Τα πέντε ερωτήματα της ταυτοποίησης και απογραφής δεδομένων
Ο Eric Vanderburg, Αντιπρόεδρος Κυβερνοασφάλειας της εταιρείας υπηρεσιών κυβερνοασφαλείας TCDI, υπογραμμίζει τα βασικά ερωτήματα που πρέπει να λάβετε υπόψη κατά τον προσδιορισμό των δεδομένων του οργανισμού σας, τη σημασία του και το επίπεδο προστασίας που απαιτείται.
«Πάντα πίστευα ότι θα πρέπει πρώτα να ξέρετε τι έχετε (στην κατοχή σας) ώστε να είστε σε θέση να το προστατεύσετε. Ωστόσο, έχω δει πάρα πολλές εταιρείες να εφαρμόζουν «βέλτιστες πρακτικές», πρότυπα ή προγράμματα συμμόρφωσης χωρίς να έχουν αντιληφθεί και κατανοήσει πρώτα τι πρέπει να προστατεύσουν» γράφει ο Eric Vanderburg.
Συστήματα απογραφής περιουσιακών στοιχείων προσφέρονται με πολλά συστήματα ασφαλείας ή σε άλλα εργαλεία διαχείρισης, αλλά αυτά τα συστήματα παρακολουθούν μόνο το υλικό. Το λογισμικό διαχείρισης συστημάτων πληροφορικής παρακολουθεί τα λειτουργικά συστήματα και το λογισμικό, αλλά κανένα από αυτά τα συστήματα δεν αντιμετωπίζει την συγκεκριμένη ανάγκη ασφάλειας.
Η απώλεια ενός φορητού υπολογιστή ή ενός smartphone είναι μια απώλεια μερικών εκατοντάδων δολαρίων. Η απώλεια όμως αρχείων των πελατών, επιχειρηματικών στρατηγικών, κώδικα λογισμικού ή κάποιων ιδιόκτητων τύπων, αλγόριθμων ή IP ωστόσο, υπερβαίνει κατά πολύ το κόστος του υλικού. Επομένως είναι τα δεδομένα που είναι απαραίτητο να προστατευτούν πρώτα από την ασφάλεια πληροφοριών. Όμως την ώρα που τα δεδομένα είναι σπουδαιότερα και βρίσκονται πάνω από το υλικό και το λογισμικό, το κλειδί για την προστασία των δεδομένων έγκειται πρώτα στην κατανόηση των δεδομένων.
Τα δεδομένα μπορούν να περιγραφούν από πέντε ερωτήματα ή από τα πέντε W’s: Who (Ποιος), What (Τι), Where (Που), When (Πότε) και Why (γιατί).
Ποιος δημιούργησε τα δεδομένα;
Προφανώς, κάποιος δημιούργησε τα δεδομένα για κάποιο λόγο. Αυτό το άτομο, ο ιδιοκτήτης των δεδομένων, έχει την αρχική ευθύνη για την αποθήκευση των δεδομένων σε μια κατάλληλη τοποθεσία καθώς και για τη χορήγηση πρόσβασης στα δεδομένα, επομένως είναι σημαντικό να γνωρίζουμε ποιος ή ποιοι είναι αυτοί οι άνθρωποι.
Ποιες πληροφορίες περιέχονται στα δεδομένα;
Ταξινομήστε τα δεδομένα έτσι ώστε να γίνει κατανοητό αν είναι απαραίτητο να προστατεύονται από απώλεια ή από αποκάλυψη και πόση προσπάθεια είστε διατεθειμένοι να καταβάλετε για την υπεράσπισή τους.
Που βρίσκονται τα δεδομένα;
Η θέση των δεδομένων καθορίζει το επίπεδο οργανωτικού ελέγχου που μπορεί να εφαρμοστεί στα δεδομένα. Ένας οργανισμός ή μία επιχείρηση μπορεί να έχει ελάχιστο έλεγχο στα δεδομένα σε κάποιο κοινωνικό δίκτυο, αλλά μπορεί να έχει μεγάλο έλεγχο των δεδομένων χρησιμοποιώντας κάποιο εργαλείο Προγραμματισμού Επιχειρησιακών Πόρων (Enterprise Resource Planning – ERP).
Πότε δημιουργήθηκαν τα δεδομένα;
Μερικές ακόμη καλές ερωτήσεις θα μπορούσαν να περιλαμβάνουν πότε υπήρξε πρόσβαση στα δεδομένα καθώς και πότε αρχειοθετήθηκαν; Αυτά τα τυπικά μεταδεδομένα, που αποτελούνται από στοιχεία όπως η δημιουργία, η πρόσβαση και η ημερομηνία αρχειοθέτησης, ο δημιουργός, το μέγεθος του αρχείου και ο τύπος, είναι σημαντικά επειδή μπορούν να δείξουν πόσο σημαντικά είναι τα δεδομένα για την εταιρεία. Τα λιγότερο συχνά χρησιμοποιούμενα δεδομένα θεωρούνται κατά γενική ομολογία λιγότερο σημαντικά.
Είναι επίσης σημαντικό να γνωρίζετε πότε τα δεδομένα αρχειοθετήθηκαν τελευταία ή έχουν δημιουργηθεί αντίγραφα ασφαλείας, δεδομένου ότι κάτι τέτοιο μπορεί να καθορίσει αν τα δεδομένα μπορούν να ανακτηθούν αν χάνονται, κλαπούν ή αλλοιωθούν.
Γιατί υπάρχουν τα δεδομένα;
Αυτή είναι μια από τις πιο σημαντικές ερωτήσεις, διότι δεδομένα που δεν χρειάζονται θα πρέπει καλύτερα να διαγραφούν. Δεν υπάρχει κανένας λόγος να προστατεύονται δεδομένα που δεν έχουν και δεν προσφέρουν καμία αξία στην επιχείρηση ή στον οργανισμό. Τέτοια δεδομένα είναι μόνο μια υποχρέωση, επειδή η απώλεια των συγκεκριμένων δεδομένων μπορεί να έχει σοβαρό αντίκτυπο στον οργανισμό και στην λειτουργία του. Ακόμη και αν η απώλεια είναι ασήμαντη, η αποθήκευση, η ευρετηρίαση και η διαχείριση των δεδομένων απαιτεί χρόνο και χρήμα, οπότε οι οργανισμοί και εταιρείες θα είναι καλύτερα χωρίς τέτοια, μη απαραίτητα για τη λειτουργία τους δεδομένα.
Γιατί να χάνετε χρόνο και χρήματα στην εγκατάσταση και στην εφαρμογή λύσεων ασφάλειας που δεν αφορούν τα ίδια τα δεδομένα; Αυτή η πολύ συνηθισμένη προσέγγιση συχνά έχει ως αποτέλεσμα ορισμένα δεδομένα να προστατεύονται ή να μην προστατεύονται καθόλου, ενώ κάποια άλλα δεδομένα να υπερ-προστατεύονται. Δεδομένου ότι η εταιρεία επίσης δεν έχει γνώσει της ύπαρξης ορισμένων δεδομένων ή στοιχείων, η παραβίαση τους, η κλοπή ή η απώλεια τους είναι το πιθανότερο να αγνοηθεί ή να παραλειφθεί.
Κατανοήστε τα πέντε παραπάνω ερωτήματα ή τα πέντε «W» και ορίστε και εφαρμόστε ελέγχους ασφάλειας, πολιτικές και διαδικασίες διακυβέρνησης και διαχείρισης του τρόπου χρήσης, αποθήκευσης, κοινής χρήσης και διαγραφής των δεδομένων.