Jakie zarządzanie, taka skuteczność ochrony

Dbając o każdy aspekt ochrony, nie można zapominać o skutecznej kontroli nad kluczami. Oprogramowanie do szyfrowania danych zapewnia funkcje zarządzania kluczami, które obejmują ich tworzenie, dystrybucję, przechowywanie i kasowanie oraz sporządzanie kopii zapasowych.

Rozwiązanie do szyfrowania powinno umożliwiać stworzenie polityki dotyczącej tego właśnie rodzaju ochrony oraz wymuszać jej egzekwowanie. Jej reguły określają jak i kiedy dane mają być szyfrowane. Przykładowo, pracownik może próbować zapisać poufny plik na wymiennym dysku USB, aby użyć go do pracy w domu. W takim wypadku oprogramowanie szyfrujące – wysyłając mu ostrzeżenie, że jego działanie narusza politykę bezpieczeństwa danych – zablokuje kopiowanie pliku do momentu jego zaszyfrowania. Zautomatyzowane egzekwowanie reguł polityki szyfrowania ułatwi przestrzeganie zasad bezpieczeństwa danych.

Nierzadko działy IT wciąż muszą zmagać się z odmiennymi, wdrożonymi na różnych etapach rozwoju firmy mechanizmami szyfrowania. Przykładowo, korporacja może przejąć przedsiębiorstwo, które używa własnych technik szyfrowania, albo jakiś dział wykorzystuje szyfrowanie natywne dla produktów Apple i Microsoft, czyli FileVault w systemie macOSlub BitLocker w systemie Windows.

Właśnie dlatego na rynku są oferowane rozwiązania, które umożliwiają zarządzanie wieloma sposobami szyfrowania danych. Zunifikowana konsola może zapewniać także wgląd we wszystkie urządzenia końcowe, w tym rejestrować użycie szyfrowania na danym sprzęcie. Warto przypomnieć: w przypadku zgubienia lub kradzieży laptopa taki raport pomoże uniknąć kar za niezgodność z przepisami.

Do czego służą rozwiązania DLP?

Rynek rozwiązań do ochrony przed wyciekiem danych ma już swoje lata. Produkty DLP ewoluowały, rósł też obszar ich zastosowania, między innymi o usługi zarządzane, środowisko chmury oraz zaawansowaną ochronę przed zagrożeniami. W przeszłości wydawało się, że do zdiagnozowania głównego problemu bezpieczeństwa danych wystarczy samo ich monitorowanie. Z biegiem czasu wdrażający DLP zaczęli wymagać większej i bardziej szczegółowej kontroli nad danymi, prostszego interfejsu użytkownika i bardziej praktycznych raportów. Pojawiła się także potrzeba rozszerzenia funkcjonalności DLP – z głównego punktu wyjścia z firmowej sieci, na komputery stacjonarne i mobilne, serwery, repozytoria przechowywanych dokumentów i bazy danych.

Ogólnie rzecz biorąc, rozwiązania DLP to zestaw narzędzi i procesów mających zapobiegać sytuacjom prowadzącym do tego, że poufne dane zostaną utracone, niewłaściwie wykorzystane lub udostępnione przez nieuprawnionych użytkowników. Oprogramowanie DLP klasyfikuje podlegające regulacjom, poufne i krytyczne dane biznesowe oraz identyfikuje naruszenia określonych dla nich reguł polityki – albo wewnętrznych, ustanowionych przez firmę, albo zewnętrznych, wynikających z przepisów, takich jak RODO, HIPAA czy PCI-DSS.

Po zidentyfikowaniu naruszenia polityki ochrony danych rozwiązanie DLP uruchamia działania naprawcze – wysyła alerty, wymusza szyfrowanie albo włącza inne mechanizmy ochronne mające na celu uniemożliwienie użytkownikowi końcowemu przypadkowego lub celowego udostępnienia poufnych informacji. Oprogramowanie i narzędzia zapobiegające utracie danych monitorują i kontrolują zdarzenia na urządzeniach końcowych, filtrują strumienie danych w firmowych sieciach oraz monitorują dane w chmurze, w spoczynku, w ruchu oraz podczas ich użycia. Rozwiązania DLP zapewniają również raportowanie, niezbędne do spełniania wymagań dotyczących zgodności z regulacjami i audytu, identyfikowania słabo chronionych obszarów i anomalii, a także prowadzenia działań w ramach informatyki śledczej oraz reagowania na incydenty.

Zdaniem specjalisty   

Mateusz Piątek, Product Manager, Dagma Bezpieczeństwo IT  

Podejście do ochrony danych przed ich wyciekiem systematycznie się zmienia. Minęło już trochę czasu od wprowadzenia RODO, doszło do kilku incydentów bezpieczeństwa oraz głośnego nałożenia kar finansowych, więc świadomość konieczności zabezpieczania się rośnie. Niestety, większość firm nadal uważa, że skoro nic się na razie nie stało, to znaczy, że nie ma problemu. Zainteresowanie ochroną zaczyna rosnąć dopiero po tym, gdy stanie się coś złego. Groźne incydenty obserwujemy coraz częściej w branży transportowej, finansowej, turystycznej czy projektowej. Jednak rozwiązaniami DLP powinna być zainteresowana każda firma i instytucja, która podpisuje różne umowy, gromadzi dane klientów, pracowników czy partnerów biznesowych. W końcu ryzyko dla każdego jest tak samo poważne.

  
Jakub Andrzejewski, Account Manager, Progress  

Świadomość ryzyka wycieku danych rośnie w firmach, co wynika przede wszystkim z aktualnej sytuacji geopolitycznej oraz regulacji prawnych, obligujących do wprowadzania konkretnych reguł polityki bezpieczeństwa. Szczególnie istotnym aspektem w przypadku klientów z sektora publicznego, bankowego, ubezpieczeń oraz opieki zdrowotnej jest bezpieczny transfer wrażliwych plików. Ich wymiana poprzez e-mail, serwery FTP czy nawet ogólnodostępne serwisy chmurowe wiąże się z ryzykiem wycieku, kradzieży bądź utraty danych, za co regulacje przewidują surowe kary. Rozwiązaniem jest wdrożenie systemu Managed File Transfer (MFT), który poprzez szyfrowanie, autoryzację użytkowników oraz gwarancję dostarczenia zapewnia pełną kontrolę i bezpieczeństwo wymiany danych, zarówno w firmie, jak i na zewnątrz.

  
Grzegorz Nocoń, inżynier systemowy, Sophos  

W kontekście ochrony danych dużą rolę odgrywa świadomość samych użytkowników, ale też proaktywne działanie. Najważniejszym, a zarazem najtrudniejszym krokiem jest zlokalizowanie danych i procesów, które wokół nich zachodzą. Właśnie brak znajomości procesów, którym poddawane są dane oraz niedostateczna kontrola dostępu użytkowników do zasobów, to najczęstsze błędy popełniane podczas wdrażania rozwiązań DLP. Trzeba wziąć pod uwagę wszystkie punkty dostępu do danych, w tym także drukowanie, kopiowanie wrażliwych plików na nośniki USB do repozytorium chmurowego czy dostęp do informacji przez szeroko rozumiane aplikacje. Warto też pamiętać o zapobieganiu nieumyślnym wyciekom danych, na przykład w wyniku rozesłania wiadomości do większej liczby odbiorców lub ich pomyleniu.