Dlaczego Ochrona Informacji Jest Tak Ważna Dla Organizacji
Podstawą istnienia każdej firmy są Dane które przetwarzają jej pracownicy. Dane niosą za sobą Informacje, które wykorzystane w sposób nieprawidłowy stwarzają zagrożenie dla interesów firmy.
Informacje, które trafią w niepowołane ręce stwarzają zagrożenie na gruncie biznesowym – mogą to być: tajemnice handlowe, informacje o wykorzystywanych rozwiązaniach czy technologiach, informacje finansowe o kondycji firmy czy wprost informacje o kontrahentach.
Informacje, które trafią w niepowołane ręce wskutek naszego zaniedbania stwarzają zagrożenie na gruncie odpowiedzialności prawnej – mogą to być dane osobowe naszych pracowników, partnerów biznesowych, klientów lub pacjentów. Osobną kategorię stanowią dane dotyczące raportów giełdowych lub zamówień publicznych.
W erze technologii informatycznych i technologii umożliwiających bezproblemowe kopiowanie i przesyłanie danych, tak istotne jest prawidłowe podejście do klasyfikacji i ochrony informacji.
Kiedy Może Nastąpić Wyciek Informacji
Najczęstszym powodem naruszenia bezpieczeństwa danych i wycieku informacji są nie tylko cyberataki lecz również prozaiczne czynności i błędy naszych pracowników.
Oto kilka scenariuszy, w których możemy utracić kontrolę nad istotną dla nas Informacją.
Pendrive z danymi służbowymi
Skopiowanie danych na pamięć przenośną w celu archiwizacji, lub dokończenia pracy z domu – to potencjalne zagrożenie w przypadku jego zagubienia. Najmniejszym problemem jest utrata nośnika. Co jednak, jeżeli nie wiemy w czyje ręce dostały się dane na nim zapisane i jak je wykorzysta?
Komputer z którego korzysta osoba postronna
Użyczenie komputera członkowi rodziny nie wydaje się może szczytem lekkomyślności ale co w przypadku gdy jest to dziecko, nieświadome wagi zapisanej na nim informacji? Instalacja lub uruchomienie potencjalnie niebezpiecznych aplikacji może zagrozić naszym danym. W przypadku udostępnienia komputera lub urządzenia mobilnego osobie obcej (może to być udostępnienie o którym nie wiemy) nie znamy jej intencji ani nie mamy możliwości sprawdzenia czy i do jakich danych uzyskała dostęp.
Potencjalnie niebezpieczne aplikacje
Używanie niezatwierdzonych aplikacji jest jednym ze scenariuszy w którym w sposób całkowicie nieświadomy możemy stać się źródłem informacji dla cyberprzestępcy.
Omyłkowo wysłany e-mail
Jeden z najczęściej popełnianych błędów. Mechanizmy podpowiadające adresy mailowe w programach pocztowych nie raz stały się powodem wysłania wiadomości nie do tej osoby, którą mieliśmy na myśli. Co jeżeli w wiadomości znajdowała się oferta handlowa lub dane finansowe spółki.
Co jeżeli w mailu znajdował się dokument z planowanymi zwolnieniami wysłany omyłkowo na adres pracownicy@ zamiast na prawo_pracy@
Shadow IT
Niezatwierdzone mechanizmy backupu danych, nieautoryzowany dostęp do zarchiwizowanych kopii bezpieczeństwa czy oprogramowanie niewiadomego pochodzenia są traktowane jako coraz poważniejsze źródło zagrożeń bezpieczeństwa.
Według firmy analitycznej Gartner do 2020 roku co trzeci cyberatak na przedsiębiorstwo zostanie przeprowadzony w obszarze niezatwierdzonych zasobów IT.
Informacja Pod Kontrolą – Azure Information Protection
Edukacja użytkowników, łatanie potencjalnych luk w systemie bezpieczeństwa to nie wszystko. Pewność możemy uzyskać dopiero gdy nasza informacja pozostaje pod stałym nadzorem i jest odpowiednio chroniona przed przypadkowym ujawnieniem.
Solidna podstawa technologiczna jaką daje technologia Microsoft pozwala sklasyfikować dane jakie posiadamy, zbudować elastyczne polityki dostępu do Informacji oraz chronić i monitorować nasze dane niezależnie od tego gdzie się znajdują.
Jak działa Klasyfikacja Informacji
Aby chronić dane musimy wiedzieć z jakimi typami mamy do czynienia. Inaczej będziemy postępowali z danymi ogólnodostępnymi, inaczej z danymi do użytku wewnętrznego a jeszcze inaczej z danymi ściśle tajnymi.
Klasyfikacja informacji pozwala nam podzielić nasze dane pod względem ich ważności i stopnia oczekiwanej ochrony.
Klasyfikacja ręczna, automatyczna i rekomendowana
Klasyfikacja Informacji może odbywać się ręcznie – użytkownik, na podstawie posiadanej wiedzy, decyduje jaka klasa informacji powinna zostać zastosowana.
Klasyfikacja Informacji może również odbywać się automatycznie na podstawie informacji zawartych np. w pliku lub wiadomości e-mail.
Użytkownik, może również otrzymywać sugestie sklasyfikowania dokumentu nad którym aktualnie pracuje.
Etykiety
Każdej klasie informacji zostaje przypisana etykieta. Jest to nazwa oraz oznaczenie wizualne (zazwyczaj kolorystyczne) za pomocą, którego użytkownicy mogą w łatwy sposób zidentyfikować jakiego typu informacji dotyczy.
Etykiety widoczne są w programach pakietu Office oraz w zewnętrznych narzędziach obsługujących mechanizm AiP.
Dzięki etykietom klasyfikacja informacji oraz identyfikacja klasy informacji zawartej w otrzymanym dokumencie czy wiadomości staje się naturalna i nie stwarza żadnych problemów. Z czasem, korzystanie z etykiet i klasyfikowanie informacji staje się naturalnym elementem kultury organizacyjnej.
Jak Działa Ochrona Informacji
Świadomość użytkownika
Fakt, oznaczenia dokumentu określoną klasą informacji powoduje uświadomienie użytkownikowi, że ma do czynienia z danymi wrażliwymi. Dodatkowe oznaczenia wizualne takie jak automatycznie dodawany znak wodny, informacje w stopce czy nagłówku, budują w organizacji świadomość pracy z dokumentami wymagającymi szczególnej ochrony.
Oznakowanie informacji dodatkowymi elementami wizualnymi powoduje również u użytkownika, poczucie odpowiedzialności za działania wykonywane z odpowiednio sklasyfikowanym dokumentem.
Znakowanie informacji ma znaczenie czysto psychologiczne i powoduje wzmożenie czujności i świadomości podczas pracy z informacją chronioną.
Ochrona
Każda klasa informacji, a co się z tym wiąże także dokument do niej przypisany, poza oznakowaniem wizualnym, może zostać zabezpieczony przed niepowołanym dostępem.
Funkcja ochrony Informacji powoduje, że:
Dostęp do informacji zawartej w dokumencie lub wiadomości jest niemożliwy przez osoby dla których Informacja nie jest przeznaczona
Informacja jest chroniona niezależnie od tego gdzie się znajduje. Może zostać skopiowana, wysłana, udostępniona publicznie bez ryzyka
Nie ma znaczenia medium, którym wysyłamy wiadomość i poziom jego bezpieczeństwa
Przypadkowe osoby nie mogą uzyskać dostępu do informacji
Jesteśmy informowani o każdym dostępie lub próbie dostępu do chronionego dokumentu
Możemy zdalnie wycofać uprawnienia do dokumentu, do którego nie mamy już fizycznie dostępu
Dlaczego Warto Wdrożyć Azure Information Protection
 | Posiadamy uporządkowaną klasyfikację informacji przetwarzanej w organizacji |
 | Mamy wypracowany model uprawnień i odpowiedzialności |
 | Panujemy nad informacjami zawartymi w dokumentach i korespondencji |
 | Kontrolujemy przepływ informacji niejawnych w organizacji i poza nią |
 | Swobodnie zarządzamy dostępem do informacji niezależnie od jej lokalizacji |
 | Informacja staje się niezależna od nośnika i miejsca wiemy kto, gdzie i kiedy uzyskuje do niej dostęp |
 | W przypadku wycieku informacji bezproblemowo jesteśmy w stanie ustalić jego źródło |