Důvěra ve schopnost organizací a veřejné správy ochránit data prudce klesá, lze ji vrátit?

Terry Greer-King , 12. duben 2013 08:00 0 komentářů
Rubriky: Security, Byznys
Důvěra ve schopnost organizací a veřejné správy ochránit data prudce klesá, lze ji vrátit?

"To se nám nestane, protože je to věcí důvěry." Tato proklamace z hitu Billyho Joela z roku 1986 popisuje přístup, který mnoho organizací zvolilo pro otázky ochrany osobních a citlivých dat v posledních pěti letech. Podle informací britského Úřadu informačního komisaře vzrostly počty úniků dat v posledních pěti letech desetinásobně. Důvěra veřejnosti ve schopnost soukromých i vládních organizací chránit osobní informace prudce klesá.

V prosinci 2012 bylo ve Velké Británii na téma důvěry dotazováno na 2 tisíce respondentů z řad široké veřejnosti. 50 procent z nich uvedlo, že jejich důvěra v instituce veřejného sektoru poklesla v důsledku neustálých úniků a ztrát osobních dat. V případě soukromého sektoru stejný postoj indikovalo 44 procent respondentů. Všichni přepokládají, že organizace budou spravovat data odpovědně a s péčí.

Komu je možné věřit?

Ačkoli většina lidí pracuje s informacemi, vlastním datům nevěnují tolik pozornosti. Studie zjistila, že 34 procent zaměstnanců běžně přeposílá pracovní materiály na osobní e-mailové účty, aby mohli pokračovat v práci i mimo kancelář. 40 procent pravidelně kontroluje pracovní e-maily na osobních mobilních telefonech, tabletech nebo noteboocích. 33 procent přenáší firemní dokumenty na nezašifrovaných USB flash médiích. 17 procent pro pracovní účely využívá nezabezpečená cloudová úložiště typu Dropbox.

Navíc 25 procent zaměstnanců sdělilo, že tyto činnosti vykonává navzdory zcela konkrétním zákazům, jež obsahuje firemní politika IT, 23 procent pak tyto aktivity praktikuje bez znalosti interních podnikových pravidel. Ve většině případů zaměstnanci samozřejmě nemají žádný zlý úmysl. Chtějí být jen efektivní a udělat svou práci. Žádná data by se přitom ztratit neměla. Tímto přístupem ale jen zvyšují rizikovost podobných činností. V současném obchodním a regulatorním klimatu si organizace nemohou dovolit tímto způsobem postupovat. Vystavují se riziku poškození dobrého jména, negativních finančních dopadů a samozřejmě i ztráty důvěry.

Jak tedy mohou organizace překonat tuto „nedůvěru“? Co mají dělat, aby mohly důvěřovat svým zaměstnancům, že spravují svěřená data zodpovědně? Jak zajistí, aby se jejich pracovníci vyvarovali jednoduchých lidských chyb typu ztráty telefonu nebo notebooku, případně chybného zadání e-mailové adresy? A jak organizace prokáží svým externím partnerům, že jsou důvěryhodné?

Využít lze dvoustupňové řešení. Nejprve je třeba uživatele průběžně vzdělávat. V reálném čase tak získají povědomí o činnostech, jež vykonávají. Současně musí dojít k posílení bezpečnostní infrastruktury, kterou uživatelé nemohou aktivně nijak ovlivnit. Nejprve je třeba zajistit, aby nedocházelo k únikům dat prostřednictvím e-mailu. Dále je třeba ochránit data bez ohledu na to, na jakém zařízení nebo paměťovém médiu jsou příslušné dokumenty zpracovávány nebo uchovávány.

Zálažitosti e-mailu

Tradiční řešení DLP (Data Loss Prevention) řeší problém ochrany dat v e-mailech jen s omezeným úspěchem. Jejich nastavení trvá obvykle dlouho. Jedná se o týdny intenzivní práce, než se správně klasifikují citlivá data a soubory, navíc je nutná úzká spolupráce se zaměstnanci IT oddělení, kteří musí povolovat anebo blokovat e-maily uživatelů.

Odlišný přístup spočívá v zapojení jednotlivých zaměstnanců do bezpečnostních procesů. Dojde tím ke zvýšení jejich povědomí o náležitém využití e-mailu. Současně se řešení DLP přemění ve skutečně preventivní nástroj, který bude upozorňovat uživatele na e-maily, které mohou způsobit ztrátu dat.

Uveďme si příklad. Zaměstnanec vytvoří e-mail, zadá adresu a klikne na tlačítko „odeslat“. Řešení DLP zanalyzuje tělo e-mailu, obsah příloh i adresu zamýšleného příjemce. Výsledky porovná se sadou předdefinovaných charakteristik, které identifikují citlivá data. Může například jít o klíčová slova obsažená v těle e-mailu, jako jsou termíny: finanční, zpráva, specifikace, důvěrné apod. Prozkoumány jsou i přílohy e-mailu. V případě, že řešení DLP zjistí potenciální možnost úniku citlivých dat, zablokuje instrukci pro odeslání zprávy a uživateli zobrazí informaci o možných rizicích. Následně se jej zeptá, jak si přeje pokračovat.

Uživatel se rozhodne, zdali chce: a) poslat e-mail a jeho přílohy ve stávající podobě, nebo b) upravit tělo zprávy či odstranit podezřelé přílohy. Řešení DLP tedy vytvoří rozhodovací bod a nechá na uživateli, aby posoudil, co a komu chce poslat. Zároveň systém ukládá všechna rozhodnutí do databáze, což následně může posloužit pro účely auditu a analýzy. Tyto kroky zvyšují odpovědnost uživatele a napomáhají při eliminaci potenciálních bezpečnostních hrozeb ještě před vznikem incidentu.

Přístup odepřen

E-maily samozřejmě nejsou jedinou cestu, kudy unikají data. Dokumenty a další soubory se v podstatě nekontrolovaně objevují duplikovaně v e-mailových schránkách telefonů, notebooků, ve webových klientech, v cloudových úložištích nebo na přenosných médiích. Zvyšuje se díky tomu šance, že se nezabezpečené, citlivé dokumenty dostanou mimo kontrolu organizace, což platí zejména ve chvíli, kdy není k dispozici šifrování celého zařízení.

Tradiční zabezpečení dokumentů spočívalo v ochraně heslem. Tato forma není imunní vůči volně dostupným on-line nástrojům, které dokáží heslo tzv. zlomit. Namísto tohoto přístupu je vhodnější metoda silného šifrování kombinovaná s garancí přístupu založenou na uživatelských právech. Dokumenty různých formátů (Excel, Word, PowerPoint a Acrobat) lze tímto způsobem vytvořit a zabezpečit. Zároveň jim budou přidělena různá přístupová práva, která zohlední jednotlivé skupiny uživatelů. Výchozí nastavení zajistí, aby dokumenty mohli číst výhradně autorizovaní zaměstnanci.

Uživatelé tudíž mohou přistupovat výhradně k souborům, k nimž mají příslušná oprávnění. Ta nastaví autor nebo organizace. Například jen zaměstnanci finančního nebo HR útvarů mohou prohlížet a upravovat určité dokumenty, přičemž jejich oprávnění zajistí, že tak učiní pouze na správné aplikaci a samozřejmě pod uživatelským jménem a heslem. Soubory lze samozřejmě sdílet i mimo organizaci. Pro jejich využití jsou sice nastavena jistá omezení, ale ta umožňují i prohlížení v prostředí cloudu, pokud se uživatel řádně autentizuje. Případně lze využít zabezpečeného klienta na osobním počítači nebo jiném zařízení.

Tento dvoustupňový přístup ke správě dat a prevenci ztrát eliminuje většinu běžných cest, kterými mohou data unikat. Ve vztahu k zaměstnancům komunikuje a prosazuje podniková bezpečnostní pravidla. Činí je zodpovědnými za jejich činnosti. Organizace se díky němu stanou důvěryhodnější pro své partnery. Koneckonců, dobrý byznys byl vždy věcí důvěry.

Terry Greer-King

Autor je CEO společnosti Check Point ve Velké Británii.


Komentáře

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Infor Visual 9 dostupný na českém a slovenském trhu

Pavel Houser , 25. duben 2018 12:13

Nová verze je odpovědí na současný nárůst zakázek a potřebu zvýšit výkonnost v malých a středně velk...

Více 0 komentářů

Apple začne splácet irské vládě miliardový daňový nedoplatek

ČTK , 25. duben 2018 10:00

Apple se proti předloňskému rozhodnutí Evropské komise o zaplacení 13 miliard eur odvolal, stejně ja...

Více 0 komentářů

Streamování je poprvé největším zdrojem příjmů hudebního průmyslu

ČTK , 25. duben 2018 09:00

Příjmy hudebního průmyslu se díky streamování začaly zvyšovat po dlouhém období poklesu. ...

Více 0 komentářů

Kalendář

24. 04.

25. 04.
IQRF Summit 2018
25. 04. IT mezi paragrafy 2018
30. 04.

03. 05.
Dell EMC World 2018

Starší zprávičky

V ČR a na Slovensku se prodá přes milion a půl flash disků

Pavel Houser , 25. duben 2018 08:00

Přitom jen naprosté minimum jich je zabezpečených, uvádí Kingston s ohledem na blížící se platnost G...

Více 0 komentářů

Poskytování IT služeb mění podnikání Konica Minolta

Pavel Houser , 24. duben 2018 10:37

Prudký nárůst tržeb v segmentu IT služeb vedl společnost Konica Minolta ke změně přímého prodeje. ...

Více 0 komentářů

Čtvrtletní zisk Googlu výrazně překonal očekávání

ČTK , 24. duben 2018 08:48

Tržby firmy Alphabet se meziročně zvýšily o 26 procent na 31,1 miliardy dolarů....

Více 0 komentářů

EK zkoumá, zda nechá Apple převzít Shazam

ČTK , 24. duben 2018 08:00

Apple by za aplikaci mohl zaplatit asi 400 milionů dolarů....

Více 0 komentářů