Podczas wdrażania mechanizmów bezpieczeństwa informacji, na przykład gdy ma miejsce wdrożenie AiP, należy wziąć pod uwagę wiele aspektów technicznych i ludzkich. Niewłaściwe planowanie wdrożenia może powodować zarówno problemy techniczne, jak i niewłaściwe stosowanie nowych mechanizmów. W obu sytuacjach wdrożenie nie powiedzie się, a Twoje informacje pozostaną niezabezpieczone.
Poniżej znajduje się pięć wskazówek, które zdecydowanie pomogą ci zaplanować proces wdrażania. Są szablonem postępowania, który musisz oczywiście dostosować do swojej organizacji, specyfiki biznesowej i użytkowników.
Stwórz odpowiedni zestaw etykiet początkowych
Bardzo ważne jest wybieranie znormalizowanych i przystępnych etykiet. Użytkownicy biznesowi powinni rozumieć znaczenie etykiet i móc z nich korzystać w naturalny sposób.
for example:
- Osobiste
Dane niezwiązane z działalnością biznesową, wyłącznie do użytku osobistego - Publiczne
Dane biznesowe, które są specjalnie przygotowane i zatwierdzone do publicznego użycia. Na przykład broszura dla zespołu. - Domyślne (etykieta domyślna)
Dane biznesowe, które nie są przeznaczone do publicznego spożycia. W razie potrzeby można to jednak udostępnić partnerom zewnętrznym. Przykłady obejmują wewnętrzny spis telefonów firmy, schematy organizacyjne, standardy wewnętrzne i większość komunikacji wewnętrznej. - Poufne
Wrażliwe dane biznesowe, które mogą być szkodliwe dla firmy, jeśli zostaną udostępnione osobom nieupoważnionym. Przykłady obejmują umowy, raporty bezpieczeństwa, podsumowania prognoz finansowych i dane kont sprzedaży - Wysoce poufne
Bardzo wrażliwe dane biznesowe, które mogłyby spowodować szkody dla firmy, gdyby zostały udostępnione nieupoważnionym osobom. Przykłady obejmują informacje o pracownikach i klientach, hasła, kod źródłowy i wcześniej ogłoszone raporty finansowe.
Utwórz etykiety podrzędne dla kluczowych działów
Na przykład:
dla klasyfikacji Poufne , etykietami podrzędnymi mogą być:
- Dodatkowy personel
- Pracownicy etatowi
Dane sklasyfikowane jako poufne przeznaczone dla wszystkich pracowników zatrudnionych w pełnym wymiarze godzin. Goście biznesowi są wykluczeni z tego zakresu - Zasoby ludzkie
- Dział Prawny
Dane sklasyfikowane jako Poufne, przeznaczone dla uzytkowników pełniących funkcje kierownicze związane z prawem - Dział Finansowy
Dane sklasyfikowane jako poufne przeznaczone dla ról kierowniczych związanych z finansami
and
dla etykiety Wysoce poufne etykietami podrzędnymi mogą być:
- Dodatkowy personel
- Pracownicy etatowi
Dane sklasyfikowane jako poufne przeznaczone dla wszystkich pracowników zatrudnionych w pełnym wymiarze godzin. Goście biznesowi są wykluczeni z tego zakresu - Projekt X
Specjalny projekt zatwierdzony przez liderów. Nie udostępniaj nazwy tego projektu innym osobom. Skontaktuj się z Jane Doe, aby uzyskać szczegółowe informacje - Zasoby ludzkie
- Dział Prawny
Dane sklasyfikowane jako Poufne, przeznaczone przeznaczone dla uzytkowników pełniących funkcje kierownicze związane z prawem - Dział finansowy
Dane sklasyfikowane jako poufne przeznaczone dla ról kierowniczych związanych z finansami
Twórz zakresowe zasady dla wyspecjalizowanych zespołów
Lista globalnych etykiet może i powinna być taka sama dla wszystkich pracowników. Możesz zmieniać i dostosowywać tylko listy pod-etykiet. Dla poszczególnych etykiet mogą byc definiowane różne uprawnienia oraz różne polityki.
Zachęcaj do właściwego zachowania użytkownika
Istnieją cztery podejścia do klasyfikacji danych
- Automatyczne
Podczas klasyfikowania informacji i stosowania etykiet zgodnie z regułami automatycznymi. Automatyczna klasyfikacja jest dobra, ale nie należy oczekiwać, że rozwiąże ona wszystkie nasze problemy. Opiera się na prostych zasadach i nie należy oczekiwać od niej zbyt wiele.
- Rekomendowane
Gdy zalecasz użycie jakiejś klasyfikacji informacji
- Ponowna klasyfikacja
Gdy zezwalasz użytkownikom na zmianę klasyfikacji
- Ręczna
Gdy oczekujesz od użytkowników ręcznej klasyfikacji. Jeśli ufasz, że użytkownicy zrobią to dobrze, będą pamiętać i wierzysz, że dobrze rozumieją, co robią i w jakim celu
Najlepsze wyniki uzyskuje się, stosując zalecaną klasyfikację wraz z możliwością jej zmiany. Warto również zapytać użytkownika o przyczynę zmiany. Zmusza to użytkowników do przemyślenia i świadomego podjęcia decyzji o zmianie.
Bazowanie wyłącznie na klasyfikaji ręcznej, może doprowadzić do sytuacji gdzie nie bedzie ona wykorzystywana.
Automatyczna klasyfikacja jest dobrym mechanizmem inicjującym proces klasyfikacji danych, jednak cały mechanizm bezpieczeństwa informacji nie powinien się na nim opierać.
Zabezpiecz komunikację e-mail
Użyj klasyfikacji informacji w komunikacji e-mail. Możesz określać uprawnienia do informacji wysyłanych e-mailem. Będziesz także mieć kontrolę nad dalszym przesyłaniem i kopiowaniem wiadomości.
