Na redakční otázky odpovídá Luděk Novák, senior konzultant oddělení Manažerské a procesní poradenství ve společnosti ANECT

 1)  Jak nejjistěji detekovat únik dat?

Detekování úniku informací patří k nejsložitějším problémům, které řízení bezpečnosti řeší. Je jasné, že složitost je především dána potřebou informace sdílet. Tím se ale otvírá prostor  pro možné zneužití. V praxi jsme schopni detekovat některé pokusy o únik dat na úrovni technologií, nicméně pro úniky informací z „hlav“ pracovníků vhodné způsoby detekce neexistují (a snad nikdy ani existovat nebudou). V tomto směru je možné za nejjistější formu detekce úniku informací považovat kontrolu spokojenosti a loajality pracovníků, kteří jsou si bobře vědomi souvisejících bezpečnostních rizik. Ale to už úplně není o detekci úniku, že? 

2)  Jakým způsobem nejlépe třídit a katalogizovat data, abychom je mohli adekvátním způsobem chránit?

Principy klasifikace a třídění dat jsou v řízení bezpečnosti používány již dlouhou dobu. Ve své podstatě nejpropracovanější systémy jsou vytvořeny pro ochrany státem klasifikovaných informací. Ne vždy dochází k zcela účelnému přenesení těchto pravidel do běžného života řízení bezpečnosti „normálních“ organizací. Hodně se zapomíná na skutečnost, že systém klasifikace dat musí vést ke zjednodušení pravidel. Jinými slovy, pomocí klasifikace jednoznačně určuji pravidla ochrany. Nižší klasifikace znamená nižší náročnost ochrany. Naproti tomu vyšší klasifikace musí vést k náročnějším požadavkům na ochranu. Tím, že informaci zařadím do vhodné „škatulky“, určuji způsob její ochrany, která je srozumitelná všem uživatelům. Aby systém klasifikace ustal přehledný doporučuji využívat tři či čtyři kategorie (výjimečně zle zvládnout i pět kategorií). U tří kategorií si vystačíme s rozdělením: veřejná informace, interní informace, důvěrná informace. Vždy můžeme doplnit čtvrtý stupeň přísně důvěrná informace či dokonce pátý super důvěrná informace. Šest a více kategorií již přestává být přehledné a rozumní manažeři bezpečnosti informací. Vlastní použití je hodně ovlivněno podstatou činností organizace, její velikostí, vnitřní kulturou a řadou dalších faktorů. 

3)  Nakolik je ochrana před úniky dat otázkou technickou a nakolik administrační/organizační?

Jsem přesvědčen o tom, že ochrana před únikem dat je primárně otázkou organizační a personální bezpečnosti. V tomto směru je důležité hodně odlišovat kritické informace, u kterých významně omezíme okruh lidí, kteří jsou s nimi seznámeni. Vedle toho existuje „běžné“ obchodní tajemství, které musíme efektivně sdílet, protože potřebujeme zajistit relativně široké sdílení skupinových znalostí. Technologie mohou pomoci, ale jejich použití má v oblasti úniku dat významné limity.

4)  Co je podle vás největší překážkou rozšíření kvalitních DLP technologií?

DLP technologie (včetně různý obdob) jsou jistě zajímavými bezpečnostními nástroji, které mohou vhodně prohloubit úroveň bezpečnosti. V různých překážkách rozšiřování vidím dvě zásadní.

První je obecnější a je řekněme dána nižší potřebou řešit bezpečnost pro řadu organizací, které si plně neuvědomují důležitost svých informací. Druhým, možná kritičtějším problémem, je skutečnost, že DLP nástroje jsou při implementaci poměrně náročné na bezpečnostní vyzrálost organizace. Často nejde o technologické složitosti, ale o to, že organizace není schopna dobře určit důležitost informačních aktiv, neprovádí jejich klasifikaci, nezná související bezpečnostní rizika a ani nemá stanoveny priority pro řízení bezpečnosti informací. Bez těchto vstupů není technologie DLP vůbec jednoduché nasadit tak, aby měly ten správní efekt pro prohloubení bezpečnosti.

5)  Která technologie v oblasti DLP by rozhodně neměla uniknout naší pozornosti?

Všeobecně lze fungování DLP technologií rozdělit do tří funkčních celků:

První celek vyhledává, kde jsou informačních systémech data uložena, druhý monitoruje vlastní využívání dat a třetí chrání důvěrná data na základě stanovených politik.

Všechny tyto celky jsou spravovány řídícím serverem.

Z hlediska efektivního ochrany dat  je vhodné využít všechny tři funkční celky, ale jako nezbytné se jeví využití technologií pro vyhledávání a vlastní ochranu dat.

Data Loss Prevention | Lidský faktor