Data Access Governance – jak zmniejszyć ryzyko wycieku danych i zapewnić firmie skuteczną kontrolę dostępu

Identity Management expert - Grzegorz Kowalczyk podpis

Data Security Ikona5

Przetwarzane informacje oraz źródła ich pozyskiwania są jednym z najcenniejszych zasobów przedsiębiorstw. Jak uchronić się przed wyciekiem danych? I jak zapewnić bezpieczną dystrybucję informacji do odpowiednich osób, nawet spoza organizacji?

IDM - zarzadzanie uprawnieniami w firmach Qumak

Zarządzanie uprawnieniami – informacje pod ścisłą ochroną

Informacja jest dziś kluczowym zasobem firm. Czas jej pozyskania informacji oraz szybkość udostępnienia partnerom odgrywa kluczową rolę w osiąganiu przewagi rynkowej. W niemal każdej firmie toczy się walka o równowagę pomiędzy zabezpieczeniem danych a możliwością łatwego ich udostępniania.Data Access Governance 80 procent-Gartner

 

Podstawowym orężem tej walki jest uporządkowana wiedza na tematy: jakie są krytyczne z punktu widzenia przedsiębiorstwa systemy i aplikacje, które przetwarzają kluczowe informacje? Kto potrzebuje dostępu do tych informacji? W jaki sposób będziemy je udostępniać?

 

Przedsiębiorstwa radzą sobie z tymi problemami na różne sposoby. Zarządzanie tożsamością coraz częściej postrzegane jest, jako konieczność dostosowania się do zmieniających się przepisów oraz wsparcie dla zarządzania dynamicznie rozwijającymi się środowiskami IT.

 

Dużym wyzwaniem wciąż pozostaje zarządzanie dostępem do danych nieustrukturyzowanych (ang. Data Access Governance). Wielu praktyków w dziedzinie kontroli dostępu wie, jak istotny to aspekt cyberbezpieczeństwa. Jednak ze względu na złożoność tych systemów nie są umieszczane na szczycie listy rozwiązań do wdrożenia, a to może narazić firmę na poważne straty.

 

Jak wielkim wyzwaniem jest Data Access Governance?

Niektóre wskaźniki działania systemów, jak np. szybkość uruchamiania programu, jesteśmy w stanie precyzyjnie określić. Natomiast gdy rozmawiamy o ilości danych nieustrukturyzowanych, odpowiedź nie jest już oczywista.

 

Czym w ogóle są dane nieustrukturyzowane? To pliki generowane przez użytkowników, czyli m.in. arkusze kalkulacyjne, dokumenty, prezentacje. Gartner szacuje, że to aż 80% wszystkich danych w przedsiębiorstwie. Czyli tyle, ile zawierają łącznie wszystkie bazy danych z gigabajtami informacji o firmie, klientach, partnerach, transakcjach, a następnie pomnożone przez cztery.

 

cudzyslow

Zapanowanie nad ogromem informacji i objęcie ich kontrolą może zminimalizować ryzyko wycieku. To oznacza uniknięcie wysokich strat finansowych i wizerunkowych.

 

Skala problemu staje się jeszcze poważniejsza, kiedy spojrzymy na statystyki Computer Science Corporation (CSC) z 2012 r. Wskazują, że do 2017 r. ilość danych nieustrukturyzowanych urośnie o 650%. A ich wielkość to tylko jeden wymiar. Pozostaje jeszcze kwestia rozproszenia.

 

Zapanowanie nad ogromem informacji i objęcie ich kontrolą dostępu może zminimalizować ryzyko wycieku. W efekcie firmy mogą uniknąć wysokich strat finansowych i wizerunkowych.

 

Pierwsze kroki do wprowadzenia systemu zarządzania dostępem

Firmy często korzystają z zasobów współdzielonych i „prywatnych” instancji SharePoint, które nie podlegają wewnętrznym zasadom polityki bezpieczeństwa. Zdarza się również, że zasoby firmowe wymieniane są w chmurze z wykorzystaniem takich usług, jak Dropbox.

 

Co zatem zrobić, żeby okiełznać zagrożenie, jakie stwarza codzienna wymiana tysięcy plików? Najlepiej zacząć od wcielenia w życie trzech zasad.

 

1. Zacznij kontrolować znane i nieznane zasoby współdzielone (wewnętrzne i zewnętrzne)

Jeżeli zasoby współdzielone pozostają bez kontroli, działają jak kryptonit nawet dla najlepszych modeli bezpieczeństwa. Absolutnie kluczowe jest określenie, kto powinien mieć do nich dostęp i jak tego dostępu udzielać.

 

W zależności od wewnętrznych procesów biznesowych kontrola dostępu może przebiegać na różnych zasadach. Ta część działań jest stosunkowo łatwa do wprowadzenia. Zasoby współdzielone badamy pod takim kątem, by określić kto i jaki ma do nich dostęp oraz kto jest ich właścicielem. Na podstawie tej wiedzy wprowadzimy niezbędną standaryzację.

 

2. Określ, gdzie znajdują się dane wrażliwe i kto jest ich właścicielem

Gdy ugasimy pierwszy pożar, czyli uporządkujemy zasoby współdzielone, przechodzimy do określenia, jakie dane uznajemy za wrażliwe. Ich lista będzie zależała od tego czy:

 

  • nasza organizacja podległa ścisłym przepisom
  • musimy zachować zgodność z takimi standardami, jak PCI lub SOX
  • istnieją inne specyficzne aspekty dla naszego przedsiębiorstwa

 

Rozwiązanie tych kwestii pozwoli określić, jakich danych poszukujemy. Następnym krokiem po ich odnalezieniu jest określenie właściciela informacji. W tym celu niezbędne będzie przeprowadzenie wielu rozmów. Zdefiniujemy tym samym, jak powinien być realizowany dostęp do danych, aby był w pełni kontrolowany i wygodny dla odbiorców.

 

3. Wprowadź okresowe przeglądy uprawnień i kampanie certyfikacyjne

Przeglądy okresowe, zwane także certyfikacją lub atestacją, wyrosły ze standardów bezpieczeństwa w zakresie zapewniania zgodności, które mają zaprosić biznes do współpracy. Polegają na tym, że wszystkie wysiłki z zakresu bezpieczeństwa muszą być kontynuowane w ciągłym procesie kontroli nad uprawnieniami. Tylko takie działania zagwarantują, że dostęp do kluczowych informacji będzie realizowany we właściwym zakresie i dla właściwych użytkowników.

 

 

Grzegorz Kowalczyk - Identity Management Expert

Grzegorz Kowalczyk

 

Ekspert rozwiązań Identity Management

Qumak S.A.

 

messageKontakt – Security IT