Poznaj 5 kroków do efektywnej ochrony danych

Home / Aktualności / Poznaj 5 kroków do efektywnej ochrony danych

Każdego dnia firmy tworzą coraz więcej danych. Cenne informacje znajdujące się na twoich serwerach i w repozytoriach, nie są chronione. Nie są także odzyskiwalne. Dzieje się tak, ponieważ nikt nie wie, gdzie je znaleźć. Kontrolę nad nieustrukturyzowanymi danymi pomaga odzyskać klasyfikacja danych. Czy wiesz, że angażując użytkowników w klasyfikację danych, wpływasz na ich świadomość przy pracy z danymi?

Poniższy tekst na temat klasyfikatora danych przeprowadzi Cię przez 5 kroków prowadzących do wdrożenia skutecznej klasyfikacji danych w Twojej organizacji. Pokaże, w jaki sposób klasyfikacja danych może ulepszyć wcześniej wdrożone narzędzia, takie jak system DLP, narzędzia do wykrywania oraz zarządzania danych i nie tylko.



Krok 1: Zidentyfikuj typy danych, które mają największe znaczenie dla firmy

Stosowanie klasyfikacji danych jako części strategii zabezpieczania aktywów korporacyjnych jest czasami nazywane „zamknięciem klejnotów koronnych”. Jednak bezpieczeństwo danych nie zaczyna się ani nie kończy na czynności kontrolowania dostępu do informacji.


Polityka bezpieczeństwa nie powinna też ograniczać się do ochrony tylko najcenniejszych danych.


Nawet mniej krytyczne informacje mogą zaszkodzić firmie, jeśli zostaną utracone lub ujawnione w niewłaściwym czasie.


Po pierwsze, musisz zbudować solidną podstawę wiedzy wokół swoich danych. Dzięki temu dokładnie zrozumiesz, co posiadasz i jakie jest potencjalne zagrożenie dla bezpieczeństwa danego zasobu.



Przeczytaj także: KLASYFIKACJA DANYCH: PRZYPADEK UŻYCIA – OGRANICZENIE RYZYKA



Ten proces rozpoczyna się od zidentyfikowania typów danych, które mają największe znaczenie dla firmy. Dzięki czemu można wskazać, gdzie należy skoncentrować ochronę i kontrolę.


Twoje najcenniejsze i poufne dane mogą obejmować:

  • Zasoby danych, dla przykładu informacje przechowywane w CRM czy bazie danych.

  • Dokumenty krytyczne dla biznesu włączając w to plany projektowe i umowy handlowe.

  • Dokumenty i informacje wymagane, aby zapewnić zgodność z regulacjami prawnymi.



Sprawdź także: KLASYFIKACJA DANYCH: WSPARCIE ZARZĄDZANIA ŁADEM KORPORACYJNYM I ZGODNOŚCIĄ Z REGULACJAMI


Krok 2: Odkryj nim zaczniesz chronić

Klasyfikując dane według ich wartości lub wrażliwości, organizacje mogą zmniejszyć ryzyko naruszenia bezpieczeństwa, zapewniając wdrożenie i konsekwentne egzekwowanie odpowiednich zabezpieczeń.


Po identyfikacji danych, które wymagają ochrony, czas przeprowadzić ćwiczenie typu „discovery”. Dzięki temu można dowiedzieć się dokładnie, jakie masz informacje, gdzie się znajdują i kto może mieć do nich dostęp.


To nieznane dane narażają Cię na atak. Nawet najlepiej przemyślana polityka bezpieczeństwa jest nieskuteczna, jeśli nie masz pewności, jakie informacje przechowujesz. Co za tym idzie, jaki poziom kontroli musisz im przypisać.



Zarządzanie danymi, zgodność z przepisami, takimi jak RODO i ITAR UE oraz wykazanie wspomnianej zgodności są niemożliwe. Jeśli nie wiesz, gdzie znajdują się kluczowe dokumenty i kto ma do nich dostęp.


Obejrzyj także:



Przeprowadzenie „discovery” zapewni Ci wgląd w rodzaje danych w Twojej organizacji oraz w sposób ich udostępnienia i używania. Umożliwia to budowanie strategii ochrony wokół typów posiadanych danych. Daje również możliwość obniżenia kosztów przechowywania poprzez pozbycie się zbędnych danych.


Według raportu Vertitas Databerg, organizacje średniej wielkości wydają 435 tys. funtów rocznie na przechowywanie i zarządzanie przestarzałymi danymi.


