Na czym polega ochrona przed utratą danych?

Akronim DLP (ang. Data Lost Protection) oznacza ochronę przed utratą danych. Ochrona DLP to podejście lub zestaw strategii obejmujących narzędzia lub procesy stosowane przez administratora sieci w celu skutecznej ochrony wrażliwych danych przed udostępnieniem, niewłaściwym wykorzystaniem lub utratą przez nieuprawnionych użytkowników. Dzięki ochronie DLP użytkownicy nie mogą przesyłać wrażliwych informacji o krytycznym znaczeniu poza sieć organizacji. Użytkownicy sieci mogą przypadkowo lub w złym zamiarze udostępnić dane, które mogą zaszkodzić organizacji, do której należy sieć. Może nastąpić to np. poprzez przekazanie biznesowych wiadomości e-mail poza domenę korporacyjną lub przesyłanie poufnych plików z wykorzystaniem komercyjnej usługi przechowywania danych w chmurze (np. Dropbox). Oprogramowanie DLP kategoryzuje i chroni wrażliwe dane, niezależnie od tego, czy są to dane o krytycznym znaczeniu biznesowym, dane poufne czy podlegające ochronie na podstawie obowiązujących przepisów.

Powody przemawiające za wdrożeniem oprogramowania DLP

Nigdy dotąd nie było bardziej sprzyjających okoliczności dla powszechnego wdrożenia oprogramowania DLP. Ilość danych ujawnianych wskutek naruszeń rośnie z roku na rok. Od 60% do 70% naruszeń danych musi być podanych do publicznej informacji, co może mieć znaczący wpływ na reputację firmy, a często także na jej finanse. 84% zarządzających działami IT uważa, że ochrona DLP stanowi większe wyzwanie w przypadku korzystania przez firmę z pracy zdalnej. Co 11 sekund kolejna firma pada ofiarą cyberataku. Średni koszt naruszenia bezpieczeństwa danych w Stanach Zjednoczonych wynosi 9,44 miliona dolarów. Ochrona DLP rozwiązuje trzy główne problemy związane z bezpieczeństwem IT organizacji: zgodnej z przepisami ochrony danych osobowych, ochrony własności intelektualnej oraz widoczności danych.

• Zgodna z przepisami ochrona danych osobowych: każda organizacja, która gromadzi i przechowuje informacje umożliwiające identyfikację osób (PII), chronione informacje zdrowotne (PHI) lub dane kart płatniczych (PCI), prawdopodobnie podlega odpowiednim przepisom, takim jak HIPAA lub RODO. Oznacza to wymóg ochrony poufnych danych swoich klientów.
• Ochrona własności intelektualnej: jeśli organizacja posiada cenną własność intelektualną, tajemnice handlowe lub tajemnice państwowe, ich utrata lub kradzież może narazić ją na niebezpieczeństwo. Rozwiązania DLP wykorzystujące funkcje klasyfikacji kontekstowej mogą klasyfikować własność intelektualną zarówno w postaci ustrukturyzowanej, jak i nieustrukturyzowanej. Dzięki zastosowaniu odpowiednich zasad i mechanizmów kontroli organizacja może zapobiec eksfiltracji swoich danych.
• Widoczność danych: kompleksowe rozwiązanie DLP dla przedsiębiorstw może monitorować i śledzić dane przesyłane do punktów końcowych, sieci i chmury. Pozwala to obserwować, w jaki sposób użytkownicy w organizacji wchodzą w interakcję z danymi.

Ochrona DLP jest również pomocna w sprawowaniu nadzoru nad zagrożeniami wewnętrznymi, bezpieczeństwem danych pakietu Office 365, analizą zachowań użytkowników lub podmiotów oraz innymi zaawansowanymi zagrożeniami.

Najlepsze metody ochrony przed utratą danych

Podchodząc do oceny, jak najlepiej wdrożyć ochronę DLP w swojej organizacji, należy pamiętać, że nie wszystkie dane są mają krytyczne znaczenie. Różne organizacje traktują priorytetowo różne dane. Pytanie brzmi: kradzież jakich danych byłaby najbardziej katastrofalna w skutkach? Właśnie na ich ochronie powinna skupić się początkowo strategia DLP.

Warto rozważyć zastosowanie klasyfikacji danych według kontekstu. Następnie należy powiązać klasyfikację z aplikacją źródłową, magazynem danych lub użytkownikami tworzącymi treści. Dzięki trwałym znacznikom klasyfikacyjnym organizacje mogą handlować wykorzystaniem danych.

Odpowiednie szkolenia i wskazówki pomagają zmniejszyć ryzyko przypadkowej utraty danych przez osoby mające do nich dostęp wewnątrz organizacji. Zaawansowane rozwiązania DLP oferują funkcje monitowania użytkowników w celu ostrzegania pracowników, że wykorzystanie przez nich danych może naruszyć zasady obowiązujące w firmie lub zwiększać ryzyko. Pozwala to kontrolować ryzykowne zachowania.

W udanych wdrożeniach strategii DLP pomocne jest zrozumienie, w jaki sposób dane są wykorzystywane w danej organizacji i jak rozpoznawać ryzykowne zachowania. Elementem strategii jest konieczność monitorowania przez organizacje danych w ruchu. Pozwala to obserwować, co dzieje się z ich bardziej wrażliwymi danymi, a także zrozumieć problemy, które powinna rozwiązać strategia DLP.

Poziom ryzyka będzie oczywiście różny w zależności od docelowych odbiorców danych, którymi mogą być partnerzy, klienci, uczestnicy łańcucha dostaw itp. Często największe zagrożenie występuje w punktach końcowych, takich jak poczta e-mail czy przenośne urządzenia pamięci masowej. Solidna strategia DLP powinna uwzględniać zagrożenia związane z danymi mobilnymi.

Jaki jest główny cel ochrony danych organizacji? Być może nie chodzi o określony typ danych. Ochrona własności intelektualnej, zapewnienie zgodności z przepisami, uzyskanie widoczności danych – każdy z tych celów jest ważny. Zdefiniowanie konkretnego celu ułatwia określenie sposobu skutecznego wdrożenia rozwiązania DLP.

Ważne jest, aby cel ten był adekwatny do możliwości. Na początku warto zdefiniować możliwe do szybkiej realizacji, mierzalne cele. Można przyjąć podejście projektowe, zawężając początkowo zakres programu, aby skupić się na określonym typie danych. Może to być np. wykrywanie i automatyzacja klasyfikacji wrażliwych danych. To lepsza strategia niż rozpoczęcie od razu od skomplikowanego i ambitnego wdrożenia.

Wdrażając program DLP, należy określić i monitorować kluczowe wskaźniki efektywności, aby móc ocenić postęp w jego realizacji i obszary do poprawy. Udostępnianie tych wskaźników liderom organizacji pozwala pokazać wartość dodaną, jaką wnosi DLP.

Wdrażając po raz pierwszy program DLP, należy wystrzegać się błędu polegającego na ograniczenia się do jednego działu. Niekonsekwentne, doraźne działania w ramach DLP są zwykle ignorowane przez działy organizacji, których bezpośrednio nie dotyczą, co powoduje, że są w dużej mierze marnotrawstwem zasobów.

Najlepiej jest uzyskać poparcie ze strony kadry kierowniczej organizacji (dyrektora finansowego i dyrektora generalnego), aby móc dysponować zatwierdzonym budżetem na realizację programu DLP. W tym celu można pokazać, w jaki sposób program DLP rozwiązuje problemy różnych jednostek biznesowych związane z rentownym rozwojem i efektywnym wykorzystaniem zasobów (ponieważ eliminuje potrzebę zatrudnienia dodatkowych pracowników). Ułatwi to przyjęcie programu w całej organizacji, zapewni dla niego większe poparcie i pozwoli go lepiej koordynować. Podjęcie współpracy z szefami jednostek biznesowych w celu zdefiniowania zasad programu DLP określających sposób zarządzania danymi w organizacji sprawi, że wszystkie jednostki biznesowe będą znać te zasady, wiedzieć, w jaki sposób powinny je realizować, oraz jaki to będzie mieć wpływ na organizację.