Raport Understanding Security Complexity in 21st Century IT Environments, przedstawia kluczowe wnioski wyciągnięte na podstawie odpowiedzi respondentów, z których wynika, że najczęściej ujawnianymi poufnymi danymi są:

• 52% - dane klientów,
• 33% - własność intelektualna przedsiębiorstwa,
• 31% - informacje dotyczące pracowników,
• 16% - informacje dotyczące planów firmy.

Wraz z pojawianiem się rewolucji Web 2.0, w tym portali społecznościowych i coraz większą liczbą mobilnych urządzeń łączących się z Internetem, organizacje muszą podjąć działania mające na celu wzmocnienie bezpieczeństwa danych oraz sprostaniu wymaganiom IT Governance i Risk and Compliance.

Według badania przeprowadzonego wśród 2400 administratorów bezpieczeństwa IT, główną przyczyną wycieków danych jest:

• skradziony sprzęt,
• ataki na sieć komputerową,
• niezabezpieczone urządzenia przenośne,
• aplikacje w technologii Web 2.0 i aplikacje do wymiany plików,
• przypadkowe wysyłanie maili do niewłaściwych odbiorców.

Co więcej, ok. 49% wszystkich respondentów uważa, że ich pracownicy mają bardzo małą lub w ogóle nie posiadają wiedzy na temat bezpieczeństwa danych, standardów i obowiązujących polityk bezpieczeństwa. W związku z tym zachęcają przedsiębiorstwa do większego zaangażowania użytkowników w systemy bezpieczeństwa firm, gdyż to właśnie ludzie są najczęściej pierwszą linią obrony.

"Zdajemy sobie sprawę z tego, że bezpieczeństwo danych i zgodność ze standardami jest często na samym szczycie list CISO. Jednak patrząc na źródła wycieku danych, większość z incydentów jest wynikiem działań niezamierzonych" - twierdzi Oded Gonda, wiceprezes ds. produktów bezpieczeństwa sieci w Check Point Software Technologies. "Aby przejść od detekcji wycieków danych do zabezpieczania przed tymi wyciekami, przedsiębiorstwa powinny zwiększyć świadomości użytkowników w stosunku do systemów bezpieczeństwa oraz utworzyć odpowiednie procedury w celu zwiększenia widoczności i kontroli zasobów" - dodaje.

Zobacz również:

• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
• IBM Security QRadar SIEM pomoże zarządzić globalną strukturą odpowiedzialną za bezpieczeństwo

Rozpatrując systemy zabezpieczające przed wyciekiem danych DLP (Data Loss Prevention) jako najistotniejsze w kwestii bezpieczeństwa danych, ważne dla przedsiębiorstw jest zrozumienie głównych przyczyn prowadzących do wycieków i utworzenie zbioru dobrych praktyk w celu uniknięcia włamań. Ich listę przedstawiamy poniżej.

Zebranie potrzeb dotyczących bezpieczeństwa danych organizacji - Posiadanie jasnej wizji i podziału na typy wrażliwych danych znajdujących się wewnątrz organizacji, w tym typów danych, które obejmują standardy rządowe lub standardy związane z rynkiem.

Klasyfikacja wrażliwych danych - Stworzenie listy wrażliwych danych z podziałem na poziom poufności. Rozważenie utworzenia zbioru szablonów dokumentów do klasyfikowania danych jako publiczne, z ograniczonym dostępem oraz tajne, kreując w ten sposób większą świadomość użytkowników końcowych dotyczących polityk bezpieczeństwa oraz tego, co stanowi informację poufną.

Dopasowanie polityk bezpieczeństwa do potrzeb przedsiębiorstwa - Strategia bezpieczeństwa organizacji powinna chronić zasoby firmy bez przeszkadzania użytkownikom końcowym w ich normalnej pracy. Należy zacząć od zdefiniowania firmowych polityk bezpieczeństwa używając prostych biznesowych terminów, które będą dopasowane do potrzeb indywidualnego pracownika, grupy lub organizacji. Świadomość identyfikacji może zapewnić firmom większą widoczność na użytkowników i środowisko IT w celu jeszcze lepszego wzmocnienia polityki korporacyjnej.

Bezpieczeństwo danych przez cały cykl życia - Przedsiębiorstwa powinny rozważyć implementację rozwiązań bezpieczeństwa, które będą chroniły ich wrażliwe dane na wiele sposobów - łącząc użytkowników, typy danych i procesy bezpieczeństwa - oraz chroniły je przez cały cykl życia: dane w spoczynku (data-at-rest), dane w ruchu (data-in-motion) oraz dane w użyciu (data-in-use).

Eliminacja obciążenia wynikającego ze standardów - Należy przyjrzeć się rządowym i rynkowym wymaganiom odnośnie standardów oraz ich wpływowi na bezpieczeństwo organizacji i przepływ danych biznesowych. Warto rozważyć implementację rozwiązań zgodnie z najlepszymi praktykami polityk bezpieczeństwa dostosowanymi do specjalnych regulacji prawnych, włączając w to HIPAA, PCI DSS i Sarbanes Oxley, dla szybkiej reakcji w dniu numer jeden. Polityki tworzone według dobrych praktyk umożliwiają zespołom IT skupienie się na proaktywnej ochronie danych wykraczającej ponad wymagane standardy.

Położenie nacisku na świadomość i zaangażowanie użytkowników - Należy zaangażować użytkowników w procesy bezpieczeństwa. Technologia może być pomocna w edukacji użytkowników na temat polityk bezpieczeństwa korporacji oraz dawać możliwość szybkiego reagowania na incydenty naruszające bezpieczeństwo. Łączenie technologii i świadomości użytkowników uczula pracowników na ryzykowne zachowania poprzez proces uczenia się na własnych doświadczeniach.

"Biorąc pod uwagę setki wycieków danych każdego roku - zarówno tych zgłaszanych, jak

i nie - nie ma się co dziwić, że problem zarządzania, ryzyka i zgodności ze standardami rośnie do ogromnych rozmiarów" - mówi dr Larry Ponemon, prezes i założyciel Ponemon Institute. "Bezpieczeństwo danych w dzisiejszym nowoczesnym świecie znaczy więcej niż tylko instalacja zestawu technologii do zwalczania tych problemów. Tak naprawdę brak świadomości pracowników jest główną przyczyną incydentów wycieków danych przez co coraz więcej firm szkoli swoich pracowników odnośnie korporacyjnych polityk bezpieczeństwa w miejscu pracy" - dodaje.

Badanie Understanding Security Complexity in 21st Century IT Environments zostało przeprowadzone przez Ponemon Institute w lutym 2011 r., obejmując administratorów bezpieczeństwa IT w USA, Wielkiej Brytanii, Francji, Niemczech i Japonii. W badanej próbie znalazły się przedsiębiorstwa każdego rozmiaru z 14 różnych dziedzin.