Według badania przeprowadzonego wśród 2400 administratorów bezpieczeństwa IT w USA, Wielkiej Brytanii, Francji, Niemczech i Japonii główną przyczyną wycieków danych jest skradziony sprzęt, a zaraz po nim klasyfikują się ataki na sieć komputerową, niezabezpieczone urządzenia przenośne, aplikacje w technologii Web 2.0 i programy do wymiany plików oraz przypadkowe wysyłanie maili do niewłaściwych odbiorców. Co więcej, około 49% wszystkich respondentów uważa, że ich pracownicy mają bardzo małą lub w ogóle nie posiadają wiedzy na temat bezpieczeństwa danych, standardów i obowiązujących polityk bezpieczeństwa.

– Aby przejść od detekcji wycieków danych do zabezpieczania przed tymi wyciekami, przedsiębiorstwa powinny zwiększyć świadomości użytkowników w stosunku do systemów bezpieczeństwa oraz utworzyć odpowiednie procedury w celu zwiększenia widoczności i kontroli zasobów – uważa Oded Gonda, wiceprezes ds. produktów bezpieczeństwa sieci w Check Point Software Technologies.

Raport podpowiada, na co należy zwrócić szczególną uwagę:

• Zebranie potrzeb dotyczących bezpieczeństwa danych organizacji
  Posiadanie jasnej wizji i podziału na typy wrażliwych danych znajdujących się wewnątrz organizacji, w tym typów danych, które obejmują standardy rządowe lub standardy związane z rynkiem.

• Klasyfikacja wrażliwych danych
  Stworzenie listy wrażliwych danych z podziałem na poziom poufności. Rozważenie utworzenia zbioru szablonów dokumentów do klasyfikowania danych jako publiczne, z ograniczonym dostępem oraz tajne, kreując w ten sposób większą świadomość użytkowników końcowych dotyczących polityk bezpieczeństwa oraz tego, co stanowi informację poufną.

• Dopasowanie polityk bezpieczeństwa do potrzeb przedsiębiorstwa
  Strategia bezpieczeństwa organizacji powinna chronić zasoby firmy bez przeszkadzania użytkownikom końcowym w ich normalnej pracy. Należy zacząć od zdefiniowania firmowych polityk bezpieczeństwa używając prostych biznesowych terminów, które będą dopasowane do potrzeb indywidualnego pracownika, grupy lub organizacji. Świadomość identyfikacji może zapewnić firmom większą widoczność na użytkowników i środowisko IT w celu jeszcze lepszego wzmocnienia polityki korporacyjnej.

• Bezpieczeństwo danych przez cały cykl życia
  Przedsiębiorstwa powinny rozważyć implementację rozwiązań bezpieczeństwa, które będą chroniły ich wrażliwe dane na wiele sposobów – łącząc użytkowników, typy danych i procesy bezpieczeństwa – oraz chroniły je przez cały cykl życia: dane w spoczynku (data-at-rest), dane w ruchu (data-in-motion) oraz dane w użyciu (data-in-use).

• Eliminacja obciążenia wynikającego ze standardów
  Należy przyjrzeć się rządowym i rynkowym wymaganiom odnośnie standardów oraz ich wpływowi na bezpieczeństwo organizacji i przepływ danych biznesowych. Warto rozważyć implementację rozwiązań zgodnie z najlepszymi praktykami polityk bezpieczeństwa dostosowanymi do specjalnych regulacji prawnych, włączając w to HIPAA, PCI DSS i Sarbanes Oxley. Polityki tworzone według dobrych praktyk umożliwiają zespołom IT skupienie się na proaktywnej ochronie danych wykraczającej ponad wymagane standardy.

• Położenie nacisku na świadomość i zaangażowanie użytkowników
  Należy zaangażować użytkowników w procesy bezpieczeństwa. Technologia może być pomocna w edukacji użytkowników na temat polityk bezpieczeństwa korporacji oraz dawać możliwość szybkiego reagowania na incydenty naruszające bezpieczeństwo. Łączenie technologii i świadomości użytkowników uczula pracowników na ryzykowne zachowania poprzez proces uczenia się na własnych doświadczeniach.

– Biorąc pod uwagę setki wycieków danych każdego roku – zarówno tych zgłaszanych, jak i nie – nie ma się co dziwić, że problem zarządzania, ryzyka i zgodności ze standardami rośnie do ogromnych rozmiarów – komentuje dr Larry Ponemon, prezes i założyciel Ponemon Institute. – Bezpieczeństwo danych w dzisiejszym nowoczesnym świecie znaczy więcej niż tylko instalacja zestawu technologii do zwalczania tych problemów. Tak naprawdę brak świadomości pracowników jest główną przyczyną incydentów wycieków danych przez co coraz więcej firm szkoli swoich pracowników odnośnie korporacyjnych polityk bezpieczeństwa w miejscu pracy.

>> Czytaj także: Pracownicy mało dbają o bezpieczeństwo służbowych smartfonów