Baza wiedzy

W tym artykule inżynier Security Partners, Michał Bednarek omówi, bezpieczeństwo danych. W jaki sposób klasyfikować informacje oraz dobierać odpowiednie zabezpieczenia do ich wartości, tak aby chronić tylko te dane, które są tego warte.

 

Bezpieczeństwo danych w dobie chmury obliczeniowej (tzw. cloud computing) i trendów typu BYOD (Bring Your Own Device) wprowadza nowy wymiar postrzegania bezpieczeństwa informacji. Wymiar ten jest jednym z głównych wyzwań w firmach, które chcą wykorzystywać nowoczesne systemy przetwarzania danych. Przy jednoczesnym zachowaniu ich maksymalnej poufności. Bez względu na rodzaj wykonywanej pracy, czy wielkość firmy, nieautoryzowany dostęp do danych osobowych, informacji finansowych, czy danych technicznych, niesie potencjalnie druzgocące skutki dla organizacji, które niewłaściwie zabezpieczających informacje o poufnym charakterze. Mowa tu np. o konsekwencjach wynikających z przepisów prawa (np. kary finansowe RODO), cywilnoprawnych (np. niedotrzymanie warunków umowy z kontrahentem) lub biznesowych (utrata know-how lub własności intelektualnej).

 

Codziennie wymieniasz dziesiątki informacji. Takich jak maile, dane w systemach crm, wydruki itp., a ich odbiorcami są współpracownicy, kontrahenci lub osoby postronne np. klienci. Najczęściej wszystkie dane traktowane są w taki sam sposób, bez względu na ich wartość czy znaczenie. Stosowanie jednej polityki bezpieczeństwa wobec danych powoduje, że chroni się je w nadmierny lub niedostateczny sposób. Wykorzystując narzędzia i procedury nieadekwatne do ich wartości.

 

Od czego zacząć, aby zadbać o bezpieczeństwo danych?

 

Jak zabezpieczyć danePrzed wszystkim powinieneś przyjąć, że ochrona danych w Twojej firmie to proces, który nie powinien być traktowany jako projekt, gdyż nie ma określonego końca. Właściwą metodą realizującą proces zarządzania jakością w obszarze ochrony danych jest cykl Deminga, będący podstawową zasada ciągłego doskonalenia.

 

Odpowiedź na to pytanie jest wielowymiarowa. Bez wątpienia nie trzeba chronić wszystkich danych, ponieważ nie wszystkie informacje tego wymagają. Dlatego powinieneś zacząć od klasyfikacji informacji i nadać danym jakąś wartość. Jest wiele kryteriów oceny wagi informacji, ale jednym z najważniejszych jest ich znaczeniewartość użytkowa. A jednym z powszechniejszych w małych i średnich organizacjach sposobów oceny wartości informacji jest „subiektywna ocena wartości”. Taki model jest najbliższy rzeczywistości, ponieważ bierzemy pod uwagę różne czynniki, które według nas samych mają największe znaczenie. Ocenia istotności danych może odbywać się nie tylko pod kątem finansowym, ale i wizerunkowym, czy strategicznym.

 

Co daje wprowadzenie stopni klasyfikacji danych?

Występujący powszechnie sposób rozumienia pojęcia „bezpieczeństwo danych” zakłada najczęściej, że wszystkie informacje w przedsiębiorstwie wymagają wzmożonej (takiej samej) ochrony. Wprowadzenie stopni klasyfikacji danych pomoże zoptymalizować współczynnik koszty /bezpieczeństwo, poprzez dostosowanie odpowiedniego poziomu zabezpieczeń do wartości informacji. Dzięki temu Twoja firma przestanie nadmiernie chronić informacje, tam gdzie nie jest to wymagane. A oszczędzone zasoby przeznaczy na lepsze zabezpieczenie danych o krytycznym charakterze. W przypadku małych i średnich organizacji najczęściej wystarczającym będzie przyjęcie podziału na trzy wartości, np.:

  • dane publicznie dostępne,
  • do użytku wewnętrznego,
  • poufne.

 

Chociaż początkowy nakład pracy poświęcony na wykonanie tej czynności będzie znaczący, to z czasem zmaleje. Pod warunkiem wypracowania standardów klasyfikacji danych, opisujących jak Twoja organizacja kategoryzuje informacje. Najlepszym sposobem usystematyzowania i standaryzacji procesów jest stworzenie procedury. Procedura w obszarze bezpieczeństwa danych może stać się potem częścią Polityki Bezpieczeństwa, która skodyfikuje wymagania i dobre praktyki dotyczące respektowania przez pracowników przepisów prawa np. w obszarze tzw. RODO.

 

Jak przygotować się do procesu klasyfikacji informacji?

W ramach procesu klasyfikacji informacji należy także określić, kto powinien mieć dostęp do poszczególnych kategorii danych. Oczywiście w ramach jednej kategorii mogą występować podziały. Np. dane dotyczące strategii firmy mogą mieć charakter poufny, a ich dostępność ograniczona jedynie dla Zarządu firmy. Natomiast lista płac – dokument także o charakterze poufnym, powinien być udostępniany dodatkowo działowi księgowości.

 

Kto powinien brać udział w procesie klasyfikacji informacji?

Aby ochrona danych przedsiębiorstwa miała charakter stałego procesu zgodnego z cyklem Deminga (zaplanuj – wykonaj – sprawdź – popraw) należy określić właścicieli informacji. Przekazanie odpowiedzialności za właściwe przetwarzanie informacji w ręce konkretnych osób znacząco poprawia bezpieczeństwo danych. Wpłynie to również na proces nadzoru nad ochroną danych, który będzie szczelniejszy. Właścicielami biznesowymi danych powinny być osoby, które w ramach swoich obowiązków przetwarzają określone informacje. Osoby te powinny też rozumieć, w jaki sposób i do jakich celów informacje te są wykorzystywane. Przez to precyzyjnie potrafią określić ich przydatność i wartość dla przedsiębiorstwa oraz stale partycypować w procesie klasyfikacji informacji w organizacji. Ważne jest, aby te osoby miały silne umocowanie w strukturze organizacyjnej firmy. Z uwagi na konieczność posiadania dostępu do danych o szerokim spektrum wartości. Osoby te powinny mieć też możliwość egzekwowania polityki bezpieczeństwa dot. ochrony danych.

 

Informacja i jej wartość

Pamiętaj przy tym, że informacja może mieć różną wartość w zależności od etapu, na jakim jest przetwarzana. Np. informacje powszechnie dostępne, o niskiej wartości mogą nabierać znaczenia po tym jak zastaną odpowiednio obrobione. Dlatego możliwe jest, że ta sama informacja zostanie inaczej sklasyfikowana przez użytkowników, jeśli stykają się z nią w innej fazie procesu biznesowego. Stąd ważnym jest, aby w procesie klasyfikacji informacji brały udział osoby mające wgląd w cały proces biznesowy w trakcie, którego przetwarza się dane. W większych organizacjach będzie to najczęściej Project Manager, dyrektor IT, w mniejszych, właściciel lub Zarząd.

Kiedy już sklasyfikujesz informacje i określisz ich wartość, wyznacz właścicieli biznesowych, oraz ustal prawa dostępu. W drugim kroku zastanów się, w jaki sposób je chronić. Dobór środków ochrony zależy od wartości danych oraz ryzyka ich utraty lub ujawnienia. Proces ten powinien obejmować zarówno kwestie proceduralne jak i teleinformatyczne. Należy przy tym pamiętać, że dane przetwarzane cyfrowo łatwo przekształca się na postać analogową np. w postaci wydruku. Nawet najlepiej skonstruowany system bezpieczeństwa informatycznego nie spełni swojej roli, jeśli polityka bezpieczeństwa nie będzie obejmowała całości procesu przetwarzania informacji.

 

Jak dzisiejsze rozwiązania wpływają na ochronę przed wyciekiem danych (DLP)

Dzisiejsze rozwiązania informatyczne sprzyjają jednak całościowemu objęciu organizacji polityką dot. bezpieczeństwa danych. Rozwiązania te potrafią śledzić, co dzieje się z informacją od jej wytworzenia do czasu zniszczenia. A także, gdy jest przekształcana na postać analogową. Mowa o rozwiązaniu DLP (Data Loss Prevention), które chroni wrażliwe dane przed „opuszczeniem” firmowej sieci i daje wgląd w aktywności pracowników na firmowych urządzeniach. Wdrożenie tego typu rozwiązania jest proste, a korzyści dla firm obawiających się o bezpieczeństwo swoich zasobów bardzo duże. System DLP wykryje, jakie dane wyciekają z Twojej firmy, kto operował poufnymi danymi bez pozwolenia, gdzie pojawiają się przypadki niezgodności z przepisami, które dokumenty firmowe były (np. niepotrzebnie) drukowane. DLP potrafi działać w dwóch trybach – pasywnym, kiedy jedynie poinformuje Cię o potencjalnym zagrożeniu lub złamaniu polityki bezpieczeństwa, albo aktywnym, kiedy blokuje wyciek danych.

