Cienka granica między przejrzystością a bezpieczeństwem

Kiedy firma zaczyna myśleć o bezpieczeństwie informacji i ochronie danych poufnych, często pojawiają się obawy, że kontrole oraz nowe technologie będą miały negatywny wpływ na jej sprawne funkcjonowanie. Oczywiście to może być problemem — szczególnie gdy dział IT nie potrafi współpracować z zarządem przy wdrażaniu takiego procesu.

Każda firma jest inna          

Jeśli chodzi o pracowników i ich funkcjonowanie, różnice widać w każdej firmie. W małych i stosunkowo młodych zespołach często zauważa się fakt częstej wymiany informacji oraz wzajemnego zaufania względem pracowników. Takie środowiska sprzyjają zaangażowaniu pracowników w codzienne wyzwania firmy, ale równocześnie stają się koszmarem dla osoby odpowiedzialnej za bezpieczeństwo danych.

Większe organizacje preferują bardziej restrykcyjne podejście do przepływu informacji. W większości przypadków używają jasno zdefiniowanych polityk bezpieczeństwa, narzucając precyzyjne zasady postępowania, które obowiązują pracowników. Mimo że takie typy organizacji zapewniają mniejszy stopień swobody, nie oznacza to, że są one mniej podatne na zdarzenia związane z bezpieczeństwem danych. Wręcz przeciwnie: czasami wystarczy sprzeczka pracownika z kierownikiem lub odmienny pogląd na ocenę wydajności, by bezpieczeństwo danych „zawisło na włosku”.

Gdzie jest moja granica bezpieczeństwa danych?

Najczęstszymi momentami do zadania sobie takiego pytania jest wystąpienie incydentu z zakresu bezpieczeństwa informacji lub dynamiczny rozwój firmy. Czynniki te każą na nowo oszacować wartość specjalistycznej wiedzy (ang. know-how) i zgromadzonych danych. Kluczem do odnalezienia wspomnianej granicy jest określenie właściwego wyważenia poziomu bezpieczeństwa informacji i swobody codziennej pracy z danymi przez użytkowników.

Jedną z fundamentalnych zasad bezpieczeństwa jest zasada „najmniejszego przywileju”. Stanowi ona, że użytkownicy powinni mieć dostęp tylko do informacji oraz systemów niezbędnych do ich pracy. Stosując to proste podejście, osoba chcąca wykraść dane uzyskuje dostęp tylko do minimalnego zestawu informacji.

Jeżeli jednak firmowe dane, z uwagi na ich wartość rynkową oraz generowaną przez nie przewagę konkurencyjną, wymagają podejścia bardziej rozbudowanego, niezbędne jest zastosowanie specjalistycznych procesów i środków, czyli działań prewencyjnych. Wszystko w celu zminimalizowania ewentualnych strat.

Najmniej inwazyjne, a niejednokrotnie transparentne dla użytkowników, jest ciągłe audytowanie pracy pracowników z danymi (w szczególności wrażliwymi) oraz dopasowanie tej pracy do opracowanych wcześniej polityk bezpieczeństwa. Uzyskujemy dzięki temu obraz, jak faktycznie użytkownicy działają z plikami, a nie jak wydaje się pracodawcy, że ma to miejsce. Pozwala to również na zdiagnozowanie potencjalnych źródeł wycieku danych.

Idąc krok dalej, pracodawca może zacząć edukować swoich pracowników, a tym samym modelować ich pracę, dopasowując ją do firmowej polityki bezpieczeństwa. By osiągnąć najlepsze rezultaty, taka edukacja powinna odbywać się dwutorowo: poprzez cykliczne szkolenia, które dostarczą wiedzy, jak użytkownicy mają obchodzić się z danymi, oraz poprzez komunikaty systemowe w sytuacjach, gdy użytkownik będzie próbował wykonać czynność niezgodną z określoną polityką bezpieczeństwa (np. przy wysyłce pliku wrażliwego poprzez pocztę WebMail).

Najbardziej zaawansowanym poziomem prewencji jest aktywne zapobieganie wyciekom danych poprzez wyspecjalizowane narzędzia informatyczne, tzw. systemy DLP (z ang. Data Leak Prevention). Decydując się na wybór i zastosowanie takiego podejścia, w jasny sposób definiujemy dozwolone operacje na danych dla każdego pracownika w firmie. W ten sposób każde niepożądane działanie jest automatycznie blokowane. Dzięki temu ograniczamy przepływ danych wrażliwych wyłącznie do zaufanych stref lub adresatów. Pozwala to na ochronę przed celową kradzieżą danych i równocześnie zapobiega nieumyślnym działaniom pracowników. Innymi słowy system DLP stanowi „nakładkę” na naszą politykę bezpieczeństwa, która pozwala zamienić teoretycznie obowiązujące regulacje w faktycznie egzekwowane zasady.

Przykładowe rozwiązanie — Safetica DLP — daje możliwość przeprowadzenia tych wszystkich działań prewencyjnych, zanim dojdzie do niechcianego incydentu wycieku poufnych danych. Poprawnie skonfigurowane narzędzie pozwala na stopniowe wprowadzenie ustalonych regulacji w taki sposób, by pracownicy powoli adaptowali się do nowego sposobu pracy z danymi, uznając je po pewnym czasie za naturalne.

Same polityki bezpieczeństwa nie muszą być skomplikowane; powinny natomiast być napisane w sposób zrozumiały, tak by pracownicy łatwiej je zapamiętywali. Jednak bardzo często egzekwowanie ustalonych regulacji bez cyklicznych szkoleń oraz zastosowania niezbędnych narzędzi okazuje się niemożliwe — szczególnie w wypadku średnich i dużych firm.

Źródło: Dagma