„Discovery” ułatwia również wykorzystanie danych jako zasobu, umożliwiając uzyskiwanie informacji, które będą stanowić podstawę strategii i usprawniać operacje.


Nikt nie mówi, że to łatwe. Oprócz ustrukturyzowanych danych przechowywanych w lokalnych bazach danych, firmy zwykle mają ogromne ilości nieustrukturyzowanych danych. Są to wiadomości e-mail, pliki PowerPoint, Excel i dokumenty PDF.


Informacje są również przechowywane i udostępniane na coraz to większej liczbie systemówur i ządzeń. W tym na chmurowych narzędziach do współpracy (Microsoft SharePoint). Ponadto witrynach do udostępniania plików (Dropbox i OneDrive) oraz „shadow IT” (niesankcjonowane narzędzia i aplikacje, które nie są przeznaczone do użytku korporacyjnego).


Narzędzia do wykrywania danych zapewniają skuteczny sposób znajdowania zasobów, które można następnie sklasyfikować. Badają repozytoria plików i bazy danych, skanując w poszukiwaniu określonych typów informacji, słów kluczowych, kryteriów i metadanych klasyfikacji. Dzięki temu możesz zobaczyć, jakie są Twoje dane, ich lokalizację i kto ma do nich dostęp.

Według Forrester 44% decydentów technologicznych w Ameryce Północnej i Europie korzysta z narzędzi do wykrywania danych.



Po zdefiniowaniu danych w firmie będziesz mógł kontrolować wartościowe i poufne informacje. Ponadto podejmować trafne decyzje dotyczące tego, jak należy się z nimi obchodzić i kto ma do nich dostęp. Będziesz wtedy gotowy do sklasyfikowania ich zgodnie z ważnością lub wrażliwością, aby zapewnić odpowiedni poziom obrony.

Musisz ustalić:
  • Jakie dane posiadasz, zbierasz i tworzysz
  • Dlaczego je posiadasz
  • Gdzie te dane są zlokalizowane
  • Czy są one wrażliwe
  • Kto używa, współdzieli i uzyskuje do nich dostęp



Krok 3: Klasyfikuj swoje dane

Firmowe zasady bezpieczeństwa, które określają, jak należy postępować z cennymi informacjami, będą nieskuteczne, chyba że będą konsekwentnie i dokładnie egzekwowane.


Organizacje często mają pisemną politykę, która jest dostępna w intranecie firmy i przekazywana nowym pracownikom. W praktyce jednak pracownicy rzadko mają pewność, jak zastosować ją w codziennych czynnościach.


Polityka bezpieczeństwa musi być zrozumiała – a najlepszym sposobem na to jest klasyfikacja danych.


Jest to pierwszy z dwóch etapów, które obejmują aktywne zabezpieczenie danych. Drugi to wdrożenie rozwiązań technologicznych, które zabezpieczą je na dalszych etapach.

Klasyfikacja sprawia, że te rozwiązania są bardziej efektywne.


Klasyfikacja danych to kategoryzacja danych według ich poziomu wrażliwości lub wartości przy użyciu etykiet. Są one dołączane jako oznaczenia wizualne, a także osadzane w metadanych pliku. Kiedy stosuje się klasyfikację w połączeniu z rozwiązaniami zabezpieczającymi, metadane zapewniają dostęp do danych lub ich wykorzystanie jest możliwe wyłącznie zgodnie z regułami odpowiadającymi ich etykiecie.



Możliwe jest całkowite zautomatyzowanie tego procesu, aby nasi klienci uzyskali najlepsze wyniki. W celu wsparcia pomyślnego wdrożenia łączymy pracę analityka z wykorzystaniem zestawów narzędzi oprogramowania. Jest to znane jako klasyfikacja danych zależna od użytkownika.


Przy takim podejściu pracownik jest odpowiedzialny za podjęcie decyzji, jaka etykieta jest odpowiednia. (Przydzielenie jej w trakcie tworzenia, edycji, wysyłania lub zapisywania).



Wgląd użytkownika w kontekst wokół danych prowadzi do dokładniejszych decyzji klasyfikacyjnych niż kiedykolwiek mógłby podjąć komputer.


Zdefiniuj politykę klasyfikacji

Po pierwsze, jasno określ, kto powinien mieć dostęp do każdego rodzaju danych.


Praca wykonana w krokach 1 i 2 przygotuje plik do kategoryzacji.


Następnie zdecyduj, ile chcesz mieć kategorii. Celuj w trzy lub cztery (mniejsza ilość opcji, jest łatwiejsza w obsłudze dla użytkowników). Etykiety wskazujące na dane poufne, wewnętrzne i publiczne to dobry początek.


Ewentualnie można też stworzyć czwartą kategorie związaną z informacjami podlegającymi kontrolom regulacyjnym takim jak RODO UE, (kontrolowane przez ITAR). Albo też ograniczonym przez HIPAA /HITECH.



Wybierz narzędzie do klasyfikacji

Odpowiednia technologia pomoże użytkownikom konsekwentnie stosować schemat klasyfikacji, a także rozszerzy je o ważne metadane. Najbardziej efektywne narzędzia sprawiają, że klasyfikacja jest bezproblemową częścią zwykłego biznesu. To integracja procesu etykietowania ze standardowymi aplikacjami, z których już korzystają pracownicy. Zapewnienie szerokiego zakresu obsługi systemów operacyjnych i typów aplikacji ma kluczowe znaczenie dla zabezpieczenia tej inwestycji.


Wdrażaj

Zacznij od sklasyfikowania swoich „aktywnych” danych, takich jak: e-maile, pliki i dokumenty, które są obecnie tworzone i obsługiwane.


Jeśli wykonałeś kroki 1 i 2, będziesz dokładnie wiedzieć, co i gdzie jest.



Robiąc to, zapewniasz, że wszystkie Twoje najcenniejsze dane będą bezpieczne od tego momentu. Kiedy to zostanie ustalone, zdecyduj, jak oznaczyć istniejące i starsze dane, które są wciąż przechowywane w organizacji. Ten proces zwykle działa dobrze w połączeniu z agentem lub narzędziem wykrywania. Po oznaczeniu danych nadszedł czas, aby zwrócić uwagę na rozwiązania zabezpieczające dla przedsiębiorstw i technologie zarządzania informacjami. Czyli te, które będą je chronić przez pozostałą część podróży.


Krok 4: Chroń swoje dane


Dane, które są klasyfikowane według ich wrażliwości, są otaczane warstwą ochrony.



Następne zadanie polega na wprowadzeniu mechanizmów kontrolnych wyższego rzędu w postaci rozwiązań w zakresie bezpieczeństwa. Ponadto zarządzania informacjami, które zabezpieczy je, gdy zostaną udostępnione lub wykorzystane później.


Klasyfikując dane, dodajesz „magiczny składnik”, który zwiększa skuteczność tych rozwiązań: metadane znajdujące się we właściwościach każdego dokumentu, wiadomości lub pliku).



Osadzenie etykiety jako metadanych wspiera egzekwowanie polityki bezpieczeństwa danych. Dzieje się to poprzez kierowanie działaniami rozwiązań niższego szczebla – wyzwalanie automatycznych reguł odpowiadających nadanej etykiecie.


Oznacza to, że technologia podejmuje dokładniejsze „decyzje”, zmniejszając liczbę fałszywych alarmów i minimalizując ryzyko ujawnienia danych.


Rozwiązania, które stają się bardziej skuteczne w połączeniu z klasyfikacją danych

Data Loss Prevention (DLP)


Chronią firmę przed celową i przypadkową utratą danych. Przykładowo uniemożliwiając pracownikom przesyłanie pliku oznaczonego jako „Poufne” do Dropbox lub uniemożliwiając wysłanie pliku zawierającego numery kart kredytowych „na zewnątrz”.


Email Gateways


Będą automatycznie szyfrować dowolny plik oznaczony jako „Poufne”.


Discovery Tools


Umożliwią pracownikom szybkie lokalizowanie informacji i natychmiastowe zrozumienie, jak można je wykorzystać.


Security Incident And Event Monitoring (SIEM)


Wykrywają one potencjalnie ryzykowne zachowanie użytkownika, zanim nastąpi naruszenie na przykład sygnalizowanie, jeśli ktoś kopiuje poufne dokumenty na urządzenie magazynujące.


Search And Retrieval Tools


Ułatwią znalezienie danych w razie audytu. Pomagają w odnalezienu dokumentów potrzebnych do udowodnienia zgodności ze standardami branżowymi lub spełnienia wymogów organów regulacyjnych.


Access Control Tools


Używają one etykiet klasyfikacyjnych, aby zdecydować, kto może uzyskać dostęp do pliku w obszarze współdzielonym.


Data Governance Tools


Etykieta umożliwia im kontrolowanie, kto uzyskuje dostęp do poufnych informacji. A także kto narusza zasady, zachowując szczegółową ścieżkę audytu wszelkich ryzykownych działań.


Data Retention


Kiedy zaznaczysz to, co jest wartościowe, możesz wyraźniej zobaczyć, co nie jest ważne lub potrzebne.

Efekt integracji klasyfikacji danych z innymi technologiami i zestawami narzędzi zabezpieczających polega na dodaniu warstw zabezpieczeń wokół danych poufnych. Następuje wzmocnienie granic i stworzenie „wewnętrznego sanktuarium”.


Ale ochrona danych nie kończy się na tym. Jak to ze ścianami bywa, musisz je stale sprawdzać i konserwować, aby były nienaruszone.


Krok 5: Mierz i optymalizuj

Jeśli wykonałeś pierwsze cztery kroki (identyfikuj, odkrywaj, klasyfikuj i zabezpiecz), z powodzeniem zabezpieczysz cenne informacje organizacji. Zrobisz to przy wykorzystaniu klasyfikacji danych i dodatkowych narzędzi w celu egzekwowania polityki bezpieczeństwa.


Jednak to nie jest jeszcze „praca wykonana”. Obowiązujące regulacje, zagrożenia oraz sam biznes będą się nieustannie zmieniać, a wymogi organów regulacyjnych i zarządu będą się tylko nasilać. Ciągłe pomiary skuteczności polityki bezpieczeństwa to jedyny sposób na sprawdzenie, czy wprowadzone mechanizmy kontroli są odpowiednie.


Narzędzia do monitorowania i raportowania, śledzą w jaki sposób dane są pozyskiwane, wykorzystywane i klasyfikowane. Zapewniają wgląd w biznes za pomocą ustrukturyzowanych danych audytowych i analiz.


Zwiększa to szanse na szybkie wykrycie naruszenia, pomagając firmie w dotrzymaniu terminów powiadomień wymaganych przez organy regulacyjne. A także w minimalizacji ewentualnych szkód. W przypadku naruszenia szczegółowe informacje z audytu pozwolą Ci wykazać, że podjęto odpowiednie kroki w celu ochrony danych.


Co ważniejsze, monitorowanie w czasie rzeczywistym tego jak ludzie używają narzędzi klasyfikacyjnych pozwoli zidentyfikować każde zachowanie. Chodzi o takie odbiegające od „normalnej aktywności” i ochronić dane przed naruszeniem.

Może to obejmować raportowanie użytkownika, który niepoprawnie oznacza dokumenty, a zatem może stanowić zagrożenie wewnętrzne. Przejrzysta ścieżka audytu działalności umożliwia również pomiar zgodności z przepisami. Ponadto przedstawienie go rządowym i branżowym organom regulacyjnym, z których wiele ma surowe wymogi dotyczące audytu i sprawozdawczości.

Ciągłe monitorowanie tworzy w całej organizacji obraz skuteczności polityki bezpieczeństwa. Obraz, którym można podzielić się z zarządem wraz ze zrozumieniem, w jaki sposób je ulepszyć.


Korzystanie z narzędzia do raportowania w połączeniu z rozwiązaniem do monitorowania incydentów bezpieczeństwa i zdarzeń (SIEM) oraz zestawu narzędzi do analizy behawioralnej to „złoty standard” w zakresie świadomości sytuacyjnej.


Połączone dane umożliwiają analizę sądową zachowań jednostki w celu ustalenia przyczyny, a także podkreślenia wzorców i trendów tych zachowań. Na przykład, jeśli duża liczba osób regularnie zaniża klasyfikację dokumentów. Może to wskazywać na słabość polityki lub na brak zrozumienia jej.


Ten wgląd umożliwi Ci podjęcie świadomych decyzji dotyczących rozwiązania problemu. Stanie się to poprzez zaostrzenie polityki bezpieczeństwa, zapewnienie dalszego szkolenia lub przeprowadzenie procedur dyscyplinarnych.


Integracja funkcji monitorowania i raportowania ze strategią bezpieczeństwa danych to jedyny sposób, w jaki organizacja może w pełni wykorzystać wartość swojej klasyfikacji danych. A także innych rozwiązań zabezpieczających. Mierzenie skuteczności zapewni informacje potrzebne do ewolucji strategii zgodnie z krajobrazem zagrożeń i zmianami biznesowymi.


Źródło: Channel Partners. Buy Data Classification & Secure Messaging Tools










Powiązane artykuły

Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.