3. Klasyfikacja danych: kto ma dostęp?

W ostatnich latach penetracja urządzeń mobilnych w miejscu pracy skoczyła bardziej niż wskaźnik wykorzystania jakichkolwiek innych rozwiązań technologicznych. W konsekwencji, kwestia klasyfikacji danych stała się priorytetem. Większość rozwiązań DLP dla urządzeń mobilnych bazuje na określonym schemacie klasyfikacji danych, aby zapobiec ich wyciekaniu. Jeśli firma nie ma własnych standardów takiej klasyfikacji, powinna je najpierw stworzyć, a następnie jak najszybciej wdrożyć.

Schemat klasyfikacji danych obejmuje szerokie kategorie definiujące to, jak należy traktować informacje. Zgodnie z amerykańskim schematem, określonym w dokumencie National Security Information Executive Order 12356, wyróżnia się trzy poziomy klasyfikacji danych: top secret (ściśle tajne), secret (tajne) i confidential (poufne). Dla celów wdrożenia w firmie lub celów szkoleniowych można korzystać ze schematu bazującego na danych wysoce wrażliwych (highly sensitive), wrażliwych (sensitive), do użytku wewnętrznego (internal) lub poufnych (confidential). Jeśli firma jest zobowiązana do przestrzegania ściśle określonych przepisów i regulacji prawnych co do poszczególnych typów danych, warto wdrożyć odpowiednie nazewnictwo oraz wskaźniki do firmowej polityki klasyfikowania informacji.

Zobacz również:

• Partnerstwo wzmacniające cyberochronę
• Najlepsze MDM-y do ochrony urządzeń mobilnych na 2023

Jednak klasyfikacja niektórych informacji może sprawiać nie lada problem, gdyż często są one udostępniane w wielu różnych formach, np. dokumentach tekstowych, arkusza kalkulacyjnych, wiadomościach e-mail, materiałach marketingowych i informacyjnych, korespondencji między kierownikami wyższego szczebla czy korespondencji z klientami. Pytanie brzmi: jak traktować np. dokumenty, które zostały zmodyfikowane dla innych celów? Jak traktować sytuację, w które fragmenty wysoce wrażliwego dokumentu są stosowane gdzie indziej? Czy należy nadal traktować je tak samo czy może wymagają ponownej weryfikacji i, być może, zmiany kategorii?

Warto również pamiętać o tym, że znakowanie dokumentów i ich klasyfikowanie to dwie różne czynności. Znakowanie polega na identyfikacji wymaganego stopnia ochrony danych i zazwyczaj polega na umieszczeniu znacznika lub komentarza bezpośrednio na dokumencie lub w jego metadanych, np. poprzez wpisanie słowa „poufne” w nagłówku lub stopce pliku albo jego właściwościach. Klasyfikacja danych nie łączy się z ich znakowaniem.