Baza wiedzy

W tym artykule inżynier Security Partners, Michał Bednarek omówi, w jaki sposób klasyfikować informacje oraz dobierać odpowiednie zabezpieczenia do ich wartości, tak aby chronić tylko te dane, które są tego warte.

 

Bezpieczeństwo danych w dobie chmury obliczeniowej (tzw. cloud computing) i trendów typu BYOD (Bring Your Own Device) wprowadza nowy wymiar postrzegania bezpieczeństwa informacji i jest jednym z głównych wyzwań w firmach, które chcą wykorzystywać nowoczesne systemy przetwarzania danych, przy jednoczesnym zachowaniu ich maksymalnej poufności. Bez względu na rodzaj wykonywanej pracy, czy wielkość firmy, nieautoryzowany dostęp do danych osobowych, informacji finansowych, czy danych technicznych, niesie potencjalnie druzgocące skutki dla organizacji, które niewłaściwie zabezpieczających informacje o poufnym charakterze. Mowa tu np. o konsekwencjach wynikających z przepisów prawa (np. kary finansowe RODO), cywilnoprawnych (np. niedotrzymanie warunków umowy z kontrahentem) lub biznesowych (utrata know-how lub własności intelektualnej).

 

Codziennie wymieniasz dziesiątki informacji - maile, dane w systemach crm, wydruki itp., a ich odbiorcami są współpracownicy, kontrahenci lub osoby postronne np. klienci. Najczęściej wszystkie dane traktowane są w taki sam sposób, bez względu na ich wartość czy znaczenie. Stosowanie jednej polityki bezpieczeństwa wobec danych powoduje, że chroni się je w nadmierny lub niedostateczny sposób, wykorzystując narzędzia i procedury nieadekwatne do ich wartości.

 

Od czego więc zacząć?

 

Jak zabezpieczyć danePrzed wszystkim powinieneś przyjąć, że ochrona danych w Twojej firmie to proces, który nie powinien być traktowany jako projekt, gdyż nie ma określonego końca. Właściwą metodą realizującą proces zarządzania jakością w obszarze ochrony danych jest cykl Deminga, będący podstawową zasada ciągłego doskonalenia.

 

Odpowiedź na to pytanie jest wielowymiarowa. Bez wątpienia nie trzeba chronić wszystkich danych, ponieważ nie wszystkie informacje tego wymagają. Dlatego powinieneś zacząć od klasyfikacji informacji i nadać danym jakąś wartość. Jest wiele kryteriów oceny wagi informacji, ale jednym z najważniejszych jest ich znaczeniewartość użytkowa, a jednym z powszechniejszych w małych i średnich organizacjach sposobów oceny wartości informacji jest „subiektywna ocena wartości”. Taki model jest najbliższy rzeczywistości, ponieważ bierzemy pod uwagę różne czynniki, które według nas samych mają największe znaczenie. Ocenia istotności danych może odbywać się nie tylko pod kątem finansowym, ale i wizerunkowym, czy strategicznym.

 

Jak już wspominałem, błędny, ale występujący powszechnie sposób rozumienia pojęcia „bezpieczeństwo danych” zakłada najczęściej, że wszystkie informacje w przedsiębiorstwie wymagają wzmożonej (takiej samej) ochrony. Wprowadzenie stopni klasyfikacji danych pomoże zoptymalizować współczynnik koszty /bezpieczeństwo, poprzez dostosowanie odpowiedniego poziomu zabezpieczeń do wartości informacji. Dzięki temu Twoja firma przestanie nadmiernie chronić informacje, tam gdzie nie jest to wymagane, a oszczędzone zasoby przeznaczy na lepsze zabezpieczenie danych o krytycznym charakterze. W przypadku małych i średnich organizacji najczęściej wystarczającym będzie przyjęcie podziału na trzy wartości, np.: dane publicznie dostępne, do użytku wewnętrznego, poufne.

 

Chociaż początkowy nakład pracy poświęcony na wykonanie tej czynności będzie znaczący, to z czasem zmaleje, pod warunkiem wypracowania standardów klasyfikacji danych, opisujących jak Twoja organizacja kategoryzuje informacje. Najlepszym sposobem usystematyzowania i standaryzacji procesów jest stworzenie procedury. Procedura w obszarze bezpieczeństwa danych może stać się potem częścią Polityki Bezpieczeństwa, która skodyfikuje wymagania i dobre praktyki dotyczące respektowania przez pracowników przepisów prawa np. w obszarze tzw. RODO.

 

W ramach procesu klasyfikacji informacji należy także określić, kto powinien mieć dostęp do poszczególnych kategorii danych. Oczywiście w ramach jednej kategorii mogą występować podziały. Np. dane dotyczące strategii firmy mogą mieć charakter poufny, a ich dostępność ograniczona jedynie dla Zarządu firmy, a lista płac - dokument także o charakterze poufnym, powinien być udostępniany dodatkowo działowi księgowości.

 

Aby ochrona danych przedsiębiorstwa miała charakter stałego procesu zgodnego z cyklem Deminga (zaplanuj – wykonaj – sprawdź – popraw) należy określić właścicieli informacji. Przekazanie odpowiedzialności za właściwe przetwarzanie informacji w ręce konkretnych osób znacząco poprawia bezpieczeństwo danych i sprawia, że proces nadzoru nad ochroną danych będzie szczelniejszy. Właścicielami biznesowymi danych powinny być osoby, które w ramach swoich obowiązków przetwarzają określone informacje i rozumieją, w jaki sposób i do jakich celów te są wykorzystywane. Przez to precyzyjnie potrafią określić ich przydatność i wartość dla przedsiębiorstwa oraz stale partycypować w procesie klasyfikacji informacji w organizacji. Ważne jest, aby te osoby miały silne umocowanie w strukturze organizacyjnej firmy z uwagi na konieczność posiadania dostępu do danych o szerokim spektrum wartości oraz możliwość egzekwowania polityki bezpieczeństwa dot. ochrony danych.

 

Pamiętaj przy tym, że informacja może mieć różną wartość w zależności od etapu, na jakim jest przetwarzana. Np. informacje powszechnie dostępne, o niskiej wartości mogą nabierać znaczenia po tym jak zastaną odpowiednio obrobione. Dlatego możliwe jest, że ta sama informacja zostanie inaczej sklasyfikowana przez użytkowników, jeśli stykają się z nią w innej fazie procesu biznesowego. Stąd ważnym jest, aby w procesie klasyfikacji informacji brały udział osoby mające wgląd w cały proces biznesowy w trakcie, którego przetwarza się dane. W większych organizacjach będzie to najczęściej Project Manager, dyrektor IT, w mniejszych, właściciel lub Zarząd.

Kiedy już sklasyfikujesz informacje i określisz ich wartość, wyznaczysz właścicieli biznesowych, oraz ustalisz prawa dostępu, powinieneś zastanowić się, w jaki sposób je chronić. Dobór środków ochrony zależy od wartości danych oraz ryzyka ich utraty lub ujawnienia i powinien obejmować zarówno kwestie proceduralne jak i teleinformatyczne. Należy przy tym pamiętać, że dane przetwarzane cyfrowo (np. w komputerze) łatwo przekształca się na postać analogową np. w postaci wydruku. Dlatego nawet najlepiej skonstruowany system bezpieczeństwa informatycznego nie spełni swojej roli, jeśli polityka bezpieczeństwa nie będzie obejmowała całości procesu przetwarzania informacji.

 

Dzisiejsze rozwiązania informatyczne sprzyjają jednak całościowemu objęciu organizacji polityką dot. bezpieczeństwa danych i potrafią śledzić, co dzieje się z informacją od jej wytworzenia do czasu zniszczenia także, gdy jest przekształcana na postać analogową. Mowa o rozwiązaniu DLP (Data Loss Prevention), które chroni wrażliwe dane przed „opuszczeniem” firmowej sieci i daje wgląd w aktywności pracowników na firmowych urządzeniach. Wdrożenie tego typu rozwiązania jest proste, a korzyści dla firm obawiających się o bezpieczeństwo swoich zasobów bardzo duże. System DLP wykryje, jakie dane wyciekają z Twojej firmy, kto operował poufnymi danymi bez pozwolenia, gdzie pojawiają się przypadki niezgodności z przepisami, które dokumenty firmowe były (np. niepotrzebnie) drukowane. DLP potrafi działać w dwóch trybach – pasywnym, kiedy jedynie poinformuje Cię o potencjalnym zagrożeniu lub złamaniu polityki bezpieczeństwa, albo aktywnym, kiedy blokuje wyciek danych.

 

Dla firm, które nie potrzebują tak zaawansowanych rozwiań jak DLP, konicznym, choć wystarczającym rozwiązaniem jest zastosowanie nowoczesnego oprogramowania antywirusowego. W przypadku organizacji przetwarzających dane osobowe jest to właściwie podstawowy warunek prowadzenia biznesu, gdyż wyciek danych osobowych spowodowany tzw. wirusem komputerowym może oznaczać ogromne straty, nie tylko finansowe (wynikające z kar przewidzianych w RODO), ale i wizerunkowe. Ich koszt dalece przewyższa cenę zakupu licencji na oprogramowanie antywirusowe, które w dzisiejszych czasach bardzo potaniało. Jeśli dopiero rozważasz zakup tego typu aplikacji zwróć uwagę na kilka cech, które odróżniają dobrego „antywirusa” od przeciętnego. Skuteczność wiodących programów antywirusowych stoi na podobnym, bardzo wysokim poziomie, znacząco przekraczającym 99%. Nie wszystkie tego typu programy pozwalają jednak na centralne zarządzanie politykami bezpieczeństwa oraz raportowanie. Jeżeli nie wiesz, że na komputerze Twojego pracownika pojawił się nowy „wirus” to nie będziesz w stanie zapewnić bezpieczeństwa informacji, które na co dzień przetwarza oraz nie dopowiesz się o problemie do czasu, aż niebezpieczne oprogramowanie rozprzestrzeni się na inne segmenty sieci komputerowej. Wczesne wykrywanie zagrożeń jest kluczowe z punktu widzenia bezpieczeństwa danych, a centralny system zarządzania programem antywirusowym jest tak ważną cechą jak jego skuteczność. Sprawdź, czy jesteś w stanie uzyskać comiesięczny raport ze stanu zabezpieczeń antywirusowych w Twojej firmie informujący o odnotowanych incydentach bezpieczeństwa? Sprawdź czy Twoja organizacja może sterować politykami bezpieczeństwa zdalnie np. blokować porty USB, wymuszać aktualizację systemu Windows? Jeżeli nie to może zainteresuje Cię oferta Security Partners?

 

Dając o bezpieczeństwo danych powinieneś oszacować także ryzyko ich utraty i koszt odtworzenia.

Ocenienie, znaczenie i wartość użytkowa informacji wzrasta, jeśli mówimy o kluczowych procesach w firmie np. o sposobie wyboru dostawcy lub też maksymalnej ceny, którą możemy zapłacić za dane zlecenie lub strategia długoterminowa. Powyższe aspekty mają też swoje umiejscowienie w czasie. Znaczy to tyle, że informacja o sposobie wyboru dostawcy po zakończenie dużego procesu przetargowego będzie miała znacząco niższą wartość a jej wiarygodność może być podważana.


Przyglądając się jeszcze bliżej uświadamiamy sobie, że na końcu tego łańcuch informacja jest jednym z kluczowych elementów o bardzo dużej wartości w dla pracownika jak i dla firmy. Tak jak w przypadku zamykania drzwi naszych mieszkań czy domów firmy dążą do ochrony wartości o bardzo dużym znaczeniu i próbują na wszelkie sposoby zabezpieczyć to, co najważniejsze. Każdy nas jest w stanie sobie wyobrazić utratę kluczy od mieszkania czy smartfonu lub portfela. Jesteśmy w stanie oszacować koszt nowego zamka do drzwi lub czas i pieniądze poświęcone na wymianę wszystkich dokumentów nie włączając do tego dezorganizację naszych codziennych obowiązków i zwyczajny strach przed przykrymi konsekwencja.

 

Dla firm utrata danych jest czymś jeszcze boleśniejszym. Bazując na raporcie i analizie instytutu badawczego „Ponemon Institute” z USA, który to prowadzi niezależne badania dotyczące prywatności, ochrony danych i polityki bezpieczeństwa informacji i umożliwia organizacjom, zarówno w sektorze prywatnym i publicznym, aby mieć lepsze zrozumienie trendów w praktykach, postrzegania i potencjalnych zagrożeń, które wpływają na gromadzenie, zarządzanie i zabezpieczenie osobistych i poufnych informacji na temat osób i organizacji- dowiadujemy się, że wartość poszczególnego rekordu z informacją wzrasta z roku na rok. Rok 2014 zostawił szczególne piętno na takich firmach jak „Sony Pictures Entertiment” czy bank „JP Morgan”. Pamiętamy wszyscy, że z powodu ataków z zewnątrz i braku zaszyfrowanych danych wyciekły personalne informacje na temat pracowników firmy Sony a w przypadku banku JP Morgan wyciekło 76 milionów informacji na temat prywatnych klientów banku i 7 milionów klientów małych i średnich firm. Mówimy tutaj w zasadzie kompletnej kompromitacji obydwu instytucji gdzie pełne dane klientów ( Imię, Nazwisko, numer dowodu, adres) były dostępne w sieci.


