Sophos. Τέσσερις ερωτήσεις για να κάνετε στον εαυτό σας προτού επιλέξετε στρατηγική προστασίας δεδομένων
Πρόσφατα αναφερθήκαμε σε μερικούς από τους σημαντικότερους λόγους που δείχνουν πόσο απαραίτητο είναι να κρυπτογραφείτε τα δεδομένα σας. Και σας παρουσιάσαμε τις πιθανές συνέπειες όταν τα δεδομένα σας δεν είναι κρυπτογραφημένα.
Οπότε τώρα που είστε έτοιμοι να εξετάσετε πιο προσεκτικά την κρυπτογράφηση στον οργανισμό σας, από πού θα πρέπει να ξεκινήσετε;
Κάθε οργανισμός ή επιχείρηση είναι διαφορετική, οπότε δεν υπάρχει στρατηγική προστασίας δεδομένων τύπου “one-size fits-all” (ένα μέγεθος, που ταιριάζει σε όλους). Πριν λοιπόν καταστήσετε το σχέδιο δράσης για την στρατηγική σας, είναι απαραίτητο να απαντήσετε στις παρακάτω τέσσερις ερωτήσεις.
1. Πως κινούνται τα δεδομένα εντός και εκτός του οργανισμού σας;
Λαμβάνετε μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένα αρχεία ή τα στέλνετε; Λαμβάνετε δεδομένα με USB flash drives ή με άλλα μέσα αποθήκευσης; Πως ο οργανισμός σας διαμοιράζει ή αποθηκεύει μεγάλες ποσότητες δεδομένων εσωτερικά ή εξωτερικά; Χρησιμοποιείτε υπηρεσίες αποθήκευσης δεδομένων στο σύννεφο, σαν τα Dropbox, Box ή OneDrive; Τι γίνεται με τις φορητές συσκευές όπως τα smartphones και τα tablets; Σύμφωνα με μία έρευνα της Sophos, ο μέσος χρήστης τεχνολογίας φέρει μαζί του τρεις συσκευές. Πως διαχειρίζεστε την μεγάλη γκάμα συσκευών που έχουν πρόσβαση σε επιχειρησιακά δεδομένα;
Θα πρέπει να κοιτάξετε για μία λύση κρυπτογράφησης που είναι φτιαγμένη για να προσαρμόζετε στον τρόπο που χρησιμοποιείτε τα δεδομένα και στον τρόπο που τα δεδομένα ρέουν και κινούνται εντός της επιχείρησης ή του οργανισμού σας.
Παράδειγμα σεναρίου χρήσης: Με όλο και περισσότερες επιχειρήσεις να χρησιμοποιούν υπηρεσίες cloud storage, χρειάζεστε μία λύση που εξασφαλίζει την cloud-based ανταλλαγή δεδομένων και σας παρέχει την επιμέλεια των κλειδιών της κρυπτογράφησης σας.
2. Με ποιο τρόπο χρησιμοποιεί ο οργανισμός ή οι άνθρωποι σας τα δεδομένα;
Ποιος είναι ο τρόπος που εργάζονται οι υπάλληλοι σας; Ποιες οι ροές εργασίας τους και πως διατηρούνται παραγωγικοί μέρα με την μέρα στην δουλειά τους; Ποια εργαλεία, συσκευές ή εφαρμογές χρησιμοποιούν, και υπάρχει πιθανότητα κάποια από αυτές να αποτελέσει παράγοντα απώλειας δεδομένων;
Θα πρέπει να καταλάβετε πως οι εργαζόμενοι σας χρησιμοποιούν εφαρμογές τρίτων, και αν θα πρέπει να απαγορεύσετε αυτό που συνήθως αποκαλείται “shadow IT”, αν μπορείτε να εμπιστευτείτε την ασφάλεια αυτών των συστημάτων ή θα πρέπει να φροντίσετε για την ανάπτυξη τέτοιων εργαλείων εντός του οργανισμού.
3. Ποιος έχει πρόσβαση στα αρχεία σας;
Το συγκεκριμένο ζήτημα μπορεί να είναι ηθικής όσο και κανονιστικής φύσης. Σε μερικές περιπτώσεις, οι χρήστες δεν θα έπρεπε, από ηθικής άποψης, να έχουν πρόσβαση σε συγκεκριμένα δεδομένα (π.χ σε δεδομένα που αφορούν στο ανθρώπινο δυναμικό, στην μισθολογική κατάσταση κ.ά).
Παγκοσμίως, υπάρχουν ορισμένοι νόμοι προστασίας δεδομένων που προβλέπουν ότι οι χρήστες θα πρέπει να έχουν πρόσβαση μόνο στα δεδομένα που είναι απαραίτητα για την εκτέλεση των καθηκόντων τους. Σε όλους τους υπόλοιπους θα πρέπει να απαγορεύεται η πρόσβαση. Οι υπάλληλοι σας έχουν πρόσβαση μόνο στα δεδομένα που χρειάζονται για την δουλειά τους ή έχουν πρόσβαση και σε δεδομένα που δεν τους είναι απαραίτητα;
Παράδειγμα σεναρίου χρήσης: Οι διαχειριστές IT τείνουν να έχουν απεριόριστη πρόσβαση στα δεδομένα και στην υποδομή ΙΤ. Χρειάζεται ο διαχειριστής IT να έχει πρόσβαση στα δεδομένα που αφορούν στο ανθρώπινο δυναμικό ή σε έγγραφα του νομικού τμήματος της εταιρείας σας για την τελευταία δικαστική υπόθεση; Σε μία δημόσια εταιρεία, θα έπρεπε οι άνθρωποι εκτός του οικονομικού τμήματος να έχουν πρόσβαση στα τελευταία οικονομικά μεγέθη;
4. Που βρίσκονται τα δεδομένα σας;
Κεντρικά, και ως επί το πλείστον αποθηκευμένα σε κάποιο κέντρο δεδομένων; Φιλοξενούνται ολοκληρωτικά στο σύννεφο; Βρίσκονται σε φορητούς υπολογιστές εργαζομένων και σε φορητές συσκευές όπως κινητά τηλέφωνα ή tablets;
Σύμφωνα με μία έρευνα του Tech Pro Research, το 74% των οργανισμών επιτρέπουν ή σχεδιάζουν να επιτρέψουν στους υπαλλήλους τους να φέρνουν στο γραφείο τις δικές τους συσκευές για επαγγελματική χρήση (BYOD, Bring Your Own Device). Οι εργαζόμενοι μεταφέρουν ευαίσθητα εταιρικά δεδομένα στις συσκευές τους όταν εργάζονται από το σπίτι ή ακόμα και στον δρόμο, αυξάνοντας τον κίνδυνο παραβίασης της συμμόρφωσης και της απώλειας δεδομένων. Λάβετε υπόψη σας πόσο εύκολο είναι για κάποιον να αποκτήσει πρόσβαση σε εμπιστευτικές πληροφορίες και δεδομένα του οργανισμού σας σε περίπτωση που το smartphone ενός υπαλλήλου σας χαθεί ή κλαπεί.
Προκλήσεις και λύσεις
Σύμφωνα με την μελέτη του 2015, Global Encryption & Key Management Trends (παγκόσμιες τάσεις στην κρυπτογράφηση και στην διαχείριση κλειδιών) του Ινστιτούτου Ponemon, οι διαχειριστές IT έχουν προσδιορίσει τα ακόλουθα ως τις μεγαλύτερες προκλήσεις στον σχεδιασμό και την εκτέλεση μίας στρατηγικής κρυπτογράφησης δεδομένων:
- 56% – που εντοπίζονται ευαίσθητα δεδομένα σε μία επιχείρηση
- 34% – την ταξινόμηση των δεδομένων που πρέπει να κρυπτογραφηθούν
- 15% – την εκπαίδευση των χρηστών για το πως θα χρησιμοποιούν την κρυπτογράφηση
Δυστυχώς, δεν υπάρχει μία μοναδική λύση που να ταιριάζει σε όλους, για την αντιμετώπιση όλων αυτών των προκλήσεων. Το σχέδιο προστασίας δεδομένων σας θα πρέπει να βασίζεται στις ανάγκες και στις απαιτήσεις της επιχείρησης σας: στον τύπο των δεδομένων που η επιχείρηση σας εργάζεται και παράγει, στην νομοθεσία και στους κανονισμούς σε τοπικό επίπεδο αλλά και σε βιομηχανικό, καθώς και στο μέγεθος της επιχείρησης σας.
Οι εργαζόμενοι θα πρέπει να κατανοήσουν πώς να συμμορφωθούν με ένα σαφώς καθορισμένο πλαίσιο ή σχέδιο προστασίας των δεδομένων σας και πώς να χρησιμοποιούν την κρυπτογράφηση. Θα πρέπει να γνωστοποιηθεί με σαφήνεια στους υπαλλήλους σας, σε ποια δεδομένα θα έχουν πρόσβαση, με ποιο τρόπο θα πρέπει να έχουν πρόσβαση σε αυτά τα δεδομένα, και τι θα πρέπει να κάνουν για να προστατεύσουν αυτά τα δεδομένα.
Και το πιο σημαντικό: θα πρέπει να εξασφαλίσετε ότι μπορείτε τόσο να προσφέρετε όσο και να διαχειριστείτε την κρυπτογράφηση με τέτοιο τρόπο ώστε να μην επηρεάζει την ροή της εργασίας στον οργανισμό ή στην επιχείρηση σας.
Για να μάθετε με ποιο τρόπο το Sophos SafeGuard Encryption μπορεί να σας βοηθήσει να αντιμετωπίσετε αυτές τις προκλήσεις, ελέγξτε την συγκεκριμένη ιστοσελίδα στο blog της Sophos, σχετικά με τα πράγματα που θα πρέπει να εξετάσετε πριν επιλέξετε την κατάλληλη λύση κρυπτογράφησης για τον οργανισμό ή την επιχείρηση σας. Μπορείτε επίσης να κατεβάσετε δωρεάν αυτό το whitepaper, Deciphering the Code: A Simple Guide to Encryption.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.