Poznaj najlepsze praktyki tworzenia klasyfikacji danych

Liczba przetwarzanych danych na całym świecie rośnie w błyskawicznym tempie. By uzmysłowić sobie o jakiej skali mówimy, wystarczy zerknąć na swój komputer i zobaczyć ile plików oraz dokumentów na nim się znajduje, a później pomnożyć to razy miliardy urządzeń, które pracują na całym świecie. Zapewnienie bezpieczeństwa tych dokumentów to wyzwanie globalne, w szczególności dla firm i instytucji, które gromadzą ich najwięcej.

By robić to skutecznie niezbędne jest odpowiednie klasyfikowanie danych, co pozwoli uniknąć strat finansowych, operacyjnych czy organizacyjnych. Klasyfikacja dokumentów  jest jednym z zabezpieczeń organizacyjnych, wynikającym z normy ISO/IEC 27001. W jaki sposób się za to zabrać i co dzięki temu można zyskać?

Jeden segregator na całą firmę

Posłużmy się przykładem. W średniej wielkości firmie, która zajmuje się obsługą księgową pracuje 20 osób. Wszystkie dokumenty związane z prowadzonymi sprawami trafiają do jednego segregatora. By było łatwiej, każdy z pracowników ma do niego dostęp, a nowe dokumenty dochodzą w zasadzie każdego dnia. Jeśli w segregatorze, nie będzie odpowiedniego porządku, oznaczenia, podziału na lata, miesiące, klientów czy pracowników, to momentalnie zapanuje w nim taki bałagan, że nikt nie będzie w stanie niczego znaleźć. Dokumenty będą wyciągane, przekładane, a część z nich zapewne nigdy nie wróci. Stop. Żyjemy przecież w czasach cyfrowych. Sytuacja jednak wygląda w zasadzie identycznie w przypadku elektronicznej formy plików, które gromadzone są na serwerach firmy, chmurze, sprzęcie pracowników czy nośnikach zewnętrznych.

Jeśli organizacja nie wie jakiego rodzaju dokumenty przetwarza, kto je gromadzi, czego dotyczą, czy mają charakter wewnętrzny lub zewnętrzny i jak cenne są dla firmy, to postępująca dezorganizacja spowoduje ogromny bałagan, który może doprowadzić w ostateczności do incydentu, związanego z udostępnieniem informacji osobom/podmiotom, które nie są do tego upoważnione. Podobnie jak jeden segregator – tłumaczy Mateusz Piątek, ekspert ds. bezpieczeństwa danych Safetica w DAGMA Bezpieczeństwo IT.

Proces klasyfikacji danych

Aby rozpocząć procedurę klasyfikowania dokumentów w firmie należy na początku zadać sobie kilka pytań; jakie dane są gromadzone, gdzie się znajdują, kto ma i kto powinien mieć do nich dostęp, kto jest ich właścicielem, w jaki sposób są rozpowszechniane i czy są przeznaczone do użytku wewnętrznego czy też mogą opuszczać organizację na zewnątrz. Podstawową zaletą klasyfikowania dokumentów jest ustalenie odpowiedzialności i właścicieli danych, co pozwala na przetwarzanie danych zgodnie z prawem, a w konsekwencji ich odpowiednie zabezpieczenie. Wiedza na temat wartości i wrażliwości dokumentów może pozwolić zmniejszyć poziom naruszeń bezpieczeństwa, a tym samym zachować normy zgodne z przepisami prawa. Przegląd firmowych lokalizacji lokalnych i chmurowych, które zawierają dane w różnych formatach, takich jak pliki obrazów, .pdf, pliki Excel czy Power Point jest niezbędny do skutecznego przeprowadzenia procesu klasyfikacji zasobów – dodaje Mateusz Piątek.

Zalecenia odnośnie sposobu klasyfikowania danych podpowiada norma ISO/IEC 27001, która w pkt. A8.2 zaleca, by organizacje „zapewniały, że informacje otrzymują odpowiedni poziom ochrony, zgodny z ich wagą”.

Klasyfikacja danych organizacji w 5 krokach:

3. Rejestr zasobów – kiedy wiadomo już jakie informacje przetwarza Twoja firma i pracownicy oraz jakie są lokalizacje dokumentów, powinno się zgromadzić je w rejestrze zasobów, uwzględniając osoby odpowiedzialne za dane oraz formaty w jakich są zapisane np. dokumenty papierowe, elektroniczne czy nośniki pamięci.
4. Wybór sposobu kategoryzowania informacji – klasyfikacja oraz jej ewentualne podkategorie będą uzależnione od wielkości organizacji oraz wielu innych czynników, które należy określić indywidualnie w każdej firmie.
5. Klasyfikowanie – najbardziej popularną formą oznaczania rangi dokumentów jest ich stopień poufności, który określa kto ma dostęp do informacji oraz kto jest ich właścicielem. Przykładowy schemat klasyfikacji:

• poziom I – publiczny i brak poufności;
• poziom II – wewnątrz firmy, ale dostęp dla wszystkich pracowników;
• poziom III – wewnątrz firmy, ale dostęp dla wybranych pracowników;
• poziom IV – wewnątrz firmy, ale tylko dla kadry zarządzającej/ zarządu.

5. Oznaczanie – wiedząc już jakie dokumenty zaklasyfikować do konkretnej kategorii informacji, należy wybrać i wdrożyć dla całej organizacji proces oznaczania danych, który będzie obowiązywał ich właścicieli. Może to być np. cyfra połączona z literą przypisana do konkretnego poziomu poufności.
6. Wprowadzenie polityki klasyfikacji danych i edukacja – odpowiednie kategoryzowanie danych jest procesem rozłożonym w czasie i nie może ulec zakończeniu, z bardzo prostego powodu. Wciąż pojawiają się nowe dokumenty, a pracownicy powinni wiedzieć jak postępować z informacjami, kto powinien mieć do nich dostęp oraz w jaki sposób powinny być chronione.

Klasyfikowanie dokumentów w organizacji wydaje się być skomplikowanym zadaniem. Jednak przemyślenie całego procesu, dobór odpowiedniej strategii działania i być może zaangażowanie w tym celu specjalistów, którzy pomogą w realizacji zadania z pewnością wpłyną na jakość pracy oraz efektywność biznesową organizacji. Mając wdrożony system klasyfikacji danych, firma może łatwiej zabezpieczyć aktywa wprowadzając rozwiązanie DLP. Pomaga ono stale monitorować dane i ich przepływ, a dzięki tagowaniu w szybki sposób wyłapywać incydenty bezpieczeństwa i chronić przed wyciekami na zewnątrz.