Průzkum Check Point ukázal problémy se ztrátou dat

19. 6. 2011. (redaktor: Petra Piscová, zdroj: Check Point)
Check Point ve spolupráci s výzkumnou organizací Ponemon Institute, zveřejnil výsledky z globálního průzkumu. Zjistilo se, že až 77 procent z dotazovaných organizací mělo v loňském roce negativní zkušenost se ztrátou dat.

Klíčová zjištění ze zprávy „Pochopení bezpečnostní komplexnosti IT prostředí ve 21. století“ odhalují, že 52 procent dotazovaných označilo za nejohroženější typ informací ty o zákaznících, 33 procent uvedlo duševní vlastnictví, 31 procent uvedlo informace o zaměstnancích a podle 16 procent jsou to firemní plány. S přijetím aplikací Web 2.0 a dalších mobilních zařízení s připojením k síti čelí firmy požadavkům na prosazování lepší zabezpečení dat a požadavkům na GRC (Governance, Risk and Compliance) řešení.

Podle průzkumu, který probíhal mezi více jak 2 400 správci IT po celém světě, je hlavní příčinou ztráty dat odcizení nebo ztráta zařízení, následované síťovými útoky, nezajištěná mobilní zařízení, aplikace Web 2.0, sdílené soubory aplikací a náhodné odesílání e-mailů nesprávnému příjemci. Přibližně 49 procent dotazovaných si myslí, že jejich zaměstnanci mají málo nebo téměř žádné povědomí o ochraně dat, dodržování předpisů a bezpečnostních politik. Východiskem by měla být osvěta zaměstnanců, která by jim pomohla uvědomit si jejich zásadní roli při zajištění komplexního firemního zabezpečení.

Chápeme, že zabezpečení dat a jeho dodržování je pro vedoucí manažery bezpečnosti IT často prioritou. Nicméně když zapátráme po příčinách ztráty dat, většina incidentů je neúmyslná,” řekl Oded Gonda, viceprezident pro řešení síťového zabezpečení, Check Point Software Technologies. „Aby mohly společnosti přesunout ztrátu dat od pouhé detekce k její prevenci, je třeba zvážit větší bezpečnostní obeznámenost zaměstnanců a stanovit vhodné procesy a postupy, které zajistí větší přehled a kontrolu nad samotným pohybem informací.”

Data Loss Prevention (DLP), které patří mezi nejskloňovanější řešení v oblasti bezpečnosti, je pro firmy jedno z hlavních řešení proti nechtěné ztrátě dat. Je také důležité, aby firmy pochopily klíčové otázky vedoucí ke ztrátě dat a vytvořily bezpečnostní politiky tak, aby se zabránilo jejich porušení.

Firmy proto potřebují:

• Pochopit potřeby firemního zabezpečení dat – mít jasnou představu a přehled o typech citlivých dat, které ve firmách existují. Stejně tak vědět, jaké typy dat podléhají vládním nebo obchodním předpisům.
• Roztřídit citlivá data - vytvořit seznam citlivých typů dat ve firmě a určit úroveň jejich vážnosti. Zvážit vytvoření vzorů dokumentů tak, aby se daly třídit na veřejné, s omezeními nebo jako vysoce důvěrné. Tak se vytvoří větší povědomí pro koncové uživatele o firemních bezpečnostních politikách, a co vůbec citlivé informace obsahují.
• Sladit bezpečnostní politiky s potřebami firmy – bezpečnostní strategie firem by měla chránit firemní pohyby informací bez jakéhokoli omezení koncového uživatele. Nejdříve je nutné definovat bezpečnostní politky firmy jednoduchými obchodními podmínkami, které jsou v souladu s jednotlivými zaměstnanci, skupinami nebo obchodními potřebami firmy. Řešení Identity Awareness firmám poskytuje větší přehled o svých zaměstnancích a IT prostředí s cílem lépe prosazovat firemní politiky.
• Zabezpečit data po celou dobu jejich životního cyklu - firmy by měly zvážit implementaci řešení na zabezpečení dat, které chrání citlivá data více způsoby – korelací uživatelů, datových typů a procesů a chránit je během jejich celého životního cyklu: když se s daty nepracuje, když se data přesouvají a když se s daty pracuje.
• Eliminovat zatížení spojené s dodržováním zásad bezpečnosti – vyhodnotit předpisy dané odvětvím a vládou a jaký mají dopad na zabezpečení firem a obchodní aktivity. Zvážit implementaci s využitím osvědčených bezpečnostních politik tak, aby vyšly vstříc zvláštním předpisům, včetně „HIPAA“, „PCI DSS“ a zákonu „Sarbanes Oxley“. Osvědčené bezpečnostní politiky také umožňují IT týmům zaměřit se na proaktivní ochranu dat nad rámec toho, co je požadováno.
• Klást důraz na zapojení uživatelů - zapojit uživatele do bezpečnostního procesu a dát jim možnost rozhodnutí. Technologie může pomoci vzdělávat uživatele o firemních politikách a napravovat bezpečnostní incidenty v reálném čase. Kombinace technologií a zvyšování povědomí uživatelů pomáhá zabránit rizikovému chování zaměstnanců přes sebevzdělávací techniky.

Každý rok se stanou stovky případů ztráty dat, a to jak hlášených, tak nehlášených. Není tedy žádným překvapením, že se problémy s řízením, rizikem a zajištěním shody zvětšují,” řekl Dr. Larry Ponemon, předseda a zakladatel, Ponemon Institute. „Bezpečnost dat v moderním světě znamená více, než jen nasazení souboru technologií k překonání těchto problémů. Ve skutečnosti jde o nízké povědomí uživatelů o bezpečnosti, což je hlavní příčinou ztráty dat. Více firem by proto mělo vzdělávat své zaměstnance o firemních bezpečnostních politikách."

Check Point DLP Software Blade  je založen na architektuře softwarových bladů společnosti Check Point. Kombinací technologie a zvyšování povědomí uživatelů Check Point pomáhá firmám preventivně chránit citlivé informace před neúmyslnou ztrátou. Díky své unikátní technologii UserCheck jde Check Point DLP nad rámec technologie a učí uživatele správně pracovat s daty v souladu s bezpečnostními firemními politikami a umožňuje napravovat incidenty v reálném čase.

Průzkum „Pochopení bezpečnostní komplexnosti IT prostředí ve 21. století“ prováděl Ponemon Institute v únoru 2011 ve výzkumných centrech mezi administrátory IT v Americe, Velké Británii, Francii, Německu a Japonsku. Výzkumným vzorkem byly společnosti všech velikostí napříč 14 různými odvětvími, včetně finančního, průmyslu, obrany, maloobchodu, zdravotnictví a školství.

„V Check Pointu na prevenci před ztrátou dat nahlížíme ne jako na vědu, ale jako na strategii. Jsme odhodláni našim zákazníkům zