Image
22.5.2016 2 Comments

IT Pro: Kde končí transparentnosť a začína bezpečnosť?

Firmy, ktoré sa rozhodnú, že ochrana dát je pre nich aktuálnou otázkou, často stoja pred otázkou: Ako zabezpečiť dáta, ale nezmeniť tým firemnú kultúru? Nesprávna implementácia bezpečnostných opatrení môže skutočne viesť k zníženiu spokojnosti a komfortu zamestnancov. Na druhej strane, správny prístup môže viesť k presnému opaku.

Rozdiely v kultúrach

Každá firma má svoje špecifiká, ktoré sa týkajú vzťahov medzi zamestnancami a ich prístupu k práci. V mladších a menších kolektívoch často prevláda otvorenosť. Hlavne v softwarových firmách vídame snahu o maximálnu transparentnosť, tým viac s čoraz obľúbenejšími agilnými metódami vývoja. Ľudia z rôznych častí takejto „otvorenej“ firmy dostávajú možnosť vyjadriť sa k problémov iných oddelení a priniesť do témy svoj osobný pohľad a skúsenosti.

To, čo môže podporovať produktivitu a povzniesť firemnú kultúru, je však väčšinou nočná mora pre bezpečnosť. V podstate ide tento prístup do priamej opozície k známemu bezpečnostnému Principle of least privilege, ktorý v skratke znamená to, že každý by mal mať prístup len k tomu, čo bezprostredne potrebuje k svojej práci. Čím menej informácií totiž človek má, tým menej je ich náchylných ku kompromitácií z je ho strany. A nemusí ísť nutne o zlý úmysel. Ak útočník uhádne heslo k účtu zamestnanca, nedostane sa k dátam celej firmy.

Iné, „zatvorené“ organizácie naopak preferujú striktnejšie pravidlá. Väčšinou direktívne určujú, čo sa môže a čo nie. Majú jasne nastavené kompetencie a spravidla sú ovplyvňované názorom jednej osoby alebo skupiny osôb. Aj keď neposkytujú takú voľnosť zamestnancom, nemusia byť o nič menej náchylné na incident, práve naopak. Nesúhlas s názormi vedenia a nevhodne komunikované audity produktivity či bezpečnosti vedú k vzniku zlých nálad a v mnohých prípadoch tiež individuálnym insiderom, teda zamestnancom so zlým úmyslom voči spoločnosti.

Insider v organizácii znamená vážne problémy. Stretli sme sa napríklad s firmami, kde sa takíto zamestnanci dostali k zoznamu nových zamestnancov, ktorých oslovovali a prehovárali ich, aby nenastúpili do zamestnania. V inej firme kazili jej dobré meno nevhodnými komentármi v médiách a na sociálnych sieťach. A už nepočítame prípady, keď sa vývojár alebo obchodník zdvihol a odišiel s databázou kontaktov alebo výrobnými plánmi ku konkurencii.

Zmena uvažovania

Keď firma narastie do určitej veľkosti, alebo zažije bezpečnostný incident, začne spravidla rozmýšľať nad rizikom zneužitia dát. Aktuálne technológie otvárajú rôzne možnosti, ako tieto riziká znížiť:

  • Zavedenie smerníc a školenie zamestnancov
  • Bezpečnostný audit, revízia dodržiavania smerníc
  • Zákazy a obmedzenia prístupov, prípadne riadenie toku dát (Data Loss Prevention)

V otvorenej firme už pri uvažovaní o zavedení ktorejkoľvek z nich zaznievajú obavy o zmene kultúry. Smernice môžu indikovať malú flexibilitu a vniknutie korporátneho uvažovania do malej firmy. Nesprávne podaný audit je väčšinou vnímaný ako zásah do súkromia a spoločne so zákazmi taktiež obmedzenie voľnosti. Management firiem má oprávnený strach z toho, že z priateľského prostredia, do ktorého všetci radi chodia, sa stane policajný štát.

Bezpečnosť v praxi

Ale ide to samozrejme urobiť aj správne. Všetko je totiž závislé na komunikácií. Ak použijete jazyk, ktorému zamestnanci rozumejú a logicky vysvetlíte prijímané opatrenia, máte veľkú šancu na úspech.

