System4U
facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Dialog 3000Skylla
IT SYSTEMS 11/2010 , IT Security

Je data loss prevention opravdová prevence?



Pokud zvažujete nasazení data loss prevention (DLP) řešení, přečtěte si následující článek. Ušetříte si spoustu času, nervů a zbytečných nákladů. Dozvíte se, jaké DLP vybrat a jak je to se skutečnou prevencí při ochraně citlivých firemních informací.


DLP software řeší problematiku úniku dat kvůli pochybení lidského faktoru. Zajišťuje, aby k citlivým informacím měli přístup pouze legitimní uživatelé a aby tito uživatelé využívali svěřená data pouze požadovaným – společnosti prospěšným – způsobem.
Pokud zaměstnanec, ať už omylem, nebo úmyslně, zpřístupní citlivá data třetím osobám (například ztrátou přenosného disku, chybou při zpracování nebo prodejem konkurenci), dostává tím svoji společnost do velkého rizika, které pro ni může mít likvidační následky: ztráta důvěry zákazníků, jejich odklon ke konkurenci, pokuty od úřadů za porušení ochrany osobních údajů a další nepříjemnosti.
Společnost Ponemon Institute ve své studii potvrzuje, že v osmdesáti procentech incidentů spojených se ztrátou dat hrají podstatnou roli právě zaměstnanci postižené společnosti. Mnohé společnosti se však zaměřují pouze na zbylých dvacet procent a opevňují digitální hradby své společnosti stále novějšími a nákladnějšími antiviry a firewally. Tyto společnosti neberou v úvahu skutečné rozložení zdrojů bezpečnostních incidentů a zadělávají si tak na problémy.

Síťové řešení, nebo endpoint DLP?

Běžně rozlišujeme dva druhy DLP řešení. Síťová DLP pomáhá zákazníkovi chránit společnost na úrovni perimetru – dokáží zabránit pokusům o únik citlivých dat na úrovni vnější komunikace, tedy hlídají, která data opouštějí firmu. Host-based DLP (zvané často endpoint DLP) naproti tomu brání únikům dat z jednotlivých pracovních stanic společnosti.
Výhodou endpoint DLP systémů je například kontrola fyzických zařízení připojovaných k pracovním stanicím, řízení možností přístupu k připojeným tiskárnám a další funkce.

Chraňte data v klidu i za pochodu

DLP systémy zpravidla chrání data od počátku (jejich vytvoření) až do jejich případného smazání. Společnost si může být jistá, že data jsou chráněna jak v klidu, kdy leží uložena na disku, tak „v pohybu“, například při přenosu na flash disku. Zvláštní kapitolu tvoří ochrana dat při používání. Zde se předpokládá přístup pouze legitimních osob, a dohlíží se tedy na způsob, jakým s daty nakládají – kam kopírují, co otevírají a jak editují.

DLP není samo o sobě spásou

Samotné nasazení DLP je již na první pohled samozřejmě velkým plusem pro společnost. Avšak stejně jako „používat antivirus“ neznamená automaticky „být chráněn proti hrozbám zvenčí“, tak ani „nasadit DLP“ ještě neznamená „eliminovat vnitřní hrozby a selhání lidského faktoru“.
Zaměstnanec, který si důležitá data zapamatuje, opíše na papír nebo zaznamená fotoaparátem, může způsobit společnosti škodu, aniž by byl spatřen. Toto si neuvědomují některé ze společností, které DLP nasadily. DLP má, stejně jako každá technologie, své limity.
Pokud se nyní vrátíme k otázce v nadpisu článku, můžeme si na ni odpovědět: DLP je prevencí úniku dat, často však nikoliv prevencí výskytu případů, které by k úniku vést mohly. Na tento fakt je třeba myslet při výběru softwaru pro ochranu před interními hrozbami.

