Účinnou cestou k naplnění těchto povinností může být monitoring vlastního prostředí. Nejen že podnik získá skutečnou kontrolu nad tím, co se v organizaci děje, ale bude také schopen prokázat případnému bezpečnostnímu auditu nasazení zásadního prvku bezpečnosti.

Přehled je základ

Aby bylo možné předcházet bezpečnostním incidentům a následně na ně účinně reagovat, je důležitá schopnost odhalit únik či narušení integrity citlivých dat včetně osobních údajů. K dosažení tohoto cíle je potřeba znát prostředí, ve kterém se data pohybují. Mohlo by se zdát, že pro udržení kontroly stačí jen koncentrovat základní informace z IT infrastruktury (logy) na jedno místo a hledat v nich podezřelé aktivity. Útočníci dnes však již používají stále sofistikovanější metody, jak proniknout do organizací a jejich informačních systémů. Soulad s novým nařízením se hodnotí na základě schopnosti organizace účinně identifikovat a minimalizovat riziko narušení ochrany osobních údajů, aby se tento cíl zdařil, je v prostředí podniku nutné zajistit pokročilou úroveň bezpečnosti.

K optimalizaci bezpečnostních opatření je nutno znát odpověď na následující otázky:

• Jsou všechny systémy a aplikace aktuální?
• Jaká slabá místa má podniková IT infrastruktura? Kde je zranitelná?
• Je to relevantní pro daný provoz?
• Jaká je současná konfigurace síťové infrastruktury?
• Kam proudí data a co je jejich obsahem?

Jediným účinným způsobem, jak si na tyto otázky odpovědět, je kontinuální sběr veškerých relevantních informací, nejen z tradičních zdrojů bezpečnostních zařízení, ale také informace o aktuálním stavu infrastruktury, zařízeních, aplikacích, nalezených zranitelnostech, chování uživatelů a hloubkové inspekci síťového provozu. Všechny výše zmíněné prvky mohou znamenat potenciální hrozbu pro bezpečnost osobních údajů a mohou tak vystavit organizaci hrozbě postihu.

Včasná detekce umožní rychlou reakci

Čím více detailních informací shromáždíme na jednom místě, tím účinněji snížíme počet „mezer“ v bezpečnostních opatřeních a zúžíme útočníkovi možnost pro nepozorovaný průnik. Naopak zvýšíme přesnost odhalení těchto pokusů už v jejich rané fázi a umožníme rychlou reakci na nastalou situaci.

Komplexní řešení bezpečnostního monitoringu je tak velmi účinný nástroj pro práci s těmito informacemi a jejich následnou analýzu. Zejména díky schopnosti vzít v úvahu široké spektrum dat z různých zdrojů a vyhodnotit je v kontextu, je možné nejen odhalit událost ohrožující citlivá data, ale také ji náležitě kategorizovat a pojmenovat. Analytik je pak schopen velmi rychle zodpovědět základní otázky vztahující se k bezpečnostnímu incidentu a zajistit včasnou identifikaci rizika.

Hloubková identifikace příčiny i rozsahu

V momentě, kdy došlo k závažnému incidentu podle nařízení, je také nezbytné nejen odpovědět na základní otázky o proběhlé události, ale určit i rozsah škod. Nařízení totiž ukládá ohlašovací povinnost nejen vůči dozorovému orgánu, ale v případě narušení bezpečnosti zpracování kritických dat nebo dat s potenciálně závažným dopadem na subjekty údajů také vůči těmto subjektům. V takové situaci je zapotřebí mít nástroj pro forenzní analýzu, který je schopen přesně dohledat, jaká data unikla nebo byla napadena, a poskytnout tak správci či zpracovateli možnost získat kompletní seznam subjektů, kterým je třeba incident ohlásit.

Řešení pro forenzní analýzu je schopno monitorovat, ukládat a indexovat veškerou síťovou komunikaci a v případě analýzy dodat relevantní data, zrekonstruovat e-maily, dokumenty, chaty a jiné zdroje, které lze prohledávat.

Díky kompletní viditelnosti veškeré komunikace a pokročilým analytickým nástrojům a technikám je možné zdůraznit jinak snadno přehlédnutelné informace nebo nabídnout komplexní pohled na komunikační vazby mezi různými entitami.

Shrnutí

Základem pro udržení kontroly nad prostředím organizace je platforma bezpečnostního monitoringu pokrývající celý cyklus případného bezpečnostního incidentu od prevence, přes detekci až k následné reakci. Jak bylo zmíněno, zajištění souladu s nařízením je založeno na práci s riziky a každé řešení, které toto dosáhne, je vítaným pomocníkem. Nasazení těchto typů řešení včetně jejich plného uvedení do života zabere jistý čas, a je tedy záhodno začít co nejdříve a nemrhat drahocenným časem implementační lhůty.

Ondřej Burián, IBM Konzultant pro bezpečnostní monitoring

Daniel Joksch, IBM Konzultant pro ochranu dat a kybernetickou bezpečnost