Dokumenty prawne | Dokumentacje dotyczące następujących obszarów: • postępowania sądowe, • postępowania przedsądowe, • ugody, umowy, porozumienia, • kontrole wewnętrzne, • prezentacje wewnętrzne, • ład korporacyjny. |
Konkurencja. Przeciwnicy w sprawach sądowych. |
Utrata przewagi w postępowaniach sądowych. |
| Sprzedaż | Ceny i koszty sprzedaży. Dostawcy i umowy. Klienci i ich charakterystyka. Potencjalni klienci i ich potrzeby. Analityka sprzedaży i prognozy sprzedaży. Polityka sprzedażowa, rabaty. Otrzymane zamówienia. |
Konkurencja. Niezadowoleni pracownicy. |
Wykorzystywanie informacji poufnych. Kosztowny „efekt lidera/innowatora”. Sankcje za wyciek danych. |
| Dane klientów | Lista klientów. Ceny dla klientów (polityka cenowa). Ilości klientów w poszczególnych grupach. Charakterystyka klientów. Preferencje klientów. Oferty sprzedaży dla klientów. Umowy, szczegóły umów, warunki kredytowania klientów. Statusy płatności. Historia kontaktów (CRM). Historia zakupów. |
Konkurencja. Wierzyciele. |
Utrata klientów. Spadek sprzedaży i rentowności. Łatwiejsze wrogie przejęcie przedsiębiorstwa. |
| Marketing | Plany działań marketingowych. Plany rozwoju produktów. Plany operacyjne. Prognozy. |
Konkurencja | Utrata udziału w rynku. Kosztowny efekt lidera i innowatora. |
| Finanse | Przedwczesne publikacje danych finansowych. Wyciągi bankowe. Sprawozdania i okresowe raporty finansowe. Wynagrodzenia pracowników. Koszty działalności. |
Konkurencja | Utrata przewagi konkurencyjnej. |
| Kadry | Listy pracowników. Struktura organizacyjna wraz z zakresem obowiązków. Schematy raportowania wewnętrznego. Wynagrodzenia. |
Konkurencja | Utrata pracowników. Frustracja pracowników. |
| Operacje i procesy | Dokumentacje procesów i procedur. Komunikacja wewnętrzna. Strategie efektywności i zwiększania przewagi konkurencyjnej. |
Konkurencja | Konkurencja optymalizuje swoje procesy i staje się bardziej efektywna przy niższych kosztach. |
| Dane osobowe | Imiona i nazwisko. Data i miejsce urodzenia. Numer dowodu i pesel. Numer paszportu. Numer prawa jazdy. Loginy i hasła. Dane biometryczne. Zaświadczenia o zarobkach i inne związane ze statusem finansowym pracownika. Dokumentacja zdrowotna i inne osobiste informacje pracownika. Preferencje pracownika zgromadzone w celu monitorowania procesów bezpieczeństwa IT. |
Hakerzy Przestępcy Organizacje przestępcze |
Oszustwo. Kradzież środków finansowych. Utrata zdolności kredytowej. Utrata wiarygodności pracownika. Niezadowolenie pracowników. Zagrożenie dla pracowników i ich rodzin. |
| Pozostałe dane wewnętrzne | Numery rachunków bankowych. Numery służbowych kart kredytowych. Linie i wnioski kredytowe. Postępowania administracyjne. Numery rejestracyjne floty samochodowej. Struktura demograficzna pracowników. |
Hakerzy Przestępcy Organizacje przestępcze Hakerzy Konkurencja |
Ogólne zagrożenie dla organizacji. |
| Zabezpieczenia teleinformatyczne | Polityka bezpieczeństwa. Zabezpieczenia fizyczne, techniczne, organizacyjne. Konfiguracja sieci i systemów IT. Świadomość pracowników. Przeprowadzone szkolenia z bezpieczeństwa. Logi systemów operacyjnych. Logi systemów DLP. Konfiguracje polityk i reguł bezpieczeństwa DLP. |
Pracownicy. Niezadowoleni pracownicy. Podmioty współpracujące. Podmioty przetwarzające. Operatorzy usług chmurowych. Operatorzy telekomunikacyjni. |
Utrata danych. Utrata pracowników. Utrata kontrahentów. Utrata wizerunku. Utrata wiarygodności. Zaprzestanie działalności. |
| Technologia informacyjna | Inwentaryzacja zasobów IT – komputery, sieci, urządzenia sieciowe, urządzenia drukujące, pendrive itp. Oprogramowanie. Diagramy sieci firmowych. MS Active Directory. Pliki konfiguracyjne (sieci, systemy, aplikacje, bazy danych itp.). Loginy i hasła, polityki zmiany haseł. Dostępy VPN. Kluczowe pliki z danymi Pliki z zawartością loginów i haseł. Pliki poczty elektronicznej. Pliki narzędziowe działów IT (adresy IP, konfiguracje komputerów, oprogramowanie, aktualizacje). Systemy helpdeskowe. Kod źródłowy oprogramowania. |
Hakerzy. Złośliwe oprogramowanie. Niezadowoleni pracownicy. |
Utrata poufności, integralności, dostępności danych. Utrata wizerunku i pozycji firmy. |
Przykład 1. Błędy producenta oprogramowania przyczyną wycieku danych.
Firma informatyczna produkuje oprogramowanie kadrowo-płacowe, które następnie wdraża u swoich klientów. W oprogramowaniu istnieje nieujawniony publicznie błąd.
Ujawnienie (publiczne, hakerom, konkurencji) przez pracowników (niezadowolony lub były pracownik) firmy informacji o błędzie powoduje powstanie wysokiego ryzyka utraty danych osobowych u klientów firmy informatycznej, co w konsekwencji może doprowadzić do utraty wiarygodności, spadku sprzedaży (wpływów), odejścia klientów do konkurencji, bankructwa.
Przykład 2. Kradzież danych przez byłych pracowników.
Podmiot sprzedaje energię elektryczną. Klientów obsługuje liczny zespół handlowców. Rotacja pracowników jest stosunkowo duża. Brak odpowiednich narzędzi (nawet takich, które tylko istnieją w świadomości pracowników ale niekoniecznie działają), prowadzi do „sprzedawania rekordów danych” konkurentom. Odchodzący pracownicy zabierają ze sobą szczegółowe warunki zawartych umów, wiedzą, kiedy umowy się kończą, jakie są stawki, upusty warunki płatności.
Sytuacja prowadzi do znaczącej utraty przewagi konkurencyjnej, spadku sprzedaży, utraty klientów.
Przykład 3. Wyciek danych z monitoringu pracowników.
Urząd posiada zaawansowane systemy (programowe) monitoringu pracowników. Dostęp do systemów posiadają młodzi, niedoświadczeni pracownicy. Przez nieuwagę lub brak świadomości udostępniają osobom spoza organizacji historię odwiedzanych przez pracowników stron internetowych.
Historię odwiedzanych stron wykorzystują hakerzy do zmasowanego ataku typu ransomware, w wyniku czego paraliżują część organizacji. Część danych ulega bezpowrotnej utracie.
Sytuacja prowadzi do wewnętrznego niezadowolenia pracowników, niepewności, spowolnienia działania, strat finansowych, spadku jakości, wzrostu kosztów i nakładów inwestycyjnych.
Przykład 4. „Życzliwość” byłego pracownika i przekazanie informacji konkurencji.
Pracownik działu IT z uwagi na nieuzyskanie urlopu w planowanym terminie rezygnuje z pracy. Podczas rozstania dochodzi do eskalacji konfliktu. Pracownik informuje konkurencję o posiadanym przez byłego pracodawcę nielegalnym oprogramowaniu. Konkurencja grzecznościowo zawiadamia producenta oprogramowania (podmiot autorskich praw majątkowych) o występowaniu nielegalnego oprogramowania. Producent zawiadamia organy ścigania. Do firmy wkracza Policja i zabezpiecza kilkadziesiąt stanowisk komputerowych. Firma przestaje funkcjonować w kilku kluczowych obszarach. Na skutek publikacji prasowych traci klientów zagranicznych, wartość giełdowa spada, pracownicy czują się niekomfortowo, dział IT odchodzi, a zarząd właśnie się dowiedział, że to on odpowiada za nielegalne oprogramowanie.
Chcesz dowiedzieć się więcej o naszym oprogramowaniu – skontaktuj się z naszymi konsultantami!
The post Typy danych, zagrożenia i czynniki ryzyka – jak zdefiniować dane wymagające ochrony? appeared first on Hyprovision DLP.
