Na redakční otázky k hlavnímu tématu odpovídá Aleš Pikora, ředitel divize DataGuard, PCS

1) Mnoho firem se procesu klasifikace dat obává jako administrativně náročného a zatěžujícího. Jsou jejich obavy oprávněné?

Záleží samozřejmě na stávající struktuře zabezpečení dat. V naprosté většině případů však opravdu prvotní kategorizace dat není zcela jednoduchou záležitostí, a to i proto, že podobné projekty zákazník mnohdy využije k „velkému úklidu“ a stanovení nových pravidel nakládání s daty. Na rozdíl od ostatních oblastí IT bezpečnosti je u klasifikace a ochrany dat, potřebná větší spolupráce IT oddělení s managementem společnosti.

2) Na co se má připravit organizace, která chce katalogizovat elektronická data?

Data jakéhokoliv druhu – databáze zákazníků, finanční výsledky, zdrojové kódy a další – představují v současné době hlavní aktiva firem. Proto se musí připravit především na stanovení jasné koncepce procesů a pravidel, změnu bezpečnostních směrnic a určitou prvotní nevoli uživatelů.

3) Případy velkých úniků miliónů osobních záznamů z poslední doby (Sony, Electronic Arts aj.) ukazují, že jde o velmi problematickou oblast. Co vlastně nejčastěji děláme špatně, že k podobným incidentům dochází?

Je to především přílišné zaměření jedním směrem, což přináší oslabení nebo úplné opomenutí zbývajících částí bezpečnosti. A pak je to stagnace ve vývoji, nechuť měnit to co „funguje“. Dynamika tohoto oboru brzy většinu uživatelů přinutí k aplikaci nových technologií, bohužel často ex post. Dalším faktorem je často nevědomost uživatelů o hodnotě dat, se kterými pracují a co by případná ztráta těchto dat mohla znamenat pro jejich společnost. Nezávisle na použitých technologiích je tedy klíčová i informovanost uživatelů.

4) Odborníci často poukazují, že dnešní systémy ochrany dat mají z technického hlediska mnoho slepých míst - např. neošetřují úniky přes tiskárny. Souhlasíte s tímto názorem?

Tyto obavy sice jsou na místě, nicméně oněch „slepých míst“ je stále méně a nejsou zdaleka tak lehce odhalitelná. Například problém tiskáren je již delší dobu vyřešen. V současné době existuje již mnoho řešení k ochraně dat ať již se jedná o ochranu síťové komunikace, ochranu přenosných zařízení jako např. USB či DVD ROM, k dispozici jsou šifrované USB zařízení…. Samozřejmě záleží na výběru technologie a výrobce, někteří se ještě stále potýkají s počátečními problémy. My dodáváme zákazníkům např. řešení firmy McAfee, které jsme elitním partnerem, a která disponuje ucelených portfoliem produktů pro ochranu dat. Je důležité si uvědomit, že data se musí chránit na více úrovních, což z technického pohledu není takový problém. Při plánování projektu ochrany dat je však klíčové si důkladně zmonitorovat procesy v rámci vlastní infrasktruktury a dle toho zvolit vhodné produkty.

5) Která organizační opatření považujete za základ ochrany citlivých dat?

Velmi důležité je takové nastavení procesů v organizaci, aby stávající i nově vznikající citlivá data byla správně kategorizována a měla zachovánu stejnou úroveň bezpečnosti bez ohledu na místo či čas vytvoření. V oblasti ochrany dat je stejně jako v jiných oblastech IT bezpečnosti důležité minimálně omezovat uživatele při výkonu jeho pracovní činnosti. Na druhou stranu si uživatel musí být vědom, že data se kterými pracuje jsou chráněna před zneužitím a nepovolené nakládání s daty je monitorováno a evidováno.

6) Co můžete nabídnout jako největší novinku na poli managementu citlivých dat?

Ochrana dat se dnes netýká pouze koncových zařízení, ale je potřeba upřít pozornost i směrem na mobilní zařízení, ochranu síťové i databázové struktury. S přibývajícími útoky na mobilní telefony, resp. smartphony, přichází dodavatelé bezpečnostních řešení právě s produkty určenými k jejich ochraně, ať již se jedná o Kaspersky Mobile Security nebo McAfee Mobile Ecryption. Vzájemná provázanost správy takových řešení je velmi důležitá a právě v tomto směru jsou technologie, které nabízíme špičkou v oboru.