Walka o najsłabsze ogniwo
Presja utrzymania zgodności z regulacjami, ochrona marki oraz własności intelektualnej skłaniają firmy do wdrażania rozwiązań do szyfrowania danych i ochrony przed ich wyciekiem.
Narzędzia DLP są bardzo czułe i mogą nawet sparaliżować pracę firmy.
Jak wdrażać ochronę przed wyciekiem?
Niepowodzenia związane z DLP często polegają na tworzeniu zbyt skomplikowanych wstępnych planów wdrażania, w których próbuje się od razu rozwiązać zbyt wiele problemów ochrony danych. Dlatego lepszym podejściem jest wyznaczenie celów, które są łatwe do osiągnięcia i mierzalne. DLP powinno być wdrażane w ramach projektu, w którym początkowo zawęża się obszar danych do ochrony, skupiając się na określonym ich rodzaju. Można też zacząć od uzyskania wglądu w dane, gdy głównym celem będzie wykrywanie i automatyczna klasyfikacja danych wrażliwych w celu kontrolowania ruchu wychodzącego.
Warto podkreślić, że narzędzia DLP są bardzo czułe i mogą nawet sparaliżować pracę firmy. Dlatego przede wszystkim nie należy od razu wszystkiego blokować i powinno się je wdrażać krok po kroku.
– Także decyzji o zakupie nie należy podejmować na podstawie niezliczonej liczby funkcji, które mają rozwiązania tej klasy. Trzeba na chłodno rozważyć, co dokładnie chcemy uzyskać, odpowiadając sobie na kilka pytań. Czy dane rozwiązanie zabezpieczy określony obszar biznesowy? Czy będziemy potrafili samodzielnie nim zarządzać? Takie podejście pozwoli uniknąć inwestycji w rozwiązanie będące problematyczne we wdrażaniu i konfigurowaniu – mówi Mateusz Piątek, Product Manager w Dagma Bezpieczeństwo IT.
Tak jak różnią się od siebie rodzaje danych, które mają być chronione przez DLP (w ruchu, w spoczynku, w użyciu), tak różne muszą być działania wyzwalane w odpowiedzi na określone zdarzenie. Dobrą praktyką w diagnozowaniu zagrożeń w danym środowisku jest rozpoczęcie tworzenia ochrony od monitorowania tego środowiska. Wiele rozwiązań DLP zapewnia prowadzoną w czasie rzeczywistym lub prawie rzeczywistym kontrolę zdarzeń naruszających reguły polityki bezpieczeństwa. Na podstawie raportów będzie można następnie wdrażać mechanizmy zapobiegające naruszeniom.
– Nie ma jednoznacznej odpowiedzi na pytanie, jakie kanały potencjalnego wycieku powinny być uwzględniane przede wszystkim. Jeśli zablokujemy pendrive’a, użytkownik wyśle plik przez chmurę. Odpowiedź powinna zatem bazować na audycie, przy czym w pierwszej kolejności sprawdzamy, kto i jakie dane wysyła oraz którędy. Na tej podstawie wdrażamy odpowiednie zabezpieczenia, przy zachowaniu komfortu pracy oraz w trybie, który będzie edukował pracownika – tłumaczy Mateusz Piątek.
Zdaniem integratora
Systemy DLP pomagają sprostać trzem podstawowym wyzwaniom, przed którymi staje właściwie każde przedsiębiorstwo, czyli ochronie danych osobowych, ochronie własności intelektualnej oraz monitorowaniu ruchu danych. Doświadczenie pokazuje, że większe firmy preferują bardziej restrykcyjne podejście do przepływu informacji. Używają jasno zdefiniowanych reguł bezpieczeństwa, które obowiązują pracowników. Takie ograniczenie swobody nie oznacza jednak, że znika podatność na incydenty związane z bezpieczeństwem danych. Oczywiście, do ich wycieków dochodzi także w małych przedsiębiorstwach. Ze względu na znacznie mniej skomplikowaną strukturę organizacyjną tych firm łatwiej wychwycić u nich pewne niewłaściwe mechanizmy. Z drugiej strony, niewielkim podmiotom często brak odpowiednich narzędzi oraz wiedzy, jak radzić sobie w tego typu sytuacjach. Przed wybraniem właściwego rozwiązania DLP należy więc przede wszystkim wziąć pod uwagę indywidualne wymagania – w tym sieciowe – oraz rodzaje danych, które mają być chronione.
Ostatecznie nie ma jednego, powtarzalnego sposobu na opracowanie reguł polityki wdrażania DLP, którym będą podlegać poufne dane w różnych firmach. Punktem wyjścia może być wewnętrzna ocena ryzyka dla dozwolonych, różnych rodzajów komunikacji i procesów – zarówno elektronicznych, jak i manualnych (drukarki i dokumenty papierowe). Ponieważ strategia ochrony przed wyciekiem danych jest zwykle dostosowywana do kultury organizacyjnej danej firmy, to – definiując polityki DLP – wdrażający powinni współpracować z osobami zarządzającymi działami biznesowymi. Dzięki temu pracownicy będą świadomi obowiązujących zasad i możliwych skutków ich naruszenia.
- Jakie systemy operacyjne mają być obsługiwane?
- Jakie opcje wdrażania są oferowane? Czy rozwiązanie umożliwia świadczenie usług zarządzanych?
- Czy ochrona ma się skupiać głównie na zagrożeniach wewnętrznych czy zewnętrznych?
- Czy trzeba wprowadzić kontrolę i klasyfikację informacji bazującą na treści lub kontekście?
- Czy użytkownicy mają samodzielnie klasyfikować dokumenty?
- Czy chronione mają być dane ustrukturyzowane lub nieustrukturyzowane?
- Zgodności z jakimi regulacjami ma dotyczyć ochrona?
- Z jakimi innymi rozwiązaniami ma być integrowane DLP?
- Jak szybko trzeba wdrożyć ochronę DLP?
- Czy będzie potrzeba zatrudnienia dodatkowych pracowników do zarządzania DLP?
Podobne artykuły
Dane torują drogę do innowacji
W lutowej edycji konferencji Technology Live! wzięli udział czterej dostawcy: Keepit, Hammerspace, Nimbus Data oraz Own Company. Przedstawili kilka interesujących nowinek związanych z ochroną oraz przetwarzaniem danych.
NIS2 jako szansa na biznes
W październiku tego roku upływa termin przyjęcia przez wszystkie państwa członkowskie Unii Europejskiej dyrektywy NIS2. Czy dostawcy mogą liczyć na wzrost sprzedaży usług i rozwiązań cybersecurity?
Channel Manager staje się zaufanym doradcą partnera
Obecnie rolą Channel Managera jest zapewnienie partnerom kompleksowego wsparcia nie tylko w zakresie portfolio produktowego, ale też w prowadzeniu działalności biznesowej. Przy czym kluczowym elementem zarządzania kanałem sprzedaży jest efektywna komunikacja z uczestnikami rynku.