Nabízí se otázka, co je tedy možné udělat pro to, aby se podobný případ nestal znovu, nebo alespoň jak minimalizovat možné škody. Ve firmách, pro které pomáháme budovat interní bezpečnost, je většinou prvním krokem analýza aktuálního stavu práce s finančními daty. Ve většině případů jsou tato data daleko více rozšířená a využívaná, než je nutné. To přináší zbytečně vysoká rizika a také mnohem složitější prostředí pro budování bezpečnosti. Zmapováním toku dat získáme přehled, kde data leží, kdo je aktivně využívá a případně i podklady dokazující potenciální incidenty, které se právě mohou dít.
Téměř vždy jsou závěry z prvotní analýzy pro vedení společností překvapivé, ale u části našich zákazníků se stalo, že podobný audit odhalil masivní úniky citlivých dat, a to zejména prostřednictvím nezabezpečených médií a zasláním přes e-mail nebo internetové úložiště. Umožní to také určit si priority v budování ochrany kolem finančních dat – pokud je například velice častá manipulace s daty prostřednictvím nezabezpečených externích zařízení, je prioritou číslo jedna vynutit používání pouze firemních médií a ta zašifrovat.
Při nasazení interní bezpečnosti jdou obvykle ruku v ruce procesní opatření spolu s nasazením technických prostředků. V případě procesních kroků musí firma jasně definovat odpovědnosti za data, zavést doporučené bezpečné postupy práce s nimi a stanovit jasná pravidla, co se může a co ne. Většinou souvisejí tyto kroky s implementací interní směrnice nebo s revizí stávajících stanov.
Pouhá definice pravidel ovšem nestačí. Pokud s nimi nebudou zaměstnanci dostatečně obeznámeni, nikdo je dodržovat nebude. Pravidelná školení by měla být samozřejmostí, nelze opomenout také zaškolení nových zaměstnanců, u kterých je riziko toho, že na něco zapomenou, největší. Jako nejlepší možné řešení je systémový nástroj, který uživatele notifikuje v případě, že provede akci v rozporu se zavedenými pravidly. Tyto možnosti nabízí například Data Loss Prevention (DLP) systémy, které o této akci buďto zpraví odpovědnou osobu, nebo ji provést vůbec neumožní.
Dalším jasným krokem je zabezpečení cest, po kterých mohou data unikat. Pokud firma nepoužívá cloudová datová úložiště pro firemní potřeby, je pochopitelným krokem přístup na tyto servery omezit. Se zabezpečením cest je také spjata revize přístupových oprávnění. Častý scénář v případě finančních dat je takový, že buďto se jedná o obchodní data, ke kterým by měl mít přístup pouze obchodník a backoffice. Pro finanční výkazy firmy a faktury platí, že se většinou posílají také auditorům a úřadům. Všechny ostatní cesty je možné v jejich případě vyloučit jako nepovolené.
V neposlední řadě jde také o umístnění dat, aby se nestalo to, že budou záměrně nebo omylem zveřejněna. Vždy by měla být uložena na zašifrovaných médiích a přístupná pouze zevnitř organizace, dokud není nutný jejich přenos.
Spojením všech technických a procesních opatření tak vzniká stav, při kterém je riziko úniku finančních dat minimalizováno na akceptovatelnou úroveň. S implementací vhodných opatření je firma ochráněna proti záměrnému vynesení dat i chybě a je o podezřelém chování ihned zpravena.
Martin Moc
mmoc@webershandwick.cz
Safetica Technologies
Partnerem seriálu Bezpečnost firemních dat na stránkách MM Průmyslového spektra je společnost Safetica Technologies (www.safetica.cz), jejíž software dnes chrání firmy všech velikostí před následkem chyb jejich zaměstnanců i únikům citlivých informací.