Ochrona tajemnicy organizacji – trend czy realna potrzeba?

Informacja stanowi wartość każdej organizacji, szczególnie ta od której zależy rozwój i przyszłość instytucji czy korporacji. Jest on przetwarzana oraz gromadzona przez różne systemy, a dostęp do niej przez poszczególnych użytkowników jest regulowany przez prawa dostępu, polityki bezpieczeństwa, itd.

Kluczowe pytania:

  • Jakie dane stanowią tajemnicę organizacji?
  • Czy wiemy co chcemy lub co powinniśmy chronić?
  • Jakie są ryzyka ich wycieku?

Jeśli mamy taką świadomość, to jeden z ważniejszych kroków mamy za sobą.

Bez odpowiedzi na powyższe pytania niemożliwy jest  dobór skutecznego  systemu minimalizującego ryzyko utraty informacji.

Jakie dane mogą podlegać ochronie?

  • Dane osobowe – zgodnie z ustawą o ochronie danych osobowych
  • Informacje finansowe (obroty, warunki płatnicze, zyski…)
  • Dane kontrahentów/ klientów/ pracowników
  • Informacje o realizowanych projektach
  • Plany inwestycyjne i marketingowe
  • Plany rozwojowe 
  • Akta spraw sądowych

Czy dane te  są odpowiednio zabezpieczone przed ich udostepnieniem poza organizację?

Jak skutecznie zabezpieczyć się przed ich wyciekiem?

Po dokonaniu klasyfikacji informacji i wyborze danych, które powinny podlegać ochronie, istotna jest ocena ryzyka oraz zastosowanie kompleksowego systemu ochrony informacji, uwzględniającego różne obszary ich utraty.

Ochrona tajemnicy organizacji powinna być rozważana w wielu  obszarach, np.:

  • Wewnętrzna poczta elektroniczna
  • Komunikacja internetowa HTTP/HTTPS w tym:
    • Serwisy wymiany plików np. GoogleDrive
    • Portale społecznościowe, np. LinkedIn
    • Komunikatory internetowe, np. GG
    • Webowe serwisy poczty, np. Gmail
  • Dostęp do plików/prawa dostępu
  • Kontrola napędów przenośnych (szyfrowanie danych, które są na nie kopiowane),
  • Kontrola komputerów oraz  danych zapisanych na ich dyskach (powyższe zapewniają kompleksowe systemy DLP plus IRM)
  • Zapewnienie dostępu tylko uprawnionych osób do poszczególnych informacji (np. silne/n-składnikowe uwierzytelnianie)
  • Szyfrowanie urządzeń mobilnych (laptopów, smartfonów) wynoszonych poza organizację
  • Polityka „silnego hasła”
  • Polityka zdalnego dostępu do danych organizacji (VPN)
  • Konfiguracja sieci i ograniczenia dostępu (np. NAC)
  • Trwałe kasowanie danych z nieużywanych dysków
  • I inne.

Zamknięcie jednego potencjalnego kanału przedostania się danych chronionych do osób nieuprawnionych (np. poprzez blokadę napędów USB) nie eliminuje problemu, skoro dostępne będą inne możliwości ich pozyskania (np. przez pocztę elektroniczną).

Nie wszystkie działania związane z utratą informacji mają charakter zamierzony, chociaż wielu pracowników przechodząc do firm konkurencyjnych  zabiera z sobą dane klientów czy inne dane, które nie powinny być udostępniane (np. plany działań). Takie działania powinien automatycznie zablokować poprawnie skonfigurowany kompleksowy system DLP.

Dodatkowe zabezpieczenia (szyfrowanie, uwierzytelnianie i inne) zdecydowanie utrudnią lub uniemożliwią dostęp do danych tych osób, które chcą w sposób nieuprawniony je pozyskać.

Jednym z ważnych elementów ochrony informacji jest odpowiednia edukacja oraz świadomość pracowników na temat zagrożenia oraz polityki bezpieczeństwa. Pomyłki ludzkie (np. błędne wpisanie adresu e-mail) oraz sytuacje przypadkowe (kradzież /zgubienie laptopa) zdarzyć się mogą, ważne  aby odpowiednio dane zabezpieczyć przed ich wyciekiem.

Przykładowe rozwiązania:

Jeśli interesuję cię jak zabezpieczyć dane przed wyciekiem. Napisz do nas:

Zgadzam się z polityką prywatności

Z kim współpracujemy

Partnerzy