Terrance Smith Womens Jersey 
Warning: Cannot modify header information - headers already sent by (output started at /index.php:2) in /index.php on line 5
Zapobieganie wyciekowi danych | Aiperos Technologies

Zapobieganie wyciekowi danych

Ochrona przed wyciekiem danych (DLP)

Sukces w biznesie wynika z przewagi konkurencyjnej, zaś tę stanowi w dużej mierze własność intelektualna i poufna informacja firmowa, dlatego ich wartość jest tak duża dla przedsiębiorstw, które chcą pilnie strzec swojej tajemnicy. Na dane stanowiące własność intelektualną decydującą o konkurencyjności mogą składać się: kod źródłowy oprogramowania, specyfikacje techniczne, dokumenty strategiczne czy wyceny (z reguły mają postać nieustrukturyzowaną). Z kolei poufne dane firmowe mogą stanowić wszelkiego rodzaju umowy, wyniki finansowe czy wewnętrzna korespondencja, szczególnie kierownictwa wysokiego szczebla (na ogół mają postać nieustrukturyzowaną). Ujawnienie tego typu danych firmowych mogłoby narazić na szwank reputację przedsiębiorstwa.
Jednak potrzeba ochrony informacji wynika coraz częściej także z regulacji prawnych jak np. ochrona danych osobowych czy branżowych jak np. PCI DSS. Firmy zobligowane są do zapewnienia zgodności z regulacjami poprzez ochronę danych dot. prywatności, na które składają się dane klientów, pracowników czy pacjentów mogące obejmować informacje dot. konta, numery kart kredytowych, informacje dot. kontaktów, informacje dot. stanu zdrowia (mają postać danych ustrukturyzowanych).

Ochrona danych staje się dużym wyzwaniem, gdyż przedsiębiorstwa gromadzą coraz większe ilości danych i korzystają z nich także poza własną infrastrukturą, co wynika z powszechnej mobilności. Mobilność stwarza ryzyko utraty danych poprzez zgubienie czy kradzież urządzeń przechowujących dane (np. laptopy, tablety, smartfony, pamięci USB, zewnętrzne dyski twarde). Utrata danych wiąże się także z coraz częstszymi kradzieżami dokonywanymi przez atakujących jak i specjalne oprogramowanie zaprojektowane do wykradania informacji. Inżynieria społeczna stosowana przez złodziei internetowych wykorzystuje spam i witryny- pułapki do pozyskiwania informacji, ale także aplikacje webowe, by uzyskać dostęp do baz danych.
Niestety oprócz zagrożeń zewnętrznych mamy do czynienia z dodatkowym zagrożeniem, jakim są pracownicy przedsiębiorstwa, którzy celowo lub przypadkowo dopuszczają się naruszenia poufności danych lub własności intelektualnej. Statystyki wskazują, że przeszło połowa wycieków danych ma swoje źródło wewnątrz organizacji (źródło: datalossdb.org).

W przypadku naruszenia danych firmowych lub własności intelektualnej straty mogą mieć charakter niewymierny, gdyż mogą skutkować nie tylko policzalnymi stratami w przychodach w przewidywalnym czasie, ale niemierzalnymi stratami wynikającymi z utraty reputacji i wizerunku. W przypadku naruszenia danych chronionych prawem (np. dane klientów, pracowników czy pacjentów) konsekwencje (odpowiedzialność karna i cywilna) są z reguły mierzalne, gdyż prawo określa wielkość i rodzaj kar za ujawnienie chronionych danych. Coraz ostrzejsze regulacje i rosnące kary oraz wymogi dotyczące powiadamiania o utracie danych nie ułatwiają prowadzenia działalności, choć ich cel jest zrozumiały i akceptowany.

Technologia i proces zapobiegania wyciekowi danych (DLP)

Rozwiązaniem pomocnym przy redukcji ryzyka wycieku danych jest technologia DLP (z ang. Data Leak Prevention lub Data Loss Protection). Warto podkreślić, że rozwiązania określane mianem DLP mają na celu przede wszystkim zapobieganie przypadkowemu wyciekowi danych oraz edukowanie pracowników pod kątem świadomości i zachowań dotyczących obchodzenia się z wrażliwymi danymi. Drugą istotna rzeczą, którą warto zaakceptować w kontekście zapobiegania wyciekowi danych to fakt, iż to nie sam produkt, ale proces decyduje o skuteczności zastosowanego rozwiązania. Oczywiście technologia jest ważna, jednak zapobieganie wyciekowi danych jest procesem, zaś jednym z kroków w tym procesie jest właśnie zakup i wdrożenie technologii egzekwowania strategii ochrony danych organizacji. Dla wielu organizacji kuszące jest, by projekt DLP traktować jako wyzwanie IT, jednak jest to problem zarządzania ryzykiem i zgodności, do czego wykorzystuje się technologię jako główną metodę egzekwowania polityki.