 

Jakie rozwiązania oferuje rynek dla małych i średnich firm w zakresie bezpieczeństwa danych

Dla firm, które nie potrzebują tak zaawansowanych rozwiań jak DLP, konicznym, choć wystarczającym rozwiązaniem jest zastosowanie nowoczesnego oprogramowania antywirusowego. W przypadku organizacji przetwarzających dane osobowe jest to właściwie podstawowy warunek prowadzenia biznesu. Wyciek danych osobowych spowodowany tzw. wirusem komputerowym może oznaczać ogromne straty, nie tylko finansowe (wynikające z kar przewidzianych w RODO), ale i wizerunkowe. Ich koszt dalece przewyższa cenę zakupu licencji na oprogramowanie antywirusowe, które w dzisiejszych czasach bardzo potaniało. Jeśli dopiero rozważasz zakup tego typu aplikacji zwróć uwagę na kilka cech, które odróżniają dobrego „antywirusa” od przeciętnego.

 

Czym kierować się przy wyborze programu antywirusowego?

Skuteczność wiodących programów antywirusowych stoi na podobnym, bardzo wysokim poziomie, znacząco przekraczającym 99%. Nie wszystkie tego typu programy pozwalają jednak na centralne zarządzanie politykami bezpieczeństwa oraz raportowanie. Jeżeli nie wiesz, że na komputerze Twojego pracownika pojawił się nowy „wirus” to nie będziesz w stanie zapewnić bezpieczeństwa informacji. Nie dopowiesz się o problemie do czasu, aż niebezpieczne oprogramowanie rozprzestrzeni się na inne segmenty sieci komputerowej.

Wczesne wykrywanie zagrożeń jest kluczowe z punktu widzenia bezpieczeństwa danych. Natomiast centralny system zarządzania programem antywirusowym jest tak ważną cechą jak jego skuteczność. Sprawdź, czy jesteś w stanie uzyskać comiesięczny raport ze stanu zabezpieczeń antywirusowych w Twojej firmie informujący o odnotowanych incydentach bezpieczeństwa? Sprawdź czy Twoja organizacja może sterować politykami bezpieczeństwa zdalnie np. blokować porty USB, wymuszać aktualizację systemu Windows? Jeżeli nie to może zainteresuje Cię oferta Security Partners?

 

Dając o bezpieczeństwo danych powinieneś oszacować także ryzyko ich utraty i koszt odtworzenia.

Ocenienie, znaczenie i wartość użytkowa informacji wzrasta, jeśli mówimy o kluczowych procesach w firmie. Procesy te mogą dotyczyć np. sposób wyboru dostawcy lub też maksymalnej ceny, którą możemy zapłacić za dane zlecenie. Powyższe aspekty mają też swoje umiejscowienie w czasie. Znaczy to tyle, że informacja o sposobie wyboru dostawcy po zakończenie dużego procesu przetargowego będzie miała znacząco niższą wartość a jej wiarygodność może być podważana.

Przyglądając się jeszcze bliżej uświadamiamy sobie, że na końcu tego łańcuch informacja jest jednym z kluczowych elementów o bardzo dużej wartości  dla pracownika jak i dla firmy. Tak jak w przypadku zamykania drzwi naszych mieszkań, domów czy firmy. Dążymy do ochrony wartości o bardzo dużym znaczeniu i próbujemy na wszelkie sposoby zabezpieczyć to, co najważniejsze. Każdy nas jest w stanie sobie wyobrazić utratę kluczy od mieszkania czy portfela. Jesteśmy w stanie oszacować koszt nowego zamka do drzwi lub czas i pieniądze poświęcone na wymianę wszystkich dokumentów. Nie włączając do tego dezorganizację naszych codziennych obowiązków i zwyczajny strach przed przykrymi konsekwencja.

 

Przykłady firm, których dane wyciekły

Dla firm utrata danych jest czymś jeszcze boleśniejszym. Bazując na raporcie i analizie instytutu badawczego „Ponemon Institute” z USA, który to prowadzi niezależne badania dotyczące prywatności, ochrony danych i polityki bezpieczeństwa informacji i umożliwia organizacjom, zarówno w sektorze prywatnym i publicznym, aby mieć lepsze zrozumienie trendów w praktykach, postrzegania i potencjalnych zagrożeń, które wpływają na gromadzenie, zarządzanie i zabezpieczenie osobistych i poufnych informacji na temat osób i organizacji. Dowiadujemy się, że wartość poszczególnego rekordu z informacją wzrasta z roku na rok.

Rok 2014 zostawił szczególne piętno na takich firmach jak „Sony Pictures Entertiment” czy bank „JP Morgan”. Pamiętamy wszyscy, że z powodu ataków z zewnątrz i braku zaszyfrowanych danych wyciekły personalne informacje na temat pracowników firmy Sony. W przypadku banku JP Morgan wyciekło 76 milionów informacji na temat prywatnych klientów banku. Oraz 7 milionów klientów małych i średnich firm. Mówimy tutaj w zasadzie kompletnej kompromitacji obydwu instytucji gdzie pełne dane klientów były dostępne w sieci.

