Nie tylko program

Nie powinno się kupować technologii DLP (Data Leak Protection), dopóki użytkownicy nie zostaną do niej przygotowani. Wielu ekspertów ds. bezpieczeństwa uważa, że świadomość użytkownika jest kluczowa w procesie ochrony wrażliwych danych.

DLP jest przede wszystkim procesem. Technologia zaś jest jedynie środkiem automatyzującym ten proces zapobiegania wyciekom danych. On sam powinien zaś obejmować szkolenie i ciągłe uświadamianie właścicielom i opiekunom danych (pracownikom) zasad polityki firmy w tym zakresie. Użytkownicy bowiem umożliwiają wypływ wrażliwej informacji poza przedsiębiorstwo, zamieszczając w wiadomościach pocztowych wrażliwe dane i wysyłając je - nieraz omyłkowo - do niewłaściwego adresata. Jednocześnie filtry pocztowe nie potrafią jeszcze zastopować każdej próby phishingu i URL do złośliwej witryny często trafia do użytkownika, który klikając w niego, infekuje jedną lub więcej maszyn złośliwym kodem, przeznaczonym do wyszukiwania i kradzieży danych. W tym kontekście znaczenia nabierają stosowanie właściwej polityki oraz szkolenie i uświadamianie pracowników. Polityka powinna być klarowna w zakresie określenia, jakie typy danych nie mogą być wysyłane na zewnątrz. Programy szkoleniowe mogą zmniejszać ryzyko nieświadomego wycieku danych, zwracając szczególną uwagę na socjotechnikę.

Informacja w Gadu-Gadu

Komunikatory stały się rutynowymi aplikacjami komunikacyjnymi w przedsiębiorstwach, coraz częściej stosowanymi przez pracowników mobilnych. Pracownicy wykorzystują te programy do zdalnej komunikacji z przełożonymi i współpracownikami. Napastnicy wynajdują sposoby podsyłania złośliwych odnośników i załączników do takich użytkowników, tworząc fałszywe konta, które wyglądają jak legalne wiadomości od współpracowników.

Sprawa jest poważna, ponieważ wiele aplikacji IM można sprowadzić za darmo. Często można je zainstalować poza kontrolą IT. Podobnie jak w przypadku poczty, niezwykle istotne są tu uświadamianie pracowników przez odpowiednie szkolenia oraz właściwa polityka w zakresie bezpieczeństwa danych. Powinna ona jednoznacznie określać, które informacje mogą, a które nie mogą być wysyłane za pośrednictwem komunikatorów. Bardzo dobrym rozwiązaniem jest wykorzystywanie lokalnego komunikatora, który posiada kontrolowane połączenie z zewnętrzną siecią komunikatora, takiego jak Gadu-Gadu czy Tlen.

Pilnowanie haseł i aplikacji

Innym, poważnym problemem jest stosowanie jednego hasła do różnych aplikacji. Użytkownicy posługują się często dość długą listą haseł do aplikacji i systemów, chroniących dostęp również do poczty elektronicznej i komunikatorów. Ponieważ pamięć jest zawodna, często zapominają hasła, np. do rzadko używanych programów, i aby ułatwić sobie życie, używają tego samego hasła do wielu aplikacji, co znacznie ułatwia działanie napastnikowi. Polityka bezpieczeństwa powinna zakładać stosowanie różnych haseł do różnych systemów albo wykorzystywać centralizowane zarządzanie tożsamością.