Home Bezpieczeństwo Warto dobrze administrować danymi

Warto dobrze administrować danymi

12 min
0
0
134

W dzisiejszym świecie, w którym informacja jest najcenniejszym towarem ochrona wrażliwych danych musi być szczególnie respektowana. Prawidłowe zarządzanie nimi może stać się przewagą konkurencyjną i dodatkowym powodem dla klientów do skorzystania z usług lub produktów danej firmy.

  • Według raportu Kroll Ontrack z 2012 r. koszty związane z ich utratą dla 25 proc. przebadanych firm m.in. z Polski wyniosły co najmniej 150 tys. złotych.  Przypadający 28 stycznia Europejski Dzień Ochrony Danych Osobowych to dobra okazja, żeby przypomnieć rozwiązania które mogą służyć przedsiębiorstwom i instytucjom do zabezpieczania danych, np. drukarki oferujące dostęp do wydruków tylko uprawnionym pracownikom czy programy szyfrujące pliki na smartfonie.
  • Europejski Dzień Ochrony Danych Osobowych ma na celu zwrócić uwagę firm, instytucji i klientów na ryzyka związane z udostępnianiem i archiwizowaniem danych. Ustanowiono go, ponieważ mimo rygorystycznego prawa i jasno sformułowanych wymagań ciągle zdarzają się przypadki wycieku ważnych informacji. Przykładem może być kradzież informacji dotyczących kart płatniczych i szczegółów logowania klientów Sony w 2011 r.. Koncern został właśnie ukarany przez Brytyjskie Biuro Informacji Publicznej (ICO) grzywną 250 tys. funtów, czyli ok. 1,200 mln zł. za brak odpowiednich zabezpieczeń. Ze statystyk GIODO wynika, że w 2012 roku wpłynęło 1306 skarg na nieprawidłowe administrowanie danymi osobowymi. Zgodnie z prawem, udostępnianie lub umożliwianie dostępu do tego typu zbiorów osobom nieupoważnionym podlega grzywnie, a nawet karze ograniczenia lub wolności.

Konsekwencje takich sytuacji mają nie tylko charakter prawny, ale i finansowy. Koszty zniknięcia kluczowych informacji z samej tylko poczty elektronicznej i systemów pracy grupowej rosną z każdym rokiem. Jedno na cztery przebadane w 2012 r. przez firmę Kroll Ontrack przedsiębiorstwa z całego świata szacuje, że jego wydatki z tego tytułu wyniosły w 2011 r. co najmniej 50 tys. dol. (ok. 150 tys. zł), a 3 proc. – ponad 1 mln dol.(ok. 3 mln zł). Koszt utraty danych tylko ze środowisk Microsoft Exchange Server i Office SharePoint Server 25 proc. przebadanych firm szacuje na więcej niż 50 tys. dolarów. Według informatyków czas potrzebny na odzyskanie danych to najczęściej połowa dnia pracy, ale może to być nawet kilkanaście dni. W skrajnych przypadkach nie udaje się to nigdy.

Ochrona danych na kilku frontach

Można wskazać trzy obszary, w których firmy są szczególnie narażone na utratę danych: ruch sieciowy, zarówno wewnętrzny, jak i zewnętrzny, obieg dokumentów papierowych oraz wycofywanie z użycia nośników pamięci. Ochronę przed wyciekami informacji w ruchu sieciowym stanowią tzw. systemy DLP (ang. data leak protection – ochrona przed wyciekiem danych). Wykrywają one ruch danych wrażliwych w firmowej sieci, w razie potrzeby blokują ich zapis na nośniki zewnętrzne i stosują ich szyfrowanie w taki sposób, żeby były niemożliwe do odczytania poza organizacją. Przykładem jednego z nich jest stworzona przez Fuji Xerox metoda szyfrowania obrazów, plików wideo i tekstów ściąganych na mobilne urządzania. Pozwala ona na ich ochronę w przypadku, gdy sprzęt zostanie skradziony. Oprogramowanie Mobile Confidential Viewing umożliwia zakup e-biletu, który szyfruje i odszyfrowuje dane. W przypadku kradzieży sprzętu, jego właściciel może anulować e-bilet umożliwiający odczytanie danych i tym samym spowodować, że złodziej nie będzie mógł zdobyć informacji znajdujących się na urządzeniu.            Dodatkowym zabezpieczeniem jest konieczność aktualizowania biletu, który wygasa po określonym czasie.

Inne rozwiązania chronią przedsiębiorstwo przed wyciekiem informacji w „tradycyjny” sposób – przez wejście w posiadanie dokumentów papierowych pracowników, którzy nie powinni mieć z nimi styczności

Dodatkowym zabezpieczeniem dokumentów papierowych może okazać się wynalazek naukowców z kanadyjskiego oddziału Xerox, którzy opracowali specjalny tusz do drukarek znikający po 16-24 godzinach z papieru pod wpływem światła słonecznego. Okazuje się zatem, że rozwiązania rodem z filmów szpiegowskich mogą przysłużyć się też w pracy codziennej firm.

Ponadto należy pamiętać by prawidłowo wycofywać z eksploatacji zużyte nośniki pamięci. Samo skasowanie danych bądź sformatowanie dysku nie powoduje zniknięcia z nich informacji – dla specjalistów odczytanie z pozoru „nieistniejących” danych nie stanowi większego problemu. Dlatego aby je trwale usunąć możemy posłużyć się jedną z dwóch metod: programową lub fizyczną. W tej pierwszej stosowane są specjalistyczne programy, które nadpisując wielokrotnie nowe informacje na stare uniemożliwiają ich pierwotne odczytanie. Metody fizyczne są zdecydowane mniej finezyjne i proponują różnorakie rozwiązania: od poddania dysku twardego procesowi demagnetyzacji, przez jego spalenie, wiórkowanie, poddanie promieniowaniu jonizującemu, aż po polewanie specjalnymi substancjami chemicznymi. Wszystkie te metody powodują fizyczną destrukcję nośników pamięci.

Podstawowe zasady

Najważniejszym filarem ochrony danych jest sam człowiek. Eksperci podkreślają wagę tzw. czynnika ludzkiego – doboru właściwych pracowników do odpowiedzialnych zadań.

Co więcej, według Macieja Nuckowskiego z Xerox Polska, w 80 proc. przypadków firmy tracą dane na skutek ludzkiego błędu lub celowego działania. Opinię tę potwierdzają badania firmy Kroll Ontrack, z 2011 r. wedle których nawet jedna piąta pracowników przesyła pocztą elektroniczną informacje będące tajemnicami służbowymi do osób trzecich i swoich znajomych, a co czwarty z nich kopiuje firmowe dane na swoje prywatne konta, licząc na to, że uda się je wykorzystać później. Najczęściej są to plany biznesowe, bazy danych osobowych klientów czy informacje objęte klauzulami poufności.

Również klienci nie stosują dobrych praktyk w zakresie ochrony danych, które wymieniają z przedsiębiorstwem. Niestety często sami narażają się na ich kradzież np. udostępniając je przez Internet nieznanym podmiotom. Nie doceniają za to starań przedsiębiorców o właściwe zarządzanie wrażliwymi danymi. Dla przykładu w sektorze call centers klienci często uznają rejestrowanie rozmów, które ma na celu m.in. uwierzytelnienie i właściwe wprowadzenie do systemu ich danych, za naruszenie prywatności, porównując procedurę nagrywania do monitoringu przestrzeni publicznej.

 

Pobierz więcej artykułów
Pobierz więcej  redakcja
Pobierz więcej z Bezpieczeństwo

Dodaj komentarz

Przeczytaj również

Jak nadrobić 10 lat zacofania i zdążyć do 2035 roku?

Przez najbliższe 3 lata sprzedaż samochodów elektrycznych musi wzrosnąć aż 12-krotnie, aby…