 

Dane wyciekły, ale ile są warte?

 

Według bardziej szczegółowych badań Ponemon Institute i IBM”, średni całkowity koszt naruszenia danych bazując na podstawie danych 350 firmy biorące udział w tym badaniu, wartość ich wzrosła z 3,52 do 3,79 miliona dolarów amerykańskich. Średni cena oferowana od potencjalnego kupca bądź realna kwota zapłacona za każdy zagubiony lub skradzionego rekord zawierającego informacje wrażliwe i poufne zwiększyła się od $ 145 w 2014 roku do $ 154 w tegorocznym badaniu. Pokazuję to niesamowitą skalę wartości informacji a mowa tutaj przecież o 1 rekordzie danych.

 

Globalne wnioski po analizie:

 

Wioski z powyższego raportu są jeszcze bardziej daleko idące. Okazuje się, bowiem, że ataki na duże lub małe firmy będą codziennością a jedną z lepszych metod zabezpieczania się przed problemem jest szyfrowanie danych. Dlaczego? Nawet, jeśli dane wypłyną na zewnątrz organizacji będą one w formie bezużytecznej.

 

Statystyki pokazują, że kolosalny wpływ na koszt skradzionych danych „per capita”. A wpływ mają:

– szkolenie personelu 51 %
rozległe i kompleksowe szyfrowanie danych 44 %

 

To właśnie kompleksowe szyfrowanie danych obniża ich wartość na czarnym rynku. To w połączeniu ze szkoleniem personelu na temat bezpieczeństwa i szyfrowania danych daje potężną broń. Broń w walce z czarnym rynkiem handlu danymi. 79% ankietowanych osób w USA i Wielkiej Brytanii zajmujących kluczowe stanowiska w firmach różnego sektora uważa, że bezpieczeństwo i szyfrowanie danych to kluczowy element strategii firm. I powinien się znaleźć obok planów sprzedażowych, przychodów czy inwestycji.

Jest to kluczowy, zarazem zwrotny punkt pokazujący, że świadomość zagrożenia i chęć walki z nim jest postrzegany, jako element priorytetowy. Zwłaszcza w blasku kolejnych włamań czy kompromitacji sieci teleinformatycznych choćby znanych z realiów polskich. Np. odwołując się do utraty reputacji „Plus Banku”, którego to dane krążyły w sieci w postaci jawnej niezaszyfrowanej. Żeby dać temu dowód prezes ‘Jamie Dimon’ z JP Morgan poinformował akcjonariuszy, że do końca 2014r zainwestuje 250 milionów dolarów. Pieniądze te przeznaczy na zatrudnienie dodatkowo 1000 specjalistów od bezpieczeństwa. Działania te zostały wdrożone  po to by chronić dane klientów banku. Bazują na wiedzy i badaniach nie trudno się domyślić, że chodzi m.in. o szyfrowanie danych od poczty poprzez pliki, telefony komórkowe urządzenia mobile i temu podobne.

 

Świadomość wartości informacji

Świadomość wartości informacji to jedno a działania to drugie. Wiemy, że informacja jest elementem krytycznym i bardzo drogim. Wiemy też, że technologia idzie do przodu w sieci pojawia się coraz więcej zagrożeń. W związku z tym nie można w 100% wyeliminować ryzyka wycieku informacji, czy po prostu utraty danych. Natomiast znamy fakty, a fakty mówią, że można się przed tym zjawiskiem skutecznie zabezpieczać szyfrując dane i szkolić personel. Tylko kompleksowe szyfrowanie danych daje nam pewności, że wartość potencjalnie skradzionego rekordu będzie bliska 0. Szyfrowanie poczty, dysków twardych w laptopach, kopi zapasowych, nośników przenośnych tj. kart pamięci, kluczy usb, telefonów komórkowych, tabletów i pozostałych urządzeń mobilnych zmniejsza diametralnie wartość danych na rynku wtórnym.

Rynek zachodni zrozumiał, że bezpieczeństwo i szyfrowanie danych jest elementem strategii rozwoju firmy. Dlatego firmy tam nie boją się inwestować w rozwiązania poprawiające te aspekty. Jest jeszcze coś a mianowicie poczucie bezpieczeństwa, wiarygodność i zaufanie pozwalające skupiać się na rozwoju firmy.

 

Poznaj program do bezpieczeństwo i ochrony twoich najcenniejszych danych – SAFETICA DLP