Odborně-vzdělávací a zpravodajský portál z oblasti strojírenství a navazujících oborů
Články >> Bezpečnost firemních dat
Chcete dostávat MM Průmyslové spektrum ZDARMA až do Vaší schránky? Více informací zde.

Bezpečnost firemních dat

Tím, jak se stává výroba čím dál více sofistikovanější, dochází ke vzájemnému sdílení dat napříč všemi odděleními v rámci podniku. Potenciál úniku těchto citlivých firemních informací a zavlečení závadného obsahu do firmy, např. skrze webová rozhraní či e-mailovou korenspondenci, představuje v současné době největší bezpečnostní riziko.

Je třeba na tento fakt klást velký zřetel, a proto bychom vám rádi v průběhu následujících vydání přinášeli edukativní seriál o bezpečnosti firemních dat. Ta by totiž měla být vaší zásadní prioritou.

Nám se to stát nemůže

Je běžné setkat se s názorem, že bezpečnost je pro firmy sice zajímavé téma, ale v prioritách není tak vysoko, aby stálo za to do ní investovat. V mnoha organizacích vládne postoj, že jde o něco, co se bude řešit, „až bude čas“. 

Stále se setkáváme s přístupem, že se o bezpečnostních incidentech dostatečně nemluví. Lidé zpravidla pracují v iluzi, že velké úniky dat jsou něčím vzdáleným, co se týká zahraničních společnosti, a že jejich firma nemůže představovat dostatečně zajímavý cíl.

Nám se to stát může

V minulém roce jsme se setkali s českou výrobní společnosti, jejímž základem činnosti je práce návrhářů, kteří ve vývojovém prostředí připravují plány. Na jejich základě se pak výrobek po dílech vyrobí a sestaví. Největší know-how společnosti zde představují schémata, společně s kontakty na dodavatele a zákazníky.

Právě zde se odehrál bezpečnostní incident. Šéf návrhářů, který měl přístup ke všem schématům a také ke kontaktům na zákazníky, jednoho dne všechna data vzal a zaslal je na osobní e-mail. Následně si otevřel vlastní firmu, která vyráběla to stejné, pouze levněji, zejména kvůli úsporám na nákladech za vývoj. Původní firmě přebral její nejvýznamnější zákazníky a ta tím ztratila 50 % svého obratu.

Poučení? Bezpečnostní incidenty mohou mít zdrcující dopady, bez ohledu na typ či velikost firmy. A jak je možné vidět na příkladech, podobné události nejsou zdaleka výjimečné.

Druhý příklad je také z výrobní společnosti. Ta outsourcovala výrobní pracoviště do zahraničí, kam postupně s projektovou dokumentací jezdili projektoví manažeři dohlížet na postup a dodávali plány na část komponent. Nebyli však ani v polovině stavby, když zjistili, že kompletní výrobek již stojí na místě, sestaven podle ještě nezveřejněných plánů, navíc v procesu prodeje zájemcům ze strany zahraniční továrny.

Vaše data, moje data

Kolik zaměstnanců odevzdá a smaže všechny firemní informace po odchodu z pracovní pozice? Kolik z nich si něco z přebraného nechá, aniž by jim to přišlo špatné? Nejde přitom pouze o zkušenosti, tedy jak řešili různé situace či problémy, ale hlavně o materiály, které připravovali nebo získali.

Obchodníci například úspěch a kvalitu práce měří počtem kontaktů, které mají. A běžně je používají v nové pracovní pozici – častý případ například v pojišťovnictví. S podobnými incidenty se však setkáváme ve všech firmách, obchodních i výrobních.

Je také běžné, že vývojáři stále považují části kódu nebo konkrétní návrhy za svoje vlastnictví a používají je buď jako reference, nebo pro svou potřebu, když vyvíjejí podobný produkt. Vyvíjet ho ale mohou pro vašeho konkurenta.

DLP systémy chrání firemní informace

Když se firma rozhodne věnovat bezpečnosti pozornost, čeká ji především důkladná analýza a audit aktuálního stavu. Následují konzultace, včetně využití softwarových a hardwarových nástrojů, které umožní zjistit největší rizika a mezery. A důkladně prověří, jak organizace jako celek funguje, se kterými externími subjekty spolupracuje, na čem je závislá.

Mimořádná pozornost musí být věnována zabezpečení firemních dat. Od analýzy procesů práce s daty, zjištění, jak je zabezpečení dodržováno v praxi, až po zavedení konkrétních opatření, jejichž součástí bude jak školení zaměstnanců, tak omezující nastavení a řízení přístupu k informacím, spojené s pravidelným auditem.

 
Ilustrační grafika

Ochranu firemních informací je vhodné svěřit profesionálům a připravit se na to, že čím citlivější data firma má, čím více je potřebuje chránit, tím může být vše finančně, ale i organizačně náročnější. Hlavním nástrojem, který se nakonec postará o zajištění, jsou systémy DLP (Data Loss Prevention), softwarové i hardwarové prostředky zajišťující prevenci ztráty dat.

Složitý proces s výsledky

Některá opatření budou skutečně pouze organizační, jiná pomůže zavést a uskutečnit pouze potřebný hardware a software ‒ ať už jde o základ v podobě autentizačních mechanismů, které umožní ověřit bezpečně identitu uživatele a jeho práva v systému, nebo kompletní řízení přístupových oprávnění, monitorování přístupů a operací s daty. V nejvyšší úrovni zabezpečení pomůže systém sám definovat, jak uživatelé pracují s daty a zajistit to nejpodstatnější ‒ omezení cest úniků dat.

Vedle již zmíněných DLP systémů je nutné myslet i na další prostředky ochrany ‒ zejména firewally, antivirové systémy, IDS, IPS, monitorování síťového toku či hledání anomálního chování.

Bezpečnost firemních informací by měla být zásadní prioritou. Nečekejte, až se něco stane.

Matej Zachar

Safetica Technologies

Partnerem seriálu Bezpečnost firemních dat na stránkách MM Průmyslového spektra je společnost Safetica Technologies (www.safetica.cz), jejíž software dnes chrání firmy všech velikostí před následkem chyb jejich zaměstnanců i únikům citlivých informací.

mmoc@webershandwick.cz

Další články

Management a řízení
Informační technologie/E-business

Komentáře

Nebyly nalezeny žádné příspěvky

Sledujte nás na sociálních sítích: