Ο συνεχώς αυξανόμενος όγκος των στοιχείων της επιχειρηματικής πληροφορίας διανέμεται στις μέρες μας σχεδόν αποκλειστικά ψηφιακά. Οι οργανισμοί ταυτόχρονα οφείλουν να επιταχύνουν τη ροή των επιχειρησιακών διαδικασιών που οδηγούν σε ένα ευρύ φάσμα εξάπλωσης των εγγράφων αυτών του οργανισμού ή της εταιρίας μέσω πληθώρας ψηφιακών μέσων. Αν ληφθούν υπόψη και οι πολιτικές “bring your own device (BYOD)” καθώς και οι υπηρεσίες που βασίζονται σε Cloud Based Storages, ο κίνδυνος διαρροής δεδομένων μεγεθύνεται και διαχέεται σε πολύπλοκες πολιτικές προστασίας των ΙΤ managers και των Chief Security Officers σε κάθε μεγέθους εταιρίας και οργανισμού.
Η ασφάλεια των δεδομένων διατρέχει τον κίνδυνο της διακύβευσής της από πάρα πολλές εξωτερικές και εσωτερικές απειλές. Οι βασικές εξωτερικές απειλές της ασφάλειας των δεδομένων συνοψίζονται στις παρακάτω μορφές: Κανάλια αποθήκευσης και μεταφοράς δεδομένων ελλιπούς ασφάλειας, Advanced Persistent Threats (APTs) ή Trojans. Παρόλα αυτά ή πράξη έχει δείξει ότι η πλειοψηφία των περιστατικών της διαρροής δεδομένων οφείλονται σε επιτηδευμένη ή απλώς απερίσκεπτη αποκάλυψη δεδομένων από εργαζόμενους που λειτουργούν εντός αλλά και εκτός του οργανισμού, έχοντας πρόσβαση σε τέτοια ευαίσθητα δεδομένα.
Συνεπώς οι επιχειρήσεις χρειάζεται να υλοποιήσουν μια ξεκάθαρη στρατηγική πρόληψης απώλειας δεδομένων μέσω της δομής ασφαλείας τους. Σε αυτό ακριβώς το σημείο συνεισφέρουν τα εργαλεία DLP – Data Loss Prevention που παρέχουν την κατάλληλη τεχνολογία για την υλοποίηση των πολιτικών ασφαλείας. Μικροί και μεγάλοι οργανισμοί μπορούν, κάνοντας χρήση DLP πρωτοκόλλων, να υλοποιήσουν πολιτικές και διαδικασίες data monitoring, auditing, reporting, unauthorized data move prevention, για προληπτική αποφυγή αποκάλυψης της κρίσιμης πληροφορίας.
Τα εργαλεία DLP κατηγοριοποιούν τα δεδομένα σύμφωνα με το αν είναι απλώς αρχειοθετημένα, σε κίνηση (αποστολή- λήψη) ή σε χρήση. Κατ’ επέκταση αυτά τα εργαλεία παρέχουν στις επιχειρήσεις την ευελιξία του να αναπτύσσουν και να μεταλλάσσονται ανάλογα με τις ανάγκες τους τις πολιτικές περιορισμού κινδύνου απώλειας δεδομένων. Επομένως τα Data Loss Prevention εργαλεία προστατεύουν τα εμπιστευτικά δεδομένα εντός και εκτός της εταιρίας, διασφαλίζοντας την πνευματική ιδιοκτησία του εκάστοτε οργανισμού, μειώνοντας τα λειτουργικά κόστη για τις εργασίες αυτές και αποτελούν το κεντρικό υποστύλωμα της επιχειρησιακής ασφάλειας δεδομένων.
Αξίζει να γίνει ιδιαίτερη αναφορά σε συγκεκριμένα στοιχεία και μεγέθη για τα περιστατικά απώλειας δεδομένων σε παγκόσμια κλίμακα. Για την ακρίβεια τα τελευταία 10 χρόνια, το 57% των περιστατικών απώλειας δεδομένων οφείλονται λάθη του οργανισμού, σε κατάχρηση ή σε εσωτερική κακοδιαχείριση. Μέχρι το πέρας του πρώτου εξαμήνου του 2014 αναφέρθηκαν παγκοσμίως 1331 περιστατικά απώλειας δεδομένων και εκτέθηκαν πάνω από 502 εκατομμύρια προσωπικών καταχωρήσεων. Τα νούμερα αυτά τείνουν να έχουν μεγάλη ποσοστιαία αύξηση σήμερα.
Τα επιχειρησιακά οφέλη μιας συνολικής λύσης DLP
Η επένδυση σε ένα κλιμακούμενο και διεξοδικό DLP σύστημα πρέπει να προηγείται οποιασδήποτε επένδυσης για τις πολιτικές ασφαλείας ενός οργανισμού. Κατά την υλοποίηση των DLP πολιτικών, η επιχείρηση αποκτά επιπροσθέτως το πλεονέκτημα του εταιρικού ελέγχου και της παρακολούθησης της αποθήκευσης των δεδομένων και των γενικότερων πολιτικών ασφαλείας (company wide auditing ).
Τα πλεονεκτήματα μιας λύσης DataLossPrevention συνοψίζονται στα παρακάτω:
- Απομονώνει τα κρίσιμα Business Units και την πνευματική ιδιοκτησία
- Αποτρέπει τις επιτηδευμένες ή κατά λάθος διαρροές δεδομένων από όλα τα πιθανά κανάλια μεταφοράς τους
- Ελαττώνει σημαντικά τα διαχειριστικά κόστη καθώς και τα κόστη αποκατάστασης που μπορεί να σχετίζονται με διαρροή δεδομένων
- Εντοπίζει και περιορίζει τους πολύπλοκους κινδύνους δεδομένων
- Συντηρεί και συμβαδίζει με το τρέχον κανονιστικό πλαίσιο συμμόρφωσης
- Εντοπίζει malware που ενδεχομένως απειλούν σημαντικά δεδομένα
- Στηρίζει και ενισχύει την εκπαίδευση και την επαγρύπνηση των υπαλλήλων στα θέματα ασφάλειας δεδομένων
Συμπεράσματα
Η κρίσιμη πληροφορία εντός και εκτός ενός οργανισμού ανήκει στα σημαντικότερα περιουσιακά του στοιχεία και οι ολοκληρωμένες λύσεις DLP μπορούν να προσφέρουν την ικανότητα περιορισμού των κινδύνων ασφάλειας σε αυτά τα κρίσιμα business assets. Γρήγορες και ακατάλληλες υλοποιήσεις DLP εργαλείων μπορεί επίσης να διαταράξουν και να διαβρώσουν την υπάρχουσα εταιρική κουλτούρα και τις επιχειρησιακές διαδικασίες. Κρίνεται άκρως απαραίτητο για τους οργανισμούς να υλοποιούν ακριβή σχεδιασμό, ουσιαστική επικοινωνία και εκπαίδευση πριν την όποια ανάπτυξη DLP λύσης. Οι εταιρίες και οι οργανισμοί οφείλουν να γνωρίζουν ποια Business Units είναι πιο ευάλωτα σε ενδεχόμενες «ρωγμές» ροής δεδομένων και πως να αντιμετωπίζουν τις παραβιάσεις πολίτικής ασφαλείας πολύ πιο πριν αναπτύξουν DLP εργαλεία.
Οι οργανισμοί οφείλουν επίσης να γνωρίζουν πριν την υλοποίηση της DLP λύσης, όλες τις λεπτομέρειες για την τοποθεσία, την χρήση αλλά και την διαβαθμισμένη πρόσβαση σε αυτά τα αποθηκευμένα δεδομένα. Η εναρμόνιση αυτής της πληροφορίας με πρακτικές επιχειρησιακές καταστάσεις διασφαλίζει την ανάπτυξη πολιτικής και την εφαρμογή κανονιστικού πλαισίου. Η ευελιξία ή αμεσότητα της παραμετροποίησης και της αλλαγής επιχειρησιακών διαδικασιών όταν απαιτείται είναι επίσης κρίσιμη απαίτηση. Είναι καθοριστικής σημασίας, η αυτόματη αναζήτηση και διαβάθμιση όλων των αρχείων και δεδομένων που βρίσκονται σε όλα τα πληροφοριακά συστήματα του οργανισμού, ανεξαρτήτως τοποθεσίας τους, μετά από κάθε αλλαγή ή προσθήκη κάποιας νέας πολιτικής DLP. Με αυτό τον τρόπο ο οργανισμός παραμένει ευέλικτος και ταυτόχρονα με τα δεμένα του προστατευμένα.
Ειδικά οι εταιρίες που είναι data-driven απαιτούν αποδοτικά DLP εργαλεία και στρατηγικές για την υλοποίηση αυτών για τα ευαίσθητα δεδομένα τους. Αυτά τα δεδομένα οδηγούν στην μελλοντική ανάπτυξη και διασφαλίζουν το ανταγωνιστικό πλεονέκτημα των εταιριών αυτών. Τα δεδομένα που παραμένουν εντός των ελεγχόμενων συστημάτων της εταιρίας διατηρούν την αξία της και την αυξάνουν προϊόντος του χρόνου.
Για περισσότερες πληροφορίες επισκεφθείτε το site της PartnerNET: http://eshop.partnernet.gr/Security
Angelo Gentili
Business Development Manager PartnerNET
www.partnernet.gr