W 2017 roku branża finansowa, medyczna i motoryzacyjna znalazły się w centrum zainteresowania cyberprzestępców na świecie. Doszło do spektakularnych wycieków danych, a bezpieczeństwo danych stało się jednym z głównych tematów. Mimo to, nadal wielu menadżerów uważa, że bezpieczeństwo danych to domena obszaru IT, a nie krytyczny czynnik funkcjonowania przedsiębiorstwa. Kluczem do skutecznej ochrony przed cyberatakami czy wyciekiem danych, jest budowanie świadomości wśród pracowników i klientów firm. Dojrzałe instytucje wyciągają z tego wnioski i dostrzegają, że cyberbezpieczeństwo to nie tylko sprzęt i systemy bezpieczeństwa, ale także ludzie.
Podnieść na wyższy poziom
Według wielu opracowań (m.in. Komisji Europejskiej i Ministerstwa Cyfryzacji), bezpieczeństwo w cyberprzestrzeni określają trzy podstawowe obszary: Technika – Procedury – Ludzie. Analizy aktualnego stanu w większości przypadków wskazują, że o ile obszar techniczny jest zabezpieczony w stopniu co najmniej zadowalającym i należy jedynie dbać o jego dalszy rozwój, to w przypadku pozostałych dwóch obszarów – Procedury i Ludzie – konieczne jest jak najszybsze zainicjowanie działań rozwojowych. Dlatego też główny nacisk kładzie się na sferę organizacyjną systemu bezpieczeństwa w cyberprzestrzeni. Kluczem do skutecznej ochrony przed cyberatakami jest budowanie świadomości i edukacja użytkowników, będących najsłabszym ogniwem cyberbezpieczeństwa polskich przedsiębiorstw.
Ważne zadanie
Odpowiedzialność za cyberbezpieczeństwo powinna spoczywać na każdej osobie zatrudnionej w przedsiębiorstwie, a nie tylko na barkach zarządu. Należy więc radykalnie zmienić sposób rozmawiania o bezpieczeństwie i zaangażować w nie również pracowników. Połowa dużych firm w Polsce planuje w najbliższych dwóch latach zwiększyć inwestycje w obszarze bezpieczeństwa informatycznego. To efekt rosnącego zagrożenia cyberprzestępstwami. Uświadamianie pracowników to najtrudniejsze, ale jednocześnie najważniejsze zadanie dla osób odpowiedzialnych za bezpieczeństwo w firmie. Kluczem do tego jest ciągła edukacja i komunikacja, a nie jednorazowe akcje. – powiedziała Katarzyna Budna-Grzęda, Prezes TUKAN IT. W idealnym systemie każdy pracownik powinien mieć poczucie, że uczestniczy w procesach odpowiadających za bezpieczeństwo cybernetyczne firmy. Im bardziej pracownicy są świadomi, tym skuteczniejszy będzie ten „ludzki firewall”. Poprzez edukację można wyeliminować nawet do 99 procent wszystkich zdarzeń związanych z bezpieczeństwem informatycznym.
Sprawdzone rozwiązania
W realizacji procesu podnoszenia świadomości dotyczącej wagi przetwarzanych informacji warto wykorzystać systemy, dzięki którym użytkownik nie tylko uczy się, ale też staje się istotnym elementem
procesu bezpieczeństwa. Jednym z takich narzędzi jest GREENmod firmy TUKAN IT. Rozwiązanie to przeznaczone jest do klasyfikacji informacji wytwarzanych przez użytkownika końcowego, czyli pracownika. Wprowadza ono możliwość uzupełnienia mechanizmów automatycznie kategoryzujących dokumenty oraz pocztę elektroniczną o nieocenioną w takich przypadkach wiedzę użytkownika, dotyczącą poufności tworzonych przez niego treści. Rozwiązanie to integruje się z aplikacjami Microsoft Office oraz systemem operacyjnym Microsoft Windows, wymuszając konieczność sklasyfikowania tworzonego dokumentu przed jego zapisaniem. Analogicznie, GREENmod uniemożliwi wysłanie wiadomości pocztowej, jeżeli nie zostanie ona sklasyfikowana. Użytkownik może również nadawać odpowiednie poziomy klasyfikacji wielu innym dokumentom spoza pakietu Office, do których ma dostęp. Znaczniki nadawane w procesie klasyfikacji są łatwo rozpoznawane przez różnego rodzaju rozwiązania analizujące treść i właściwości dokumentów (systemy DLP, RMS, rozwiązania mail i web proxy, itp.).
Na ich podstawie możliwe jest, wobec tego skuteczne egzekwowanie przyjętej w organizacji polityki bezpieczeństwa i świadome podejmowanie decyzji dotyczących sposobu obsługi, przetwarzania oraz ochrony danych treści. Świadomość tego, z jakimi informacjami mamy do czynienia, ko korzystnie wpływa także na koszty ponoszone na ich zabezpieczenie.
Podnoszenie świadomości
Wykorzystanie rozwiązania Tukan IT GREENmod w organizacji znacząco wpływa na podnoszenie świadomości pracowników, dotyczącej zagadnień bezpieczeństwa oraz ważności przetwarzanych przez nich informacji. W efekcie spada także liczba incydentów związanych z wyciekiem informacji spowodowanych czynnościami wykonywanymi bez zastanowienia lub ze względu na brak wiedzy o skutkach udostępnienia chronionych treści osobom nieupoważnionym. Pracownicy, którzy są zaangażowani w proces zapewniania bezpieczeństwa, stają się bardziej odpowiedzialni za informacje, które tworzą.
Adekwatnie do wymagań
Konieczność stosowania opisywanych rozwiązań wynika także z zewnętrznych regulacji, takich jak GDPR, w których duży nacisk kładzie się na ochronę danych, przetwarzanych przez firmy w ich systemach teleinformatycznych, z uwzględnieniem ryzyka nieuprawnionego dostępu do informacji. Jednym z rozwiązań umożliwiających realizację podejścia opartego o ryzyko jest właśnie system wspomagający klasyfikowanie dokumentów oraz poczty elektronicznej jak GREENmod. – tłumaczy Katarzyna Budna-Grzęda, Prezes TUKAN IT. Systemy klasy DLP (Data Loss Prevention), posiadające zaawansowane mechanizmy automatycznej klasyfikacji treści, są niestety często„nieczułe” na specyficzne rodzaje zawartości, niepoddające się algorytmom klasyfikacji. Systemy wspomagające klasyfikację, wprowadzają możliwość uzupełnienia mechanizmów automatycznego klasyfikowania dokumentów oraz poczty elektronicznej o nieocenioną, w takich przypadkach, wiedzę użytkownika dotyczącą poufności tworzonych przez niego treści.
Dlaczego warto stosować systemy do klasyfikacji dokumentów? Podnoszą świadomość bezpieczeństwa.
Wykorzystanie takiego rozwiązania, bardzo pozytywnie wpływa na podnoszenie świadomości pracowników organizacji, dotyczącej zagadnień bezpieczeństwa oraz ważności przetwarzanych przez nich informacji.
Przenoszą odpowiedzialność za ochronę danych na twórców dokumentów.
Działy Bezpieczeństwa funkcjonujące w organizacjach, często nie potrafią wskazać metod klasyfikowania informacji, które możliwe byłyby do zaimplementowania w systemach klasy DLP. Twórca dokumentu jest najlepszym źródłem informacji o poprawnej klasyfikacji wyników jego pracy. Klasyfikacja nadana przez użytkownika stanowić będzie pierwszą linię ochrony, uzupełniającą automatyczne metody klasyfikacji zapewniane rozwiązaniami klasy DLP.
Łatwo integrują się z systemami klasy DLP.
System oznaczania dokumentów (metadane dodawane do plików i wiadomości pocztowych) może być wykorzystywany do automatyzacji procesów ochrony, między innymi takich jak:
- monitorowanie
- blokowanie transferu danych
- zapobieganie drukowaniu
- alarmowanie o naruszeniach bezpieczeństwa
- poddawanie kwarantannie
- szyfrowanie danych
- archiwizowanie
Tukan IT GREENmod:
- Angażuje użytkowników w proces klasyfikowania informacji
- Umożliwia dostosowanie struktury klasyfikacji do własnych potrzeb
- Integruje się z systemami chroniącymi i przetwarzającymi informacje
- Posiada centralne zarządzanie i raportowanie
- Pomaga ustalić odpowiedzialność i właściciela informacji
- Wspomaga procedury audytowe
- Obniża koszty zabezpieczania informacji
