Odborně-vzdělávací a zpravodajský portál z oblasti strojírenství a navazujících oborů
Články >> Bezpečnost firemních dat, část 4.
Chcete dostávat MM Průmyslové spektrum ZDARMA až do Vaší schránky? Více informací zde.

Bezpečnost firemních dat, část 4.

Tím, jak se výroba stává čím dál více sofistikovanější, dochází ke vzájemnému sdílení dat napříč všemi odděleními v rámci podniku. Potenciál úniku těchto citlivých firemních informací a zavlečení závadného obsahu do firmy, např. skrze webová rozhraní či e-mailovou korenspondenci, představují v současné době největší bezpečnostní riziko. Je třeba na tento fakt klást velký zřetel, a proto bychom vám rádi v průběhu následujících vydání přinášeli edukativní seriál o bezpečnosti firemních dat. Ta by totiž měla být vaší zásadní prioritou.

Účetní závěrky, informace o cenách, faktury k zakázkám a platy. Co se stane, když se k těmto informacím dostane konkurence, všichni zaměstnanci nebo veřejnost?

Finanční data na prodej

Rizika spojená s únikem finančních dat začíná vnímat stále více organizací. Jenom za období posledního roku jsme se setkali s poptávkou řešení interní bezpečnosti hned u několika firem, které postihl únik informací o cenách a interním rozpočtu.


Jednu z firem v ostravském regionu stál podobný únik přibližně 20 milionů na ušlém zisku. V jejím případě vynesl interní zaměstnanec informace o cenách konkurenci, která hned aktivně obcházela zákazníky a uzavírala nové kontrakty s nabídkou o 1 % nižší. Společnost tak přišla o desítky menších a několik velkých zákazníků.

Dalším typickým příkladem může být situace brněnské firmy, u které většinu nákladů tvořila personální data, tedy zejména platy a firemní benefity zaměstnanců. Jedna z asistentek firmy však omylem zveřejnila excelovský dokument s platy místo managementu celé firmě a tím vznikla velká interní krize, jelikož rozdíly mezi odděleními a týmy firmy byly pro mnohé překvapením. Vyřešení této situace stálo firmu navýšení rozpočtu o 10 %.

Ne vždy se musí tyto informace dostat ven jen přímým odcizením nebo lidskou chybou. Je znám případ jedné mezinárodní firmy, kde z české pobočky unikly mzdové výměry manažerů tak, že je vyhledávač Google díky technické chybě umožnil vyhledat přímo přes intranet. V době zjištění již nebylo vůbec jednoduché tato data z veřejných umístnění stáhnout a podobně jako u brněnské firmy zmíněné výše stálo velké úsilí krizi zažehnat.

Lze těmto únikům předejít?

Nabízí se otázka, co je tedy možné udělat pro to, aby se podobný případ nestal znovu, nebo alespoň jak minimalizovat možné škody. Ve firmách, pro které pomáháme budovat interní bezpečnost, je většinou prvním krokem analýza aktuálního stavu práce s finančními daty. Ve většině případů jsou tato data daleko více rozšířená a využívaná, než je nutné. To přináší zbytečně vysoká rizika a také mnohem složitější prostředí pro budování bezpečnosti. Zmapováním toku dat získáme přehled, kde data leží, kdo je aktivně využívá a případně i podklady dokazující potenciální incidenty, které se právě mohou dít.

Téměř vždy jsou závěry z prvotní analýzy pro vedení společností překvapivé, ale u části našich zákazníků se stalo, že podobný audit odhalil masivní úniky citlivých dat, a to zejména prostřednictvím nezabezpečených médií a zasláním přes e-mail nebo internetové úložiště. Umožní to také určit si priority v budování ochrany kolem finančních dat – pokud je například velice častá manipulace s daty prostřednictvím nezabezpečených externích zařízení, je prioritou číslo jedna vynutit používání pouze firemních médií a ta zašifrovat.

Při nasazení interní bezpečnosti jdou obvykle ruku v ruce procesní opatření spolu s nasazením technických prostředků. V případě procesních kroků musí firma jasně definovat odpovědnosti za data, zavést doporučené bezpečné postupy práce s nimi a stanovit jasná pravidla, co se může a co ne. Většinou souvisejí tyto kroky s implementací interní směrnice nebo s revizí stávajících stanov.

Pouhá definice pravidel ovšem nestačí. Pokud s nimi nebudou zaměstnanci dostatečně obeznámeni, nikdo je dodržovat nebude. Pravidelná školení by měla být samozřejmostí, nelze opomenout také zaškolení nových zaměstnanců, u kterých je riziko toho, že na něco zapomenou, největší. Jako nejlepší možné řešení je systémový nástroj, který uživatele notifikuje v případě, že provede akci v rozporu se zavedenými pravidly. Tyto možnosti nabízí například Data Loss Prevention (DLP) systémy, které o této akci buďto zpraví odpovědnou osobu, nebo ji provést vůbec neumožní.

Dalším jasným krokem je zabezpečení cest, po kterých mohou data unikat. Pokud firma nepoužívá cloudová datová úložiště pro firemní potřeby, je pochopitelným krokem přístup na tyto servery omezit. Se zabezpečením cest je také spjata revize přístupových oprávnění. Častý scénář v případě finančních dat je takový, že buďto se jedná o obchodní data, ke kterým by měl mít přístup pouze obchodník a backoffice. Pro finanční výkazy firmy a faktury platí, že se většinou posílají také auditorům a úřadům. Všechny ostatní cesty je možné v jejich případě vyloučit jako nepovolené.

V neposlední řadě jde také o umístnění dat, aby se nestalo to, že budou záměrně nebo omylem zveřejněna. Vždy by měla být uložena na zašifrovaných médiích a přístupná pouze zevnitř organizace, dokud není nutný jejich přenos.

Spojením všech technických a procesních opatření tak vzniká stav, při kterém je riziko úniku finančních dat minimalizováno na akceptovatelnou úroveň. S implementací vhodných opatření je firma ochráněna proti záměrnému vynesení dat i chybě a je o podezřelém chování ihned zpravena.

Martin Moc

mmoc@webershandwick.cz

Safetica Technologies

Partnerem seriálu Bezpečnost firemních dat na stránkách MM Průmyslového spektra je společnost Safetica Technologies (www.safetica.cz), jejíž software dnes chrání firmy všech velikostí před následkem chyb jejich zaměstnanců i únikům citlivých informací.

Další články

Management a řízení
Informační technologie/E-business

Komentáře

Nebyly nalezeny žádné příspěvky

Sledujte nás na sociálních sítích: