Jak chránit data v klidu
Všechny informace, které má vaše společnost, jsou důležité – jinak by byly vymazány. Různá data musíte chránit před ztrátou, protože bez určitých záznamů nemůže vaše společnost pokračovat. Podobně si musíte být jisti, že se záznamy nelze manipulovat za účelem vytvoření nepravdivých informací a nechcete, aby byly kritické informace prozrazeny konkurentům.
Ochrana dat je vyžadována legislativou, která platí po celém světě. Například v USA jsou průmyslové standardy zabezpečení dat jako např Standard zabezpečení dat odvětví platebních karet (PCI DSS) pro sektor plateb kreditními kartami a Zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA) pro sektor zdravotnictví jsou vynucovány legislativou. Existují také geografická omezení pro používání dat. Tento druh povinnosti ukládá především EU Obecné nařízení o ochraně osobních údajů (GDPR) a Kalifornský zákon na ochranu soukromí spotřebitelů (CCPA).
Jaká data je třeba chránit?
Standardy ochrany údajů se konkrétně týkají osobních údajů jednotlivců. Netýká se to údajů o společnostech nebo lidech, kteří tam v rámci svých funkcí pracují. Existuje však tenká hranice mezi tím, co je považováno za osobně identifikovatelné údaje (PII).
Příkladem údajů považovaných za PII je kontaktní list zaměstnance v personálních záznamech, který obsahuje jméno zaměstnance, adresu bydliště, osobní e-mailovou adresu a telefonní číslo. Databáze firemních kontaktů, která se skládá ze jména a kontaktních údajů stejné osoby na jejím pracovišti, se však nepovažuje za PII.
Rozsah standardů ochrany osobních údajů
Možná se nezabýváte péčí o zdraví lidí a možná nemáte sídlo v EU. Nicméně, standardy ochrany osobních údajů prolévají dodavatelským řetězcem IT, takže podniky, které nejsou přímo zapojeny do kontrolovaného odvětví nebo nepůsobí v oblasti pokryté legislativou, mohou stejně zjistit, že musí dodržovat.
Téměř ve všech případech se standardy zabezpečení dat vztahují k PII. Existuje jedna výjimka, kterou je Sarbanes – Oxleyův zákon (SOX), což se týká záznamů o finančních transakcích podniků. Pokud se vaše firma nikdy nedotkne ukládání osobních údajů, pak se nemusíte ničeho obávat.
V IT průmyslu, dodavatelský řetězec služeb znamená, že podniky, které slouží jiným společnostem, vaše PII, budou pravděpodobně muset splňovat téměř všechny dostupné normy zabezpečení dat. To platí zejména pro poskytovatele spravovaných služeb (MSP) a cloudové služby.
Standardy ochrany dat vyžadují, aby primární podnik, který shromažďuje a používá PII, odpovídal za všechny události zpřístupnění dat bez ohledu na to, kde k nim dojde. Společnosti hledající služby tedy zadávají smlouvy pouze poskytovatelům, kteří splňují požadovaný standard. Pokud běžíš cloudová služba s globálním dosahem přijdete o velkou část potenciálních zákazníků, pokud nebudete dodržovat všechny důležité standardy zabezpečení dat.
Zabezpečení dat
Kromě legální problémy v okolí PII budou další typy informací, které nechcete, aby se ostatní dozvěděli. Pokud například uvažujete o koupi jiné společnosti, je třeba tyto informace uchovávat v soukromí, hlavně veřejně obchodovatelné. Kromě toho nechcete, aby vaši konkurenti znali vaši nákladovou strukturu nebo podrobnosti o současných výzkumných a vývojových projektech.
Takže musíte chránit data které vaše společnost používá bez ohledu na to, zda se to týká PII. Stavy firemních informací spadají do tří kategorií:
- Používaná data
- Data v klidu
- Data v přenosu
Každý z těchto států má své specifické bezpečnostní požadavky. Například ochrana používaných dat zahrnuje úvahy o vhodné použití a kontroly přístupu. V této příručce nás zajímají zejména klidová data. Mnoho protokolů a služeb pro přenos dat však zahrnuje i to, že jsou data v klidu. Například všechny e-mailové systémy zahrnují data, která jsou nejprve odeslána na e-mailový server, ze kterého si je e-mailový klient příjemce stáhne, ale nejsou trvale smazána.
Ochrana dat v klidu
Typicky byste očekávali data v klidu uchovávat v souborech na souborových serverech. Je však třeba zvážit i jiné formáty a umístění úložiště. Například také potřebujete chránit databáze, které mohou být nakonec také uloženy jako soubory. Navíc existují různé formáty cloudového úložiště vzít v úvahu, jako je úložiště objektů blob, které nemá žádnou formální strukturu souborů. Nakonec zvažte také to, že data mohou být uložena v dočasných souborech na místech, kde byste to možná nečekali, jako jsou tiskárny a faxy.
I když máte zjevnou zásadu uchovávat soubory pouze na jednom konkrétním místě, vaše firma může mít mnoho dalších úložišť PII, o kterých nevíte. Systémy ERP a CRM často uchovávají svá data odděleně.
Zjišťování a klasifikace dat
Prvním problémem při přístupu k ochraně dat v klidu je přesně vědět kde to je . Dalším krokem je určit, která data jsou citlivý buď – například PII nebo související nezávisle s obchodním tajemstvím.
Poté můžete vytvořit strategii pro konsolidaci datových úložišť. V mnoha případech se aplikace, které používáte, nemusí hodit ke správnému odstranění dočasných souborů. V takových případech budete muset zavést pravidelné administrativní zametání vyčistit disky odstraněním těchto dočasných souborů a stínových kopií. Některá řešení ochrany dat jsou procesní spíše než technické.
Správa přístupových práv
Správná ochrana dat při používání, v klidu a při přenosu vyžaduje velmi jemné vyladění uživatelské účty a přístupová práva. V tomto ohledu jsou všechny tři stavy dat propojeny. Data musíte rozdělit tak, aby ke konkrétním datovým typům měly přístup pouze konkrétní role v konkrétních odděleních.
Administrátorské účty a přístup technika může být zvláštní problém, na mnoho zařízení, jako jsou tiskárny a vyměnitelné úložiště, se nemusí vztahovat přístupová práva nebo jsou dodávána s výchozími a snadno uhodnutelnými přihlašovacími údaji, jako je ADMIN/PASSWORD.
Opatření na ochranu souborů
Hlavním cílem vašeho bezpečnostního úsilí bude ochrana souborů. Systémy, které chrání přístup k souborům, se však také zabývají otázkami ochrany používaných dat. Tyto jsou tzv monitorování integrity souborů (FIM) služby.
Systémy FIM řídí přístup ke konkrétním souborům a také sledují všechny akce, které jsou s jejich obsahem prováděny. V některých případech se jedná pouze o službu protokolování, která zaznamenává uživatelský účet a datum a čas přístupu. V ostatních případech FIM zahrnuje systémy pro správu verzí které ukládají úplnou kopii souboru pokaždé, když je provedena změna, což umožňuje tyto změny odstranit návratem k předchozí verzi.
Ve všech verzích FIM, a jasně definované soubor uživatelských účtů je nezbytný pro správné sledování aktivity.
FIM lze vynutit šifrování . Toto šifrování lze použít na jednotlivé soubory nebo celé složky. Šifrovací systém by měl umožnit několika uživatelům přístup ke stejnému souboru, aniž by znali šifrovací a dešifrovací klíč. Jinými slovy, kontrola přístupu vynucená šifrováním by měla být neviditelná, což umožňuje přístup oprávněným uživatelům, aniž by si vůbec uvědomovali, že šifrování bylo použito.
Služby šifrování souborů jsou zvláště užitečné při blokování možnosti škodlivé činnosti techniků IT – to je nezbytné MSP činnosti.
Ochrana proti prozrazení dat
The poškození dat je především záležitostí systémů, které chrání používaná data. Hlavním cílem služeb, které chrání data v klidu, je zabránit prozrazení dat. Jinými slovy, musí zablokovat krádež dat. Ať už chce ukrást data nebo proč to dělá, můžete tyto příležitosti vypnout kontrolou veškerého potenciálu výstupní body .
Existuje několik způsobů, jak můžete tyto body exfiltrace dat řešit. Za prvé, můžete rovnou zakázat všechny diskové jednotky a porty USB a zablokovat připojení počítačů, které obsahují úložiště dat, k tiskárně.
Ochrana před neoprávněnými přenosy pomocí příloh v e-mailech nebo chatovacích aplikacích je obtížnější implementovat. Celkově budete potřebovat specializovaný software implementovat odpovídající kontroly nad body exfiltrace dat.
Prevence ztráty dat
Jakmile zvážíte, že specializovaný software blokuje výstupní body, prevence ztráty dat , zjistíte, že můžete velmi rychle implementovat sofistikovanější bezpečnostní politiku. Většina balíčků prevence ztráty dat (DLP) vám umožňuje implementovat řadu bezpečnostní politiky současně, takže můžete uživatelům umožnit přístup, přesouvat nebo kopírovat určité typy dat, ale nikoli jiné. Například někteří uživatelé budou mít přístup k některým datovým úložištím, zatímco jiní ne.
Kombinací toho, co uživatelé mohou s jakým typem dat dělat, jsou téměř nekonečné. Mnoho systémů DLP zjednodušuje formulování vhodné strategie ochrany dat tím, že poskytuje šablony že přednastavené kontroly podle konkrétních standardů ochrany osobních údajů.
Váš systém DLP bude také muset znovu implementovat váš správa přístupových práv struktura oprávnění a kategorizovat instance dat ve svém klasifikačním systému, aby tyto šablony efektivně provozoval.
Nejlepší nástroje pro ochranu dat v klidu
Ochrana dat v klidu vyžaduje balíček prevence ztráty dat.
Naše metodika pro výběr bezpečnostního nástroje pro data v klidu
Přezkoumali jsme trh se systémy prevence ztráty dat a analyzovali nástroje na základě následujících kritérií:
- Systém, který zahrnuje zjišťování a klasifikaci dat
- Služba, která reorganizuje a zpřísní přístupová práva a uživatelské účty
- Knihovna zásad zabezpečení, které zajišťují shodu se standardy ochrany osobních údajů
- Monitorování integrity souborů, případně včetně šifrování souborů
- Odstupňované kontroly nad body exfiltrace dat
- Možnost bezplatného posouzení systému
- Hodnota za peníze z nástroje, který poskytuje všechny funkce DLP v jednom balíčku a případně obsahuje i služby detekce hrozeb
S ohledem na tato kritéria výběru jsme vytvořili seznam vhodných balíčků DLP.
Zde je náš seznam pěti nejlepších systémů pro ochranu dat v klidu:
- ManageEngine DataSecurity Plus Tento místní softwarový balíček je nabízen jako tři moduly, které implementují posílení zabezpečení systému s posouzením systémů správy přístupových práv a serveru pro zjišťování a klasifikaci dat. Další modul implementuje monitorování integrity souborů s možností ochrany šifrováním. A konečně modul prevence úniku dat implementuje kontrolu nad kanály pro exfiltraci dat, včetně slotů USB, e-mailů a systémů pro přenos souborů. Bezpečnostní zásady je možné nastavit výběrem přednastavené šablony, která odpovídá konkrétnímu standardu ochrany osobních údajů. DataSecurity Plus se nainstaluje na Windows Server a ManageEngine jej nabízí 30denní bezplatná zkušební verze .
- Endpoint Protector Tato služba kombinuje systém prevence ztráty dat se službou detekce hrozeb. Tento nástroj zahrnuje analýzu chování uživatelů a entit (UEBA) k detekci převzetí účtu, narušení a vnitřních hrozeb. Balíček navíc obsahuje reorganizaci správy přístupových práv, zjišťování a klasifikaci citlivých dat a standardní šablony zásad zabezpečení pro dodržování standardů ochrany dat. Další funkce tohoto řešení nabízejí řízení kanálu exfiltrace dat a službu monitorování integrity souborů, která zahrnuje šifrování souborů.
Balíček je nabízen jako platforma SaaS, AWS, Google Cloud Platform a Azure nebo jako virtuální zařízení. Agenti koncových bodů jsou k dispozici pro Windows, macOS a Linux. Kromě toho nabízí CoSoSys demo aplikace Endpoint Protector. - Digital Guardian DLP Jedná se o cloudovou službu, která implementuje ovládací prvky prostřednictvím agentů na zařízení dostupných pro Windows, macOS a Linux. Tento balíček zahrnuje audit správy přístupových práv, zjišťování a klasifikaci dat a přednastavené bezpečnostní zásady pro dodržování standardů ochrany osobních údajů. Tento systém vyhledává a chrání duševní vlastnictví i PII. Řídí aktivity na e-mailových systémech, portech USB a tiskárnách, aby blokoval pohyb dat.
- Teramind DLP Cloudová platforma s koncovými agenty pro Windows a macOS. Agenty lze také spouštět přes virtuální počítače. Místní verze serveru DLP je k dispozici také jako virtuální zařízení. Tento balíček také zahrnuje sledování produktivity zaměstnanců, monitorování vnitřních hrozeb a zjišťování a klasifikaci citlivých dat, které mohou skenovat a dokumentovat obrázky pro data. Součástí jsou také kontroly exfiltrace.
- Azure Information Protector Jedná se o službu na platformě Azure, ale může také řídit aktivity související s daty na jiných cloudových platformách a vašich webech. Služby zahrnují sledování kopie souboru a vodoznak dokumentu.