DLP je jako hasicí přístroj

Co se děje před tím, než dojde k úniku dat nebo pokusu o něj? Odpověď hledejme v hlavách zaměstnanců – v jejich náladách a úmyslech.
DLP samo o sobě funguje jako hasicí přístroj. Zasahuje, až když je požár na střeše. Chrání majetek a minimalizuje škody, které oheň napáchá. V našem přirovnání tedy většinou zabrání zaměstnanci ohrozit bezpečnost firemních dat. Co ale bylo skutečnou příčinou požáru – tedy pomyslnou sirkou – a proč zaměstnanec ohrozil společnost, to už DLP nezajímá. Při takovém jednání se ale může stát, že někde jinde, nestřežen, škrtne zaměstnanec zápalkou znovu.
Při prevenci možného úniku dat se vždy zajímejte o to, co je skutečnou příčinou incidentu. Může to být nespokojený zaměstnanec, nabídka lepší práce od konkurence, akutní potřeba peněz, případně nepozornost způsobená ztrátou motivace. Pokud se nepoučíte jednou, podruhé vás to může zaskočit nepřipravené.

Jak tedy na prevenci?

Prevence je proces, který by měl předcházet samotnému využití DLP. DLP je již poslední hradba před tím, než je společnost poškozena. Z hlediska organizačního má smysl, aby každý zaměstnanec měl přístup pouze k informacím, které potřebuje ke své práci. Administrativně je vhodné chránit se před selháním zaměstnanců dohodou o důvěrnosti (NDA – non-disclosure agreement) a směrnicemi definujícími povinnosti personálu v oblasti práce s citlivými daty.
Důležitou roli hraje osvěta. Je třeba zaměstnancům důrazně vysvětlit, že ochrana citlivých dat společnosti je také v jejich zájmu: pokud společnost přijde vlivem úniku dat o některé zakázky, může to znamenat snížení platů nebo propuštění části nepotřebných zaměstnanců. Samozřejmě je vhodné upřednostňovat stravitelnou formu plnou příkladů a živých ukázek rizikových situací než nudné mnohahodinové bloky plné zákazů, výstrah a hrozeb.

Pohlídejte si zaměstnance – víte, k čemu se chystají?

Ani veškeré snahy zaměstnavatele se však nemusí setkat s pochopením některých zaměstnanců. Je proto vhodné sledovat, co dělají a zda při tom nevzniká riziko pro citlivé firemní informace. Pro sledování a kontrolu aktivity zaměstnanců samozřejmě existuje specializovaný software. Jeho popis a rozbor by vydal na samostatný článek, je však vhodné zmínit se o něm i zde. Právě díky sledování zaměstnanců můžete odhalit příčiny bezpečnostních incidentů. Často o dost dříve, než k ohrožení dat vůbec dojde.

Quo vadis, DLP?

Ponecháme-li stranou zatím sporné vize cloud computingu, budoucnost a expanzi DLP lze očekávat ve dvou reálných směrech. Prvním z nich je otázka inteligence softwaru. Stejně jako rozsáhlá DLP řešení existují robustní firewally, které ale nikdo nepoužívá: jejich nasazení obnáší trávit týdny nastavováním složitých pravidel. A i potom vyžadují velké množství pozornosti v běžném chodu. Současný trend ukazuje, že řešení, které dokáže sejmout z uživatelů správců velkou míru méně podstatného rozhodování, je mezi zákazníky vítáno. Ušetří totiž čas všem zúčastněným – správcům, managementu i samotným zaměstnancům.
Druhým směrem je snaha chápat ochranu citlivých informací komplexněji. Tedy nejen zavádět stále nové funkce (například ochrana databází, mobilních zařízení – smartphonů apod.), ale také vnímat více souvislostí. Pro společnost je důležité nejenom vědět, kdo je za možný únik dat zodpovědný, ale také proč k němu došlo a co lze udělat pro to, aby k podobné situaci příště nedošlo.

Josef Halíček
Autor působí ve společnosti Cosect.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Zlomte srdce hackerům

Sophos - Break a Hacker's HeartSpolečnost Sophos, dodavatel řešení kybernetického zabezpečení nové generace, připravila sérii odborných interaktivních webinářů, na kterých ve dnech 21. - 24. června nahlédnete za oponu simulovaného lovu hrozeb.