Dane wyciekły, ale ile są warte?


Według bardziej szczegółowych badań Ponemon Institute i IBM”, średni całkowity koszt naruszenia danych bazując na podstawie danych 350 firmy biorące udział w tym badaniu, wartość ich wzrosła z 3,52 do 3,79 miliona dolarów amerykańskich. Średni cena oferowana od potencjalnego kupca bądź realna kwota zapłacona za każdy zagubiony lub skradzionego rekord zawierającego informacje wrażliwe i poufne zwiększyła się od $ 145 w 2014 roku do $ 154 w tegorocznym badaniu. Pokazuję to niesamowitą skalę wartości informacji a mowa tutaj przecież o 1 rekordzie danych.

 

Globalne wnioski po analizie:

 

Wioski z powyższego raportu są jeszcze bardziej daleko idące. Okazuje się, bowiem, że ataki na duże lub małe firmy będą codziennością a jedną z lepszych metod zabezpieczania się przed problemem jest szyfrowanie danych. Dlaczego? Nawet, jeśli dane wypłyną na zewnątrz organizacji będą one w formie bezużytecznej.

 

Statystyki pokazują, że kolosalny wpływ na koszt skradzionych danych „per capita”. A wpływ mają:

– szkolenie personelu 51 %
rozległe i kompleksowe szyfrowanie danych 44 %

 

To właśnie kompleksowe szyfrowanie danych obniża ich wartość na czarnym rynku i powoduje, że w połączeniu ze szkoleniem personelu na temat bezpieczeństwa i szyfrowania danych daje potężną broń w walce z czarnym rynkiem handlu danymi. 79% ankietowanych osób w USA i Wielkiej Brytanii zajmujących kluczowe stanowiska w firmach różnego sektora uważa, że bezpieczeństwo i szyfrowanie danych to kluczowy element strategii firm obok planów sprzedażowych, przychodów czy inwestycji. Jest to kluczowy i zarazem zwrotny punkt pokazujący, że świadomość zagrożenia i chęć walki z nim jest na postrzegana, jako element priorytetowy zwłaszcza w blasku kolejnych włamań czy kompromitacji sieci teleinformatycznych choćby znanych z realiów polskich odwołując się do utraty reputacji „Plus Banku”, którego to dane krążyły w sieci w postaci jawnej niezaszyfrowanej. Żeby dać temu dowód prezes ‘Jamie Dimon’ z JP Morgan poinformował osobiście swoich akcjonariuszy, że do końca roku 2014 zainwestuje 250 milionów dolarów i zatrudni dodatkowo 1000 specjalistów od bezpieczeństwa tylko po to by chronić swoje dane. Bazują na wiedzy i badaniach nie trudno się domyślić, że chodzi między innymi o szyfrowanie danych od poczty poprzez pliki, telefony komórkowe urządzenia mobile i temu podobne.

 

Świadomość wartości informacji to jedno a działania to drugie. Wiemy, że informacja jest elementem krytycznym i bardzo drogim. Wiemy też, że technologia idzie do przodu w sieci pojawia się coraz więcej zagrożeń i nie można w 100% wyeliminować ryzyka wycieku informacji, czy po prostu utraty danych. Natomiast znamy fakty, a fakty mówią, że można się przed tym zjawiskiem skutecznie zabezpieczać szyfrując dane i szkolić personel. Tylko kompleksowe szyfrowanie danych daje nam pewności, że wartość potencjalnie skradzionego rekordu będzie bliska 0. Szyfrowanie poczty, dysków twardych w laptopach, kopi zapasowych, nośników przenośnych tj. kart pamięci, kluczy usb, telefonów komórkowych, tabletów i pozostałych urządzeń mobilnych zmniejsza diametralnie wartość danych na rynku wtórnym. Rynek zachodni zrozumiał, że bezpieczeństwo i szyfrowanie danych jest elementem strategii rozwoju firmy i nie boi się inwestować w rozwiązania poprawiające te aspekty. Jest jeszcze coś a mianowicie poczucie bezpieczeństwa, wiarygodność i zaufanie pozwalające skupiać się na rozwoju firmy a nie na strachu przed utratą niezaszyfrowanych danych.

 

Poznaj program do bezpieczeństwo i ochrony twoich najcenniejszych danych - SAFETICA DLP