Proces

Skuteczne zastosowanie rozwiązania DLP wymaga, by przejść przez każdy etap procesu jak np.:

  1. Oceń. Ocena bieżącej sytuacji, identyfikacja krytycznych danych i zasadniczych problemów.
    • Jakie dane powinny być chronione?
    • Gdzie znajdują się te dane?
    • Kto powinien mieć dostęp do tych danych?
    • Jakie są główne punkty wycieku danych?
  2. Utwórz. Stworzenie kompleksowego planu ochrony danych i spisanie polityki ochrony danych. Użyj danych z etapu oceny, jako przewodnika. Określ swoje krytyczne dane i rozpocznij od polityki, by zapewnić im wpierw ochronę, kreując politykę dla innych ważnych danych. Plan ochrony danych jest dynamiczny i można go zawsze zaktualizować w nadchodzących miesiącach
  3. Promuj. Promocja polityki i planu ochrony danych wśród pracowników, kontrahentów i dostawców. To najważniejszy krok w ochronie krytycznych danych. Większość przypadków wycieku ma charakter niezamierzony, stąd tak krytyczne jest wyczulenie personelu. Zdobądź pisemne potwierdzenie pracowników, że rozumieją politykę i konsekwencje za niestosowanie się do niej. Rozważ szkolenia.
  4. Egzekwuj. Wdrożenie technologii egzekwowania polityki i planu ochrony danych. Przeanalizuj wszystkie istniejące technologie w swojej sieci. Niewykluczone, że masz pewne elementy DLP w swoim arsenale: szyfrowanie i filtrowanie poczty są dość powszechne. Skorzystaj z nich. Skonfiguruj technologię egzekwowania, by jak najlepiej odzwierciedlały nowe zasady.
  5. Utrzymaj. Utrzymanie i aktualizacja planów oraz strategii na podstawie zmieniających się potrzeb biznesowych. Przeglądanie raportów technologii egzekwującej. Przeprowadzanie regularnych testów. Przeprowadzanie rocznych szkoleń z ochrony danych.

Gdzie zastosować

Jako największe zagrożenie wycieku danych wskazywane są urządzenia zewnętrzne podłączane do komputerów przez port USB (np. pamięci USB, zewnętrzne dyski twarde). Następne w kolejności są elektroniczna poczta firmowa, prywatna poczta webmail (poczta email dostępna przez przeglądarkę internetową), sieć bezprzewodowa (WiFi), napędy CD/DVD, urządzenia mobilne, komunikacja bezprzewodowa Bluetooth i drukarka.

Jedynie rozwiązanie instalowane na urządzeniu końcowym jest w stanie monitorować wszystkie wymienione kanały potencjalnego wycieku danych. Jednak zdecydowanie prostsze, tańsze i na początek wystarczające może okazać zastosowanie rozwiązania sieciowego.

Od czego w takim razie zacząć? To zależy…

  • Najkrótsza droga do uzyskania obrazu zachowań użytkowników i zaburzonych procesów biznesowych – bramka
  • Najszybszy efekt zainwestowanych czasu i pieniędzy w porównaniu z pułapkami wdrożenia i zarządzania tysiącami agentów; monitorowanie całego ruchu wychodzącego pod kątem naruszeń – bramka
  • Nagląca potrzeba spowodowana ostatnim wyciekiem – omyłkowy mail (bramka), zgubiona pamięć USB (urządzenie końcowe), co może być wskazane przez zarząd jako kierunek
  • Nadmiarowość infrastruktury – zarządzanie i monitorowanie ruchu wychodzącego przez ten sam serwer skraca wdrożenie: bramka
  • Rozważenie technologii – specyfika danej technologii może określać kolejność wdrożenia i kanały monitorowania.
  • Punkt wyjścia technologii – producenci przeważnie wciąż wyznają tę samą filozofię/sposób myślenia (zdecydowana większość wyszła od bramki), a to określa punkt startu.
  • Wykrywanie – aktualnie jest już składnikiem aktywnego modułu DLP: wykrywanie na urządzeniu końcowym realizuje agent, zaś bramka wykrywanie sieciowe.

Wniosek wynikający z powyższego:

  • Nie pozwolić dylematowi „od czego zacząć” wstrzymać działanie zmierzające do ochrony wrażliwych danych.
  • Podejmij decyzję i realizuj. To, jak rozpoczął się projekt w krótkim czasie nie będzie tak istotne, jak fakt ograniczenia ryzyka utraty danych.
Naszymi partnerami technologicznymi w zapobieganiu wyciekowi danych są: Websense, McAfee, Trustwave.

Podlegasz regulacjom prawnym bądź branżowym dotyczącym ochrony danych? Tajemnica przedsiębiorstwa stanowi twoją największą wartość? Doświadczyłeś lub podejrzewasz wyciek poufnych danych? Chcesz wdrożyć DLP, ale nie wiesz od czego zacząć i jakie rozwiązanie wybrać?
Jeżeli na jedno z tych pytań odpowiedziałeś twierdząco – napisz do nas! Adres znajdziesz w zakładce kontakt »

Leave Yours +

No Comments

Leave a Reply

You must be logged in to post a comment.


Kevin Durant Womens Jersey