Smernice nie je nutné písať ako zložité zmluvy. Napíšte ich jednoduché a jasné na pochopenie. Pokiaľ pri ich zavedení vysvetlíte, že firma pre vlastnú existenciu potrebuje chrániť svoje know-how, lebo inak jej hrozí vlastný zánik a pre zamestnancov stratu práce, smernice sú tu hlavne pre ľudí, aby si pamätali na najdôležitejšie zásady ako tieto informácie ochrániť. Môžete oznam o smernici spojiť napríklad so školením na bezpečnosť. Ide o dva logicky súvisiace kroky ako posilniť zabezpečenie dát. Vysvetlite, čo všetko hrozí a že všetci spoločne chcete chrániť firmu.

Aby sa smernice dodržiavali, je treba sem-tam spraviť kontrolu. Ale aj to je možné podať rozumnou formou. Jedna zo zásad bezpečnej práce na počítači je napríklad zamykanie obrazovky pri neaktivite. Ak si niekto všimne nezamknutú obrazovku, môže zmeniť pozadie, alebo ponechať lístok na monitore. Môžete napríklad spraviť súťaž na najmenej a najviac lístkov za mesiac.

V prípade softwarového auditu práce s dátami ho môžete kontrolovať v náhodných dočasných intervaloch, alebo si vhodne nastaviť prahy incidentov, a nechať sa upozorniť len v prípade veľkej pravdepodobnosti problému. Videli sme situácie, kedy zamestnávateľ zachytil vyhľadávanie novej práce zamestnanca v pracovnej dobe, a namiesto disciplinárneho konania zvolil jednoduchú diskusiu. Nakoniec vyplynulo, že zamestnanca už nenapĺňala jeho pracovná pozícia, tak namiesto straty kľúčového človeka ho firma premiestnila do iného oddelenia.

Pokiaľ užívateľom nechcete obmedzovať slobodu v práci, nerobte to. V každom prípade je možné zvoliť cestu aspoň napríklad zákazu webov s malware, ilegálnym obsahom a cloudových úložísk. Dôvodom je to, že sa jedná v podstate o ochranu pred škodlivým kódom. Ten sa môže dostať do organizácie omylom kliknutím na odkaz v emaili, alebo kompromitáciou legitímnej stránky. Podobné dôvody vedú taktiež k obmedzeniu externých zariadení do systému. Ak by sa k počítaču dostal nejaký útočník, s vhodnou politikou riadenia prístupu zariadení nebude schopný kompromitovať stanicu vlastnou flashkou.

Čo sa týka Data Loss Prevention riešení, tie môžu v najpokročilejších režimoch blokovať napr. zaslanie citlivého dokumentu emailom mimo firemnú doménu, alebo upload na web. Väčšina však dokáže fungovať aj v režime, ktorý zamestnanca upozorní, že robí netradičnú aktivitu, a tým predísť chybám. Zadali ste omylom adresu dodávateľa namiesto kolegu? Systém vás na to upozorní a dôležité know-how firmy tak ostane bezpečne vo firme.

Matej Zachar
Safetica Technologies s.r.o.

Autor: Matej Zachar

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Právne okienko

08.12.2016 12:02

1. Ako postupovať, ak obchodník nechce uznať reklamáciu tovaru objednaného z e-shopu? V takomto prípade môžu nastať v zásade dve situácie. Ak zákazník reklamuje tovar do 12 mesiacov od jeho kúpy, mož ...

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

2 Comments

  1. Kyber-bezpečnosť? na Slovensku? Žartujete? reakcia na: IT Pro: Kde končí transparentnosť a začína bezpečnosť?
    22.5.2016 15:05
    Natočil som video ako sa dostať do servera bez použitia akejkoľvek technológie. Video záčina na ulici a po 2 minútach končí v serveri ktorí chráni tajomstvá nás Slovákov. Jedna generácia musí vymrieť kým sa začne riešiť aj toto a ja TO UŽ NERIEŠIM.
    Reagovať
    • RE: Kyber-bezpečnosť? na Slovensku? Žartujete? reakcia na: Kyber-bezpečnosť? na Slovensku? Žartujete?
      23.5.2016 13:05
      fajn tak poslite link, radi zverejnime. Redakcia
      Reagovať

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá