Ochrana dat o zákaznících s sebou nese několik výzev.
• Jelikož se jedná o informace, ke kterým musí mít přístup často celé obchodní oddělení, back office a někdy management, je těžké omezit přístupy do konkrétních sekcí.
• Kromě toho se často stává, že při své normální práci potřebují tito zaměstnanci data různě exportovat, tisknout a i jinak dostávat mimo firmu.
• Kapitola sama o sobě jsou pak služební výjezdy, kde potřebují obchodníci zajistit přístup k databázím mimo firemní doménu.
Jak ale v takovém komplexním využití těchto informací docílit, aby byly dostupné vždy a všude, když jsou potřeba, ale nebylo možné je jednoduše z firmy vynést a neautorizovaně použít?
Na tuto otázku neexistuje jednoduchá odpověď ani všespásné řešení. Nicméně pokud firma zavede několik základních opatření, může jednoduše riziko zneužití zákaznických dat snížit.
Prvním a základním faktorem je loajalita a motivace zaměstnanců. Pokud v oblasti firemní kultury a spokojenosti zaměstnanců nejsou zásadní problémy, je riziko interního incidentu výrazně nižší.
Druhou oblastí, na kterou je nutné se zaměřit, jsou samotné procesy, které ve firmě souvisejí právě se zákazníky a prací s jejich daty. Pro odhalení datových toků se v praxi využívají zejména softwarové nástroje umožňující monitorovat práci s informacemi v elektronické formě. Ty hned v první fázi odhalí, kde jsou hlavní rizika procesu – například zasílání dat v nezašifrované formě mimo firmu.
Dalším krokem je zavedení ochrany na úrovni přístupových práv a implementace bezpečnostních opatření. V případě potřeby přístupu obchodníků ke kontaktům zvenčí je nasnadě připravit VPN připojení do firemní sítě a omezit přístup pouze k tomu nejnutnějšímu, co tito zaměstnanci potřebují pro svoji práci. Speciální pozornost by měla být věnována exportům ze systému, který by měl být omezen rozsahem a ideálně dostupný pouze vybraným osobám.
Ne všechny systémy ve firmách ale umožňují tak jemnou definici přístupových oprávnění. Pro úplnou ochranu proto pomohou Data Loss Prevention (DLP) systémy, které úzká místa (zejména exporty nebo přímé kopírování velkého objemu dat) dokážou zachytit a včas jim zabránit. Pokud organizace nechce tyto operace zakazovat, řešením je ponechat systém pouze v režimu monitorování incidentů a alertování. U firem s implementovaným DLP řešením jsme pozorovali mnohokrát situaci, kdy uživatel vyexportoval důležitá data na externí zařízení nebo přes e-mail, incident byl však včas odhalen a vyřešen.
Safetica Technologies
Matej Zachar
www.safetica.cz
Martin Moc
mmoc@webershandwick.cz
Partnerem seriálu Bezpečnost firemních dat na stránkách MM Průmyslového spektra je společnost Safetica Technologies (www.safetica.cz), jejíž software dnes chrání firmy všech velikostí před následkem chyb jejich zaměstnanců i únikům citlivých informací.