Οργανισμοί όλων των τύπων και μεγεθών συλλέγουν και αποθηκεύουν τεράστιες ποσότητες από κάθε είδους δεδομένα. Μια πολιτική πρόληψης απώλειας δεδομένων καθορίζει τον τρόπο με τον οποίο οι οργανισμοί μπορούν να μοιράζονται και να προστατεύουν τα δεδομένα.

 

Γράφει ο Παναγιώτης Κούτσιος
ICT & CS Solutions Architect
Algosystems S.A. www.algosystems.gr

 

 

 

Η πολιτική πρόληψης καθοδηγεί πώς τα δεδομένα μπορούν να χρησιμοποιηθούν στη λήψη αποφάσεων χωρίς να εκτίθενται σε οποιονδήποτε δεν θα έπρεπε να έχει πρόσβαση σε αυτά

Ως Data Loss Prevention (DLP) ορίζεται ευρέως ως τεχνολογία ή διαδικασίες που:

  1. Προσδιορίζει εμπιστευτικά δεδομένα
  2. Παρακολουθεί τη χρήση δεδομένων
  3. Αποτρέπει τη μη εξουσιοδοτημένη πρόσβαση στα δεδομένα

Τα εργαλεία που χρησιμοποιούνται από την DLP περιλαμβάνουν προϊόντα λογισμικού που μπορούν να ταξινομήσουν και να προστατεύσουν δεδομένα. Η DLP πολιτική καθοδηγεί τον τρόπο λειτουργίας αυτών των εργαλείων.

Μέχρι στιγμής ξέρουμε:

  • Περισσότερο από το 35% των εφαρμογών Data Loss Prevention (DLP) αποτυγχάνουν.
  • Η εφαρμογή του DLP συχνά θεωρείται πρόκληση και οι ασυνεπείς πολιτικές Data Loss Prevention μπορεί να παρεμποδίσουν τις συνήθεις επιχειρηματικές δραστηριότητες.
  • Οι IT Managers που είναι υπεύθυνοι για την εφαρμογή του προγράμματος DLP συχνά αντιμετωπίζουν πολλές προκλήσεις κατά την εφαρμογή του.

Εάν δεν είστε σίγουροι πώς να ξεκινήσετε, μπορεί να αναρωτηθείτε:

  • “Πού να ξεκινήσουμε;”
  • “Ποια δεδομένα είναι σημαντικά για την επιχείρηση;”
  • “Πού βρίσκονται όλα αυτά τα δεδομένα;”
  • “Σε ποιον ανήκουν τα δεδομένα;”

Ένα πρόγραμμα DLP επιδιώκει να βελτιώσει την ασφάλεια των πληροφοριών και να προστατεύσει τις επιχειρηματικές πληροφορίες από παραβιάσεις δεδομένων.
Δεν είναι απλώς ένα εργαλείο.
Είναι μια προσέγγιση που συνδυάζει καθορισμένες διαδικασίες, καλά ενημερωμένα και εκπαιδευμένα άτομα και αποτελεσματικές τεχνολογίες.

Το DLP δεν μπορεί να σταματήσει όλες τις επιθέσεις και ούτε μπορεί να μετριάσει τον κίνδυνο κακών επιχειρηματικών διαδικασιών. «Ένα πρόγραμμα DLP είναι μια μείωση του κινδύνου, όχι μια άσκηση εξάλειψης του κινδύνου», λέει ο Anthony Carpino, Διευθυντής Αναλυτής στη Gartner. Αντιμετωπίστε το DLP ως πρόγραμμα και διαδικασία, όχι ως τεχνολογία και ακολουθήστε συγκεκριμένα βήματα για να το εφαρμόσετε με επιτυχία.

Σχεδιάζοντας ένα επιτυχημένο DLP πρόγραμμα

Η αποτελεσματική πρόληψη της απώλειας δεδομένων απαιτεί μια ευρεία προσέγγιση. Είναι σημαντικό να μην υποκύψετε στον πειρασμό να επιλέξετε ένα μόνο πρόγραμμα λογισμικού και να νομίζετε ότι έχετε κάνει αρκετά. Τα δεδομένα που προστατεύετε είναι πολύ σημαντικά και οι πιθανές συνέπειες από την απώλειά τους είναι πολύ σοβαρές. Εδώ είναι τα βήματα που απαιτούνται για τη δημιουργία ενός πραγματικά αποτελεσματικού προγράμματος DLP.

Πρώτον, εξασφαλίστε την έγκριση από την ηγεσία, συμπεριλαμβανομένων των επικεφαλής όλων των τμημάτων και τμημάτων που ενδέχεται να επηρεαστούν. Η υποστήριξή τους είναι απαραίτητη για την επιτυχία του προγράμματος.

Δεύτερον, η διάκριση των κρίσιμων δεδομένων από τα μη κρίσιμα δεδομένα είναι ίσως το πιο σημαντικό βήμα για τη δημιουργία ενός προγράμματος πρόληψης απώλειας δεδομένων. Ακολουθούν μερικοί από τους τύπους δεδομένων που ίσως χρειαστεί να προσδιορίσετε:

Intellectual property (IP) – Legal documents – Strategic planning documents – Sales data – Customer information – Personally identifiable information (PII) – Marketing data and forecasts – Operations documentation – Financial records – Human resources data – Government data – Passwords and other IT data – Data subject to any compliance regulations

Προσθέστε ετικέτα σε κάθε κομμάτι κρίσιμων δεδομένων με μια ψηφιακή υπογραφή που υποδεικνύει τις ταξινομήσεις του, ώστε οι διάφορες λύσεις λογισμικού σας να μπορούν να το χειριστούν κατάλληλα.

Τρίτον, μοντελοποιήστε τη δραστηριότητα γύρω από κάθε είδος κρίσιμων δεδομένων, συμπεριλαμβανομένου του ποιος έχει πρόσβαση σε αυτά και τι κάνει με αυτά. Προσδιορίστε τυχόν απειλές για την ασφάλεια κάθε τμήματος δεδομένων. Ποια τρωτά σημεία υπάρχουν σε κάθε σημείο του κύκλου ζωής των δεδομένων; Ποιος είναι υπεύθυνος για την ασφαλή χρήση των δεδομένων; Έχουν τα εργαλεία που χρειάζονται για να το προστατεύσουν; Αναλυτικά τι μπορεί να συμβεί εάν χαθούν τα δεδομένα. Φροντίστε να λάβετε υπόψη τόσο τις άμεσες επιπτώσεις στην επιχείρηση όσο και τις κυρώσεις συμμόρφωσης.

Τέταρτον, καθορίστε ποιους στόχους θέλετε να επιτύχει το πρόγραμμα DLP, όπως:

  • Identifying risks and ways to address them
  • Safeguarding data in motion, in use and at rest
  • Keeping data available for use without increasing risk
  • Standardizing procedures for security, privacy, and compliance

Πέμπτο, καθιερώστε διαδικασίες και πολιτικές για την αποθήκευση και το χειρισμό κρίσιμων δεδομένων, καθώς και λεπτομερή σχέδια απόκρισης για διαρροές δεδομένων και άλλα συμβάντα ασφαλείας. Το παρακάτω διάγραμμα προσφέρει μερικές αποδεδειγμένες βέλτιστες πρακτικές για τον ασφαλή χειρισμό κρίσιμων και ευαίσθητων δεδομένων. φροντίστε να δημιουργήσετε διαδικασίες για την εφαρμογή καθενός από αυτά.

Έκτο, σκεφτείτε εάν το υπάρχον υλικό και το λογισμικό σας μπορούν να ανταποκριθούν στους στόχους DLP σας. Να θυμάστε ότι τα περισσότερα συστήματα προστασίας δεδομένων δεν μπορούν να ταξινομήσουν τα δεδομένα με ακρίβεια και συνέπεια. Εάν τα τρέχοντα συστήματά σας είναι ανεπαρκή, αξιολογήστε άλλες λύσεις, λαμβάνοντας υπόψη τόσο τους στόχους σας όσο και την ανάλυση κινδύνου/κόστους. Ποιες λειτουργίες χρειάζεστε και πόσο σας αξίζουν;

Έβδομο, δημιουργήστε ευαισθητοποίηση εντός του οργανισμού σχετικά με τη σημασία του προγράμματος DLP. Συμπεριλάβετε πληροφορίες σχετικά με:

  • What constitutes critical data
  • How critical data should be handled in certain situations, including email and internet use
  • Which laws the company must comply with

Προσαρμόστε την εκπαίδευση στις ανάγκες διαφορετικών ομάδων εργαζομένων και επαναλάβετε την σε τακτική βάση. Φροντίστε να δοκιμάζετε περιοδικά τους χρήστες σας και να παρακολουθείτε άτομα που δεν ακολουθούν τις κατάλληλες διαδικασίες.

Όγδοο, επιλέξτε τον κατάλληλο συνεργάτη, με εμπειρία τόσο σε συναφή εργαλεία, αλλά κυρίως με εμπειρία σε πολύπλοκα έργα, σε εταιρίες του κλάδου σας (αν δυνατόν).

«Το να (επι)βάλεις την όποια λύση DLP σε Preventive Mode δεν είναι δα και η πιο εύκολη απόφαση…»

Άγνωστος (?)