Jak chronić dane firmy przed utratą i wyciekiem

29-07-2016, 15:30

Firmy, niezależnie od wielkości, są coraz bardziej narażone na utratę lub wyciek cennych danych firmowych. Dlatego należy wprowadzać procedury, które ograniczą ryzyko utraty kontroli nad danymi, łącząc rozsądek i rozwiązania technologiczne. Technologie zabezpieczenia poufnych danych są dziś dostępne dla każdej firmy.

Przeczytaj, jeśli:

➔      Twoja firma przechowuje dane w formie elektronicznej

➔      wymieniacie poufne dane firmowe przez internet, np. jako załączniki do e-maili

➔      kilku pracowników pracuje na jednym dokumencie

 

Dane zabezpieczone przed utratą - kopie zapasowe

Małe i średnie firmy uważają tworzenie kopii zapasowych (backup) danych za podstawową metodę ich zabezpieczenia. Mają rację. Przywrócenie ostatniej kopii zapasowej utraconych plików pozwala kontynuować pracę bez większych kosztów – pod warunkiem, że backup robiony jest na bieżąco. Może pomóc w sytuacjach, kiedy:

  • komputer firmowy zostanie zniszczony lub zgubiony;
  • pracownik, celowo lub przez niedopatrzenie, zmodyfikuje zawartość ważnych plików;
  • nielojalny pracownik celowo wykradnie lub usunie dane;
  • dane na komputerze firmowym zostaną zaszyfrowane przez złośliwe oprogramowanie (tzw. ransomware), a przestępcy będą żądać okupu za ich przywrócenie.

 

Ogromna ilość naruszeń to nie ataki z zewnątrz, a działania wewnątrz firmy – błędy, niedociągnięcia czy nawet celowe działania. Pracownik – źle przygotowany lub po prostu nieuważny - może się okazać większym zagrożeniem! Warto do zagadnień bezpieczeństwa podchodzić kompleksowo. Właściwe narzędzia i oprogramowanie powinno być wsparte odpowiednio opracowanymi procedurami bezpieczeństwa - tłumaczy Bartłomiej Machnik, Windows Server Product Manager.

 

Trzeba wziąć pod uwagę także wyniki badań firmy Biscom, z których wynika, że ponad 25% pracowników zabiera ze sobą dane, opuszczając firmę. Są do tego bardziej skłonni, jeśli to firma rozstanie się z nimi. 85% takich pracowników zabiera własne dokumenty, zaś 25% - dane, które nie są ich dziełem. 95% uważa, że mogli zabrać dane, bo w firmie nie ma polityki bezpieczeństwa lub jej zasady są przez pracowników ignorowane (badania własne firmy Biscom, grudzień 2015).

 

Zasady efektywnego tworzenia kopii zapasowych:

  • twórz kopie zapasowe odpowiednio często - najlepiej automatycznie. Umożliwią Ci to specjalistyczne programy pracujące w tle (np. Data Protection Manager Microsoft, usługi chmury publicznej, np. Azure Backup, programy darmowe oraz komercyjne programy specjalistyczne);
  • kopie zapasowe najważniejszych danych przechowuj w co najmniej dwóch miejscach, w tym przynajmniej jedną - poza firmą (w chmurze). Zabezpieczy Cię to przed sytuacją krytyczną, czyli awarią miejsca przechowywania kopii zapasowych;
  • ustal z działem IT zasady konfigurowania kopii zapasowych, np. ile czasu ma być przechowywana kopia danego pliku.

 

Tworzenie kopii zapasowych zabezpieczy Cię przed utratą danych. Pamiętaj jednocześnie, by chronić dane także przed wyciekiem. Czy wiesz, że aż 69% osób odpowiedzialnych za bezpieczeństwo informatyczne w firmach właśnie tego boi się najbardziej (badanie Microsoft oraz EY Security Trends. Bezpieczeństwo w cyfrowej erze)?

 

Bezpieczeństwo informacji w e-mailu

Informatycy w firmach czy urzędach uważają, że największe zagrożenie dla danych firmowych stanowi korzystanie z e-maila (tak wynika m.in. z badań firmy Fortinet). Pracownikom zdarzają się niedopatrzenia lub nieuwaga, która może doprowadzić do niekontrolowanego wycieku ważnych danych poza firmę. Współczesna kryptografia (nauka o szyfrach) daje kilka możliwości zabezpieczenia poufnych danych wysyłanych przez e-mail, np.::

  • szyfrowanie danych dla konkretnych odbiorców (tak że tylko oni mogą je odczytać i nikt inny);
  • podpisywanie danych (podpis elektroniczny) - odbiorcy mogą weryfikować, że dokument w tej postaci rzeczywiście pochodzi od nadawcy i nie został “po drodze” zmodyfikowany w żaden sposób.

 

Szyfrowanie e-maili wymaga stworzenia tzw. kluczy, czyli odpowiednich plików, które potrzebne są zarówno do zaszyfrowania (“zamknięcia”) wiadomości, jak i ich odczytania (“otwarcia”). Stworzenie takich kluczy i przeszkolenie pracowników to łatwe zadanie dla pracowników IT.

Klucze muszą mieć więc zarówno nadawca, jak i odbiorca. Co więcej, muszą korzystać z tego samego narzędzia szyfrującego. Do wyboru jest kilka narzędzi, m.in.:

  • ogólnie dostępny, darmowy program PGP (ang. Pretty Good Privacy),
  • rozwiązanie S/MIME dostępne w wielu programach pocztowych (np. Outlook),
  • łatwe do wdrożenia i obsługiwania rozwiązania komercyjne,
  • opcja szyfrowania wbudowana w system operacyjny, np. CMS (ang. Cryptographic Message Syntax) w obrębie Windows 10.

 

Platformy wymiany danych

Szyfrowanie, choć nietrudne, może okazać się uciążliwe, szczególnie dla pracowników “nietechnicznych”. Dlatego np. do bezpiecznej pracy na jednym dokumencie warto rozważyć rezygnację z e-maila na rzecz platformy wymiany danych - np.  OneDrive lub OneDrive dla Firm czy Google Drive (zarządzają nimi dwie największe firmy informatyczne, utrzymujące standardy bezpieczeństwa na możliwie najwyższym poziomie). W platformach takich łatwo umieszczać pliki, korzystać z nich za pomocą znanych edytorów  oraz określać, komu udostępniony jest dokument (wskazujemy adres e-mail osoby, która może ten plik zobaczyć i zmieniać).

Jeśli zdecydujesz się na pracę w ramach takiej platformy, jasno określ i zapisz w polityce bezpieczeństwa zasady udostępniania plików - przy plikach do użytku wewnętrznego (firmowego) korzystamy z opcji dawania dostępu konkretnej osobie, zamiast opcji podawania linku do pliku. Taki link może, często przypadkiem, trafić w niepowołane ręce i dać nieuprawnionej osobie łatwy wgląd do ważnych danych.

 

Niepowołany odbiorca?

Wysyłając komuś załącznik, musisz ufać, że nie zostanie on rozpowszechniony dalej bez Twojej zgody czy wiedzy. Nie jest to komfortowa sytuacja, a jeszcze gorzej jest, gdy wiadomość z ważnym załącznikiem trafi do niewłaściwego odbiorcy. Chmurowe pakiety biurowe (np. Office365 czy poczta oparta o rozwiązania Google) mają furtkę – jeśli chwilę po wysłaniu nadawca spostrzeże, że wysłała wiadomość do niewłaściwej osoby, może ją wycofać. RMS (ang. Rights Management Server), które umożliwia zaawansowane śledzenie dokumentów i rozwiązuje problem załączników. Pozwala ograniczyć grono uprawnionych odbiorców oraz umożliwić śledzenie wiadomości. (więcej o funkcji RMS przeczytasz w Niezbędniku DI / PDF)

 

Bezpieczne korzystanie z komunikatorów

Komunikatory pozwalają na szybką i bezpośrednią wymianę informacji, np. wideokonferencje między pracownikami czy z klientami to spora oszczędność czasu. Można sprawdzić, czy ktoś jest przy biurku czy też nawiązywać połączenia głosowe (korzystać jak z telefonu), a odpowiednie kamery pozwalają na efektywne połączenia konferencyjne.

Weź jednak po uwagę, że pracownicy korzystają z komunikatorów do przesyłania wszystkiego - od plotek firmowych, po krytyczne z punktu widzenia firmy raporty. Wiedzą o tym też oszuści, którzy mogą podsłuchiwać wymieniane informacje. Dlatego przestrzegaj kilku zasad:

  • wybierając komunikator do pracy w firmie, sprawdź, czy jest to rozwiązanie biznesowe, nie konsumenckie – komunikatory biznesowe mają szereg zabezpieczeń, w tym funkcję szyfrowania, co chroni m.in. przed wyciekiem danych;
  • wymagaj od wszystkich w firmie stosowania jednego komunikatora;
  • jasno określ, co może, a co nie może być przesyłane za pomocą komunikatorów i zapisz to w polityce bezpieczeństwa firmy.

 

Uwaga! Jeśli pozwalasz pracownikom instalować na komputerach firmowych także komunikatory konsumenckie, naucz ich kilku zasad bezpieczeństwa:

  • komunikator nie służy do przesyłania loginów i haseł;
  • unikamy korzystania z kamerki;
  • przyjmujemy połączenia głosowe tylko od znanych sobie osób;
  • po zakończeniu pracy zamykamy komunikator.

 

Artykuł pochodzi z pierwszej edycji Niezbędnika DI - bezpłatnego magazynu, w którym znajdziesz gotowe odpowiedzi i łatwe do wdrożenia rozwiązania zwiększające bezpieczeństwo Twojej firmy w Internecie. Poradnik opracowali doświadczeni redaktorzy Dziennika Internautów we współpracy z ekspertami z firmy Microsoft oraz licznym gronem ekspertów od bezpieczeństwa i prawa w IT. Patronat honorowy nad niezbędnikiem objęło Ministerstwo Cyfryzacji, GIODO oraz Krajowa Izba Gospodarcza.

POBIERZ NIEZBĘDNIK DI: CYBERBEZPIECZEŃSTWO


Źródło: Niezbędnik DI
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy