Odborně-vzdělávací a zpravodajský portál z oblasti strojírenství a navazujících oborů
Články >> Bezpečnost firemních dat, část 6.
Chcete dostávat MM Průmyslové spektrum ZDARMA až do Vaší schránky? Více informací zde.

Bezpečnost firemních dat, část 6.

Tím, jak se výroba stává čím dál více sofistikovanější, dochází ke vzájemnému sdílení dat napříč všemi odděleními v rámci podniku. Potenciál úniku těchto citlivých firemních informací a zavlečení závadného obsahu do firmy, např. skrze webová rozhraní či e-mailovou korenspondenci, představují v současné době největší bezpečnostní riziko. Je třeba na tento fakt klást velký zřetel, a proto bychom vám rádi v průběhu následujících vydání přinášeli edukativní seriál o bezpečnosti firemních dat. Ta by totiž měla být vaší zásadní prioritou.

Produktivita, dostupnost, snížení výdajů, zvýšení pohodlí práce. To jsou jen některé z důvodů, které se neustále skloňují kolem témat přesunu do cloudu a využití vlastních zařízení pro práci. Nerozbijí nám však naše těžce vybudované bezpečí?

Data ven a už nikdy zpátky

Cloudové služby nabírají na popularitě a získávají důvěru. Dostali jsme se tak daleko, že už i renomované banky dostaly povolení přejít na mezinárodní cloudové prostředí. Pokud budeme konkrétní, v České republice přešla v rámci svých systémů pod křídla Google Apps například Česká spořitelna. Ke schválení takového kroku byla potřeba velmi důkladná analýza rizik a cloud vyšel oproti interním prostředkům vítězně. To nám dává jasný signál, že pokud měl u nás cloud červenou pouze kvůli bezpečnosti, je na čase se zaměřit více na ekonomické ukazatele.


BYOD neboli Bring Your Own Device je fenomén používání vlastních zařízení pro firemní účely. Jako takový má s cloudovými službami společné přínosy, ale i problémy. Na jedné straně totiž dochází ke snížení výdajů na hardware a zvýšení pracovního pohodlí, ale ve stejné době se pracovní data dostávají mimo firmu a ta nad nimi ztrácí kontrolu. Dokonce je provázanost o krok hlubší, protože cloud problémy BYOD ještě více rozšiřuje. Je totiž najednou jednodušší připojit se odkudkoliv a z jakéhokoliv zařízení. A ztracené notebooky či mobily s dokumenty, ale také nastavenými přístupy do interních systémů jsou v dnešní uspěchané době na denním pořádku. Dokonce i největší bankovní kauza s únikem dat ve Velké Británii měla na pozadí zapomenutý notebook v hromadné dopravě.

Je nebezpečí reálné?

Nejdříve se podívejme na místo uložení dat – kromě extrémních případů se pravděpodobnost zneužití dat zavedeným cloudovým poskytovatelem blíží nule. Aby to platilo, je vhodné zvolit tržně etablovaný cloud s proaktivním přístupem k bezpečnosti a certifikacím. Základem je zavedené ISO 27001. Dalšími signály jsou například možnosti použít rozšířené bezpečnostní prvky, jako jsou certifikáty či dvoufaktorová autentizace.

Hlavním bezpečnostním problémem tedy není umístění dat, ale jejich dostupnost. Každý přístupový bod je brána, kterou musíme zabezpečit, a ta má dvě slabá místa: autentizaci a uživatele. Úspěšné technické útoky kradou uživatelské účty nebo kompromitují přístupové body – je to snadnější a hlavně se na to může přijít až podstatně později. U autentizace jde vývoj rychle kupředu, máme certifikáty, politiky hesel, dvoufaktorovou autentizaci, ověření koncových stanic a podobně. Tímto proaktivním přístupem se rizika snižují. Ale co uživatel?

Krásný příklad nechtěného úniku výplatních pásek managementu na internet byl způsoben snahou účetní dohnat práci doma o víkendu, kdy si část dat uložila na disk, který však její děti sdílely v komunitní P2P síti. Uživatel je posledním, a možná největším rizikem bezpečnosti dat v cloudu. Jednak přináší stejná rizika, jako u interních systémů – Kam data pošle? K čemu je použije? –, ale navíc nyní mohou uživatelé pracovat „odkudkoliv“, tedy z internetové kavárny, nezabezpečené Wi-Fi sítě či z počítače, který sdílejí se svými dětmi.

A co na to legislativa?

Právní rámec se týká především cloudových poskytovatelů a personálních dat, kdy nám v našem případě Evropská unie (směrnice Evropského parlamentu a Rady 95/46/EC) ukládá, aby se legislativně citlivá data (personální údaje atd.) nezpracovávala v zemích, kde není jejich ochrana na srovnatelné úrovni jako v EU. Komise dokonce vydává seznamy nečlenských států, kde je ochrana považována za srovnatelnou. Jinými slovy, pokud není nutné ukládat data mimo EU, měli byste vyžadovat od cloudových poskytovatelů garanci, že data neopustí EU. A většina globálních poskytovatelů tomuto umí vyhovět.

Jak snížit rizika integrace cloudu?

Obecně platí následující zásady:

• Vyberte cloud, kterému důvěřujete. Vybírejte podle referencí, certifikací a bezpečnostních prvků.
• Pokud můžete omezit dostupnost, omezte ji. Bezpečnost je přímo úměrná kvalitě zabezpečení koncových bodů. Použít lze například vynucené certifikáty nebo přístup zabezpečený přes VPN.
• Vzdělávejte se, většina rizik je způsobena neznalostí.
• Nastavte vhodnou politiku hesel a použijte dvoufaktorovou autentizaci.
• Data mohou uniknout i z povoleného zařízení. Jedná se o klasický problém lidského faktoru, proto zvažte použití DLP a MDM systémů.

Pokud se rozhodnete pro DLP a MDM systémy, můžete navíc získat audit nad použitím cloudových systémů, rozšířené možnosti centralizovaného řízení přístupů a pohybu dat a případně i možnost šifrování dat, které technicky zvýší zabezpečení o další úroveň.

Zbyněk Sopuch, Safetica Technologies

Martin Moc

mmoc@webershandwick.cz

Safetica Technologies

Partnerem seriálu Bezpečnost firemních dat na stránkách MM Průmyslového spektra je společnost Safetica Technologies (www.safetica.cz), jejíž software dnes chrání firmy všech velikostí před následkem chyb jejich zaměstnanců i únikům citlivých informací.

Další články

Management a řízení
Informační technologie/E-business

Komentáře

Nebyly nalezeny žádné příspěvky

Sledujte nás na sociálních sítích: