4 minute read
Ako klasifikovať dôverné informácie?
Informačná bezpečnosť firiem – 6. časť
Ako klasifikovať dôverné informácie?
Advertisement
Zabezpečiť podnikové informácie pred neoprávneným použitím, prezradením alebo zneužitím nie je jednoduchá úloha. Ak si uvedomíme, že údaje a dáta sa môžu nachádzať v listinnej aj elektronickej forme, pracujú s nimi zamestnanci, odosielajú sa obchodným partnerom, poskytujú sa úradom, bankám, advokátom, tak pochopíme, že rozsah, v akom sa údaje spracúvajú a prenášajú, nie je zanedbateľný a to ani v malých firmách.
Ako pristúpiť ku klasifikácii podnikových informácií?
Malé a stredné firmy zväčša nemajú pre ochranu dôverných informácií vytvorené dostatočné opatrenia alebo smernice. Ich zamestnanci pristupujú k tejto časti informačnej bezpečnosti iba intuitívne a informácie, ktoré sú z ich pohľadu dôverné, ochraňujú prirodzene alebo zo zvyku, ktorý získali v predošlom zamestnaní. A to je chyba. Týmto intuitívnym prístupom ku klasifikácii a ochrane dôverných informácií môžu zamestnanci nechtiac dôležité podnikové informácie ohroziť, lebo si neuvedomia ich citlivý charakter.
Napríklad pracovníci bežne pristupujú k osobným údajom uvedeným v životopisoch alebo mzdových spisoch obozretne, lebo vedia, že ide o citlivé údaje. Ak ide o heslo k počítaču alebo programu, tak ho častokrát ľahkovážne prezradia kolegom neuvedomujúc si, či požiadavka na ochranu používateľského hesla je rovnako dôležitá a v niektorých prípadoch aj vyššia.
Pre správne narábanie s podnikovými informáciami by mala existovať smernica alebo pokyn, ktorý by uvádzal, ako údaje klasifikovať.
Klasifikácia údajov podľa ich citlivosti:
Zamestnancom treba vysvetliť, ako rozpoznajú, s akou informáciou pracujú a treba ich naučiť, aby informácie správne označovali. Nemusí to byť náročné, ak sa použijú vhodné príklady.
Verejné informácie
sú také, ktoré firma zverejňuje a ich publikovanie nepredstavuje žiadne riziko, dokonca je zverejnenie informácií želané. Ide napríklad o kontaktné údaje, cenníky, informácie týkajúce sa produktov a služieb, marketingové informácie, reklamy, referencie spokojných zákazníkov, oznamy pre verejnosť a pod.
Interné informácie
sú informácie, ktoré nie sú určené verejnosti, ale ich prezradenie nepredstavuje pre firmu riziko a zväčša sú dostupné všetkým zamestnancom firmy. Ide napríklad o firemné oznamy, organizačné pokyny, vnútropodnikové smernice, návody na používanie softvéru, informácie o zamestnaneckých benefitoch, termíny celozávodných dovoleniek, dátumy firemných podujatí, fotografie z teambuildingov a podobne. Jednoducho všetko to, čo verejnosť nemusí zaujímať, ale pre zamestnancov firmy je to zaujímavá informácia bez negatívneho dopadu na firmu, ak sa to dozvie niekto z prostredia mimo firmy.
Chránené informácie
sú dôverné informácie, ktoré nie sú určené verejnosti a ani celej firme. Do tejto kategórie spadajú údaje a dáta, ku ktorým majú prístup pracovníci na úrovni oddelení a ktoré tvoria predmet ich spracúvania. Dá sa povedať, že väčšina informácií, ktoré zamestnanci spracúvajú, spadajú práve do kategórie chránených (t.j. citlivých alebo dôverných) informácií. K takýmto údajom by mali pristupovať zamestnanci iba na základe poverenia, mali by vedieť, o aké informácie ide, ako ich majú chrániť a komu ich môžu poskytnúť. Typickým príkladom sú mzdové údaje, účtovné údaje, obchodné údaje, plány spoločnosti, projektová dokumentácia, údaje o zákazníkoch a podobne.
Prísne chránené informácie
sú také údaje a dáta, ktoré sú určené len vybraným jednotlivcom. Často panuje mylná predstava, že do kategórie prísne chránených údajov patria iba údaje, ktoré sú určené vedeniu spoločnosti. V skutočnosti prísne chránenými údajmi disponuje skoro každý zamestnanec, lebo do tejto kategórie patria aj prístupové mená a heslá do počítačovej siete a do jednotlivých programov a informačných systémov. Prezradenie mena a hesla do počítačovej siete, ak to zneužije konkurencia alebo hacker, totiž môže mať pre firmu oveľa horšie následky, ako prezradenia niektorých obchodných údajov.
Ako označovať chránené informácie?
Ak viete, ako vo firme informácie rozdeliť, to jest klasifikovať, naučte zamestnancov, aby ich správne označovali. Nie je to nič ťažké, stačí, ak na úvod každého dokumentu alebo e-mailovej správy napíšu, či ide o informácie interné, chránené alebo prísne chránené. Ak ide o informácie chránené alebo prísne chránené, odporúčam
uviesť aj okruh oprávnených príjemcov, napríklad oddelenie alebo osoby.
Ako spracúvať chránené informácie?
Usmerňujte zamestnancov, aby pri práci s chránenými údajmi dodržiavali zásady „čistého pracovného stola“ a „čistej obrazovky“, teda aby údaje, listiny, dokumenty odkladali do určených uzamykateľných skriniek, aby ukončovali prácu s počítačom tak, že sa odhlásia a obrazovka ostane „zamknutá“ bez možnosti, aby sa k počítaču niekto iný prihlásil bez znalosti hesla.
Vytvorte zamestnancom podmienky na to, aby mohli údaje chrániť, bezpečne ich likvidovať, napríklad skartovaním a aby vedeli, že sú zodpovední za ich ochranu, keď sú im zverené do úschovy, napríklad pri služobnej ceste a pod.
Preto firmy čoraz častejšie okrem organizačných riešení, ktoré predstavuje klasifikácia informácií, pristupujú aj k vynucovaniu dodržiavania pravidiel ochrany dôverných
Percentuálny podiel spoločností, ktoré boli poškodené únikom dôverných informácií
Nástroje na ochranu dát v elektronickej forme
Zdroj: https://www.ekransystem.com/en/blog/insider-threat-statistics-facts-andfigures
Najčastejším spôsobom, ako z firmy uniknú dôverné dáta, je elektronická forma. Je to pochopiteľné, lebo aj veľký objem dát sa v elektronickej forme dá odoslať emailom alebo nakopírovať na malý USB disk, zatiaľ čo v papierovej forme by únik takéhoto objemu dát vzbudil pozornosť, digitálne dáta často uniknú pozornosti.
Štatistiky hovoria, že väčšinu únikov spôsobia zamestnanci a to buď neúmyselne z nevedomosti, alebo úmyselne s cieľom poškodiť firmu, alebo získať z ukradnutých údajov prospech. Podľa spoločnosti Verizon za predošlé 3 roky (2016 až 2018) stúpol počet incidentov, kedy za porušením ochrany podnikových dát boli interní zamestnanci z 25 na 34 %. Viac ako 51 % firiem očakáva, že v roku 2020 zaznamenajú údajov prostredníctvom špecializovaných softvérov, ktoré sú označované pojmom DLP (Data Leak Prevention).
Úlohou DLP systémov je monitorovať spracúvanie informácií (súborov, databáz, dokumentov, e-mailov) a ak ide o údaje označené ako chránené, tak ich neoprávnené kopírovanie, prenášanie, odosielanie, nahrávanie a pod. zaznamená, a buď úplne zakáže, alebo zadokumentuje pre neskoršie posúdenie toho, či išlo alebo nešlo a porušenie bezpečnosti. Dušan Peško konzultant pre GDPR
Príklad DPL systému, ktorý zobrazuje prehľad o tom, aké súbory opustili prostredie firemnej siete a akou cestou, či cez e-mial, USB disk, CD/DVD nosič, FTP prenosom a pod.
