Jenom setrvačnost myšlení brání chránit firemní data
Každá firma se tváří, že o svá data pečuje a chrání je, ale když se někdy při IT auditu dostaneme pod pokličku věcí, ukáže se, že v podstatě vždy existuje řada problémů, které nejsou dořešeny. A problémy se týkají i těch největších – data utíkají bezpečnostním složkám i velkým automobilkám.
Ochrana dat stojí a padá s detaily
Zásadním bezpečnostním problémem jsou důležité informace v souborech umístěných ve složkách. Je skoro jedno, jestli jsou složky v Microsoft 365, Google Doc, jiném cloudu nebo přímo na síťovém disku – ani jedno neposkytuje ochranu před jednoduchým ukradením všech dat ať už IT správcem, nebo vedoucími pracovníky, kteří mají přístup i k historickým záznamům. Přitom za naprostou většinou ztrát jsou současní nebo odcházející zaměstnanci.
Obecně jakýkoli systém, který umožňuje hromadně stahovat soubory, je a priori rizikový. U úniku bezpečnostních informací o válce na Ukrajině z Pentagonu také vede cesta k souborům. Stejně tak citlivá data z Tesly i další případy - MS Excely, ve kterých jsou data spravována, nebo se do něj dají exportovat.
Základní opatření pro ochranu dat
- Nastavit celou informační architekturu tak, aby hromadné stažení dat nebylo možné
- Šifrovat důležitá data tak, aby ukradení jejich záznamů ničemu nepomohlo
- Umožnit kontrolovat jednotlivé přístupy k datům
- Kontrolovat, že tato pravidla nemůže obejít nikdy – ani žádný superadministrátor
Řada lidí z IT vám řekne, že uvedné požadavky není možné splnit. Mají tak zafixovanou představou souborových cloudů, že o jiném řešení ani nepřemýšlí. Totéž požadují uživatelé ve firmách. Požadavek na otevření dokumentů ke sdílené práci, z cloudu přímo do Wordu je tím základním požadavkem na DMS systémy.
Pohodlí pro pracovníky je samozřejmě důležité, nikdo nechce práci zbytečně komplikovat. Problém ale není v pohodlí, ten je v nepochopení, k čemu jaká technologie slouží.
Cloud a sdílená tvorba je vhodná jen pro nový dokument
Pohodlnou práci a sdílení jsou důležité pro dokumenty, na kterých se pracuje. Takový má být v cloudu, někde, kam lidé mohou přistupovat snadno a jednoduše, aby je v práci nic nezdržovalo.
Dokument je ale brzy dokončen a v tu chvíli by měl zmizet ze sdíleného prostoru a být jenom tam, kde je v bezpečí. Zde je první problém – často se nepřesune, ale zkopíruje. Je tedy na dvou místech a technologie, které mají zajistit ochranu informací, slouží v podstatě jenom jako drahé zálohování. Situace je ještě horší, pokud lidé nad cloudem nespolupracují a dokument si předávají emailem – pak není v jedné, ale třeba v deseti kopiích na různých místech.
Uklizení souboru do bezpečného místa se nedá použít pro MS Excely a jiné sdílené tabulky, které jsou používané třeba roky. Proto jsou MS Excel „databáze“ nejčastějším únikem velkého množství cenných dat.
Omezte dokumenty
Dokumenty jsou samozřejmě nezbytné. Smlouvy, nabídky, zprávy, prezentace, všechno, co má firmu opustit, musí být v dokumentu. Ale to, co firmu opustit nemá nebo dokonce nesmí, by v něm být nemělo / nesmí.
Nejúčinější cestou ke zlepšení je omezit dokumenty samotné. Nahradit dokumenty kvalitní evidencí využívající šifrované záznamy, které není možné hromadně stahovat ani hromadně dešifrovat. Dokud bude základem dokument nota bene řádky v excelu, data bezpečná nikdy nebudou.
Tři základní rady pro bezpečnost informací
Chcete bezpečný systém? Ptejte se na 3 základní otázky:
- Jak je zajištěno, že ani administrátor nemá možnost stahovat hromadně soubory
- Jak je zajištěno, že ransomware nebo jiný útočník neukradne data
- Jak je možné i zpětně kontrolovat přístupy k citlivým informacím jednotlivými pracovníky
Pokud na kteroukoli z otázek není uspokojivá odpověď, hledejte jiné řešení. Třeba si nechte popsat, jak bezpečnost informací řešíme v AyMINE. A nedejte se opít rohlíkem, protože ďábel je ukryt v detailu.