Na redakční otázky odpovídájí Ing. Petr Nádeníček, Senior IT Security Consultant a Ing. Jan Poduška, IT Security Consultant, AEC, spol. s r.o.

1) Je zapotřebí bezpečnosti paměťových médií věnovat zvýšenou pozornost?

Vzhledem k jejich povaze rozhodně ano. Jejich výhody z hlediska snadné manipulace s daty jsou současně nevýhodami z hlediska bezpečnosti. Bezpečnost a uživatelský komfort zpravidla stojí proti sobě. Velkou bezpečnostní výzvou posledních let jsou různá velkokapacitní média připojitelná k PC prostřednictvím USB. Zde již nejde ani tak o způsoby zabezpečení dat na těchto médiích, jako spíše o regulaci jejich používání v rámci organizace a zabránění nežádoucího vynášení velkých objemů dat a informací z organizace.

2) Jak technicky zajistit bezpečnost paměťových médií?

V zásadě lze použít dva způsoby jak zajistit bezpečnost paměťových médií. Prvním způsobem jsou právě různé technické prostředky. Typicky se používají různé druhy šifrování. Druhým, často opomíjeným, způsobem je použití administrativních opatření, jako například viditelné označování medií s citlivými údaji, zákaz vynášení medií mimo pracoviště a podobně. Použití těchto opatření a prostředků je ale individuální a závisí na množství faktorů, jako jsou míra citlivosti dat, technické a organizační možnosti organizace a podobně. Jde o to, aby ochrana dat byla přiměřená povaze dat.

3) Kde je nejslabší místo v oblasti paměťových médií? Na co bychom se měli soustředit?

Bohužel i zde platí, že nejslabším článkem systému bývají zpravidla samotní uživatelé. Takže máme-li se rozhodnout, na co se soustředit, neuděláme žádnou chybu, soustředíme-li se právě na ně. Vhodným prostředkem je např. školení uživatelů, kde by se měli uživatelé seznámit s možnými hrozbami a riziky spojenými i s médii.

Na druhé straně ale nelze zcela spoléhat pouze na organizační opatření. V současnosti jsou již k dispozici více či méně sofistikované nástroje, které můžeme v organizaci využít k omezení nežádoucího použití paměťových médií a zamezení úniku informací jejich prostřednictví. Mezi komplexní nástroje v této oblasti, které řeší i další komunikační kanály, patří aplikace typu Data Loss Prevention.

4) Jak zakomponovat otázku bezpečnosti paměťových médií do bezpečnostní politiky?

Otázka bezpečnosti paměťových medií by měla mít v rámci bezpečnostní dokumentace svoje pevné místo. Ideálním řešením je samostatná kapitola v rámci bezpečnostní příručky pro uživatele, která bývá běžným uživatelům bližší než formální bezpečnostní politiky. V praxi je obvykle lepší zbytečně neřešit příliš do hloubky některé formální náležitosti, jako jsou např. skartační protokoly pro „každou disketu“, ale spíše vysvětlit možná rizika a zdůvodnit jimi daná bezpečnostní opatření.

5) Jak nejlépe ochránit paměťová média před různými nepříjemnými příhodami? (Ztráta, selhání, nechtěné přepsání dat...)

Možných způsobů ochrany je samozřejmě více. Mezi nejlepší ale bude opět patřit důsledně školení uživatelů. Čím zkušenější a poučenější uživatel, tím nižší riziko nepříjemné příhody, neboť jak známo, štěstí přeje připraveným…

Lidský faktor | Management citlivých dat | Přenosná paměťová média