4 otázky pro nastavení správné strategie ochrany dat

Kde byste měli začít, když přemýšlíte o šifrování ve vaší firmě? Každá společnost je jiná, takže neexistuje jedno řešení pro všechny. Než se pustíte do akčního plánu na ochranu dat, je potřeba zodpovědět následující čtyři otázky.

1.  Jak plynou data dovnitř a ven z vaší společnosti?

Dostáváte emaily s přílohami nebo je posíláte ven? Získáváte data přes USB flashky nebo jiná přenositelná média? Jak vaše společnost ukládá a sdílí velká množství dat interně a externě? Používáte cloudové služby jako jsou Dropbox, Box, OneDrive, apod.? A jak jste na tom s mobily a tablety? Podle průzkumu od společnosti Sophos má průměrný administrátor tři zařízení. Jaký máte přehled o širokém množství zařízení, která mají přístup k firemním datům? Měli byste se poohlédnout po šifrovacím řešení, které je navrženo pro potřeby používání dat ve vaší společnosti.

Ukázkový příklad:

S více a více společnostmi využívajících cloudová úložiště, potřebujete řešení, které ochrání cloudové sdílení dat a poskytne vám šifrovací klíče.

2. Jak vaše společnost a vaši zaměstnanci využívají data?

Jaké jsou pracovní postupy vašich zaměstnanců a jak postupují při každodenních činnostech, aby byli více produktivní? Jaké nástroje, zařízení nebo aplikace používají a představuje některé z nich možné riziko ztráty dat?

Je potřeba porozumět, jak zaměstnanci používají aplikace třetích stran a zdali byste neměli zakázat to, co se často nazývá „stínové IT“ – jestli můžete důvěřovat zabezpečení těchto systémů nebo si raději sami vytvořit takovéto nástroje

3. Kdo má přístup k vašim datům?

Toto téma může být předmětem etické i regulační diskuze. V některých případech by z etického hlediska neměli mít uživatelé přístup k určitým datům (HR a výplatní pásky).

Celosvětově existují určité zákony ochrany dat, která stanoví pouze to, že ten, kdo potřebuje data pro výkon svých úkolů, by k nim měl mít přístup: a nikdo jiný. Mají vaši zaměstnanci přístup pouze k těm datům, která potřebují ke své práci?

Ukázkový příklad:

IT administrátoři mají tendence mít neomezený přístup k datům a IT infrastruktuře. Potřebuje IT administrátor přístup k HR datům všech zaměstnanců nebo přístup k dokumentům právnického oddělení o posledním soudním případu? Měli by lidé mimo ekonomické oddělení ve veřejné obchodní společnosti mít přístup k aktuálním finančním výkazům?

4. Kde jsou vaše data?

Centralizována a většinou uložena v data centru? Kompletně hostována v cloudu? Nebo leží na zaměstnaneckých laptopech a mobilních zařízení?

Podle Tech Pro Research survey 74 % organizací umožňuje nebo plánuje umožnit svým zaměstnancům přinést si svá zařízení do kanceláří pro firemní účely (bring your own device, zkráceně BYOD). Zaměstnanci tak přenášejí citlivá firemní data na svých zařízení, když pracují z domova nebo na cestě, čímž zvyšují riziko ztráty dat nebo narušení určitého předpisu. Jen se zamyslete, jak snadné by bylo získat přístup k důvěrným informacím o vaší společnosti, když se ztratí nebo je odcizen jediný zaměstnanecký smartphone.

Výzvy a řešení

Podle 2015 Global Encryption & Key Management Trends Study od Ponemon Institute IT manažeři rozpoznávají následující seznam jako největší výzvy při plánování a uplatnění strategie šifrování dat:

– 56 % – objevení, kde leží citlivá data společnosti

– 34 % – klasifikace, která data se mají šifrovat

– 15 % – proškolení uživatelů, jak používat šifrování

Bohužel jedno řešení pro tyto výzvy neexistuje. Váš plán ochrany dat musí být navržen podle vaší firmy: typ dat, se kterými pracujete a které generujete, místní/průmyslové regulace a velikost vaší společnosti. Zaměstnanci potřebují pochopit, jak vyhovět jasně definovanému plánu ochrany dat a jak používat šifrování. Musí jim být jasně řečeno, ke kterým datům mají přístup, jak k nim přistoupit a jak je mohou ochránit.

A co je nejdůležitější, musíte zajistit, že dokážete nabídnout a spravovat šifrování takovým způsobem, který nebude mít dopad na pracovní postupy vaší společnosti.