Identyfikacja i klasyfikacja

Zapewnienie autoryzowanego dostępu do danych poufnych i wrażliwych wymaga przede wszystkim ich zidentyfikowania i wskazania, gdzie się znajdują. Potrzebne jest też ustalenie, w jakich procesach mogą być wykorzystywane oraz kto, w jakim zakresie i w jakich sytuacjach może mieć do nich dostęp.

Przydatne w tych działaniach będą rozwiązania do klasyfikacji danych. Mogą one stanowić element systemów klasy DLP (Data Loss Prevention) albo funkcjonować jako osobne, niezależne oprogramowanie. Pozwalają na indeksowanie przetwarzanych danych pod kątem ich znaczenia dla bezpieczeństwa firmy. Dzięki temu możliwa jest potem ich automatyczna ochrona. Na przykład system może zablokować dostęp do pliku z tajemnicą przedsiębiorstwa pracownikowi, który nie jest do tego upoważniony. Narzędzia do klasyfikacji treści i tagowania zawartości wchodzą też w skład systemów zarządzania elektronicznym obiegiem dokumentów.

Dokładna klasyfikacja przetwarzanych danych zwiększa trafność podejmowanych przez systemy informatyczne decyzji w zakresie ochrony. Pozwala na udostępnianie poszczególnych kategorii danych tylko właściwym, uprawnionym użytkownikom. Oznacza to w konsekwencji większą skuteczność ochrony ważnych dla przedsiębiorstwa zasobów informacji. Pomocna, szczególnie w dużych firmach, może okazać się automatyzacja procesów klasyfikacji czy etykietowania danych. Coraz częściej na rynku dostępne są rozwiązania korzystające z algorytmów sztucznej inteligencji.

Metainformacje to dodatkowe dane opisujące posiadane przez firmy informacje, ich strukturę, klasyfikację, umiejscowienie i wzajemne relacje. Zarządzanie nimi stanowi ważny, chociaż nie zawsze doceniany aspekt systemu bezpieczeństwa. To może być okazja dla integratorów na rozwój biznesu w obszarach mniej jeszcze obecnie obleganych, ale zyskujących coraz bardziej na znaczeniu w miarę rozrastania się cyfrowych zasobów danych i informacji.

Grupy i role

Swoistej klasyfikacji wymagają również użytkownicy systemów, w których przetwarzane są dane. Chodzi o to, aby osoby korzystające z nich odpowiednio podzielić na grupy o określonych prawach dostępu do poszczególnych rodzajów danych.

Warunkiem skutecznego przeprowadzenia takiego podziału jest przede wszystkim odpowiednio wykonana, jasna, precyzyjna klasyfikacja przetwarzanych danych. Żeby wiedzieć komu i jaki dostęp przydzielić, trzeba najpierw wiedzieć jakimi rodzajami danych się dysponuje. Brak właściwego oznaczenia zasobów informacyjnych może spowodować, że korzystające z nich osoby nie będą miały świadomości ich znaczenia dla firmy, a system kontroli dostępu pozwoli na korzystanie z nich przez nieuprawnionych użytkowników.

Określenie praw dostępu nie może ograniczać się tylko do przydzielenia pracowników do poszczególnych grup użytkowników. Trzeba również wskazać w jakiej roli dana osoba może korzystać z jakich zbiorów danych. W niektórych sytuacjach ten sam pracownik może występować na przykład w roli administratora, a w innych w roli analityka. Zanim zostaną przydzielone dostępy, trzeba dokładnie zdefiniować i przypisać każdemu stosowne role w jakich będzie miał prawo przetwarzać określone dane.

Zdaniem integratora

Sławomir Słomiński, specjalista ds. rozwiązań serwerowych, AT Computers Sławomir Słomiński, specjalista ds. rozwiązań serwerowych, AT Computers  

Aby oprócz bezpieczeństwa zapewnić równocześnie efektywną pracę z danymi, potrzebne jest kompleksowe podejście do ochrony informacji. Wymaga to przeanalizowania sytuacji zarówno z perspektywy technicznej, jak i prawnej. Dobierając środki techniczne służące zabezpieczeniu danych nie można zapomnieć o żadnym etapie obiegu informacji – system jest tak bezpieczny, jak jego najsłabsze ogniwo. Najbardziej zaawansowane mechanizmy zastosowane tylko w jednym miejscu systemu informatycznego nie pomogą, jeśli atak nastąpi na część nie podlegającą ochronie. Dodatkowo należy zwrócić uwagę na kwestie zgodności praktyki informatycznej z przyjętymi u klienta regułami polityki bezpieczeństwa informacji, które oczywiście muszą być zgodne z obowiązującym prawem krajowym i międzynarodowym. Ostatnim, ale nie mniej ważnym elementem jest uwzględnienie czynnika ludzkiego. Wiele głośnych incydentów wycieku danych wynikało z nieznajomości zagrożeń przez użytkowników i pracowników, którym dane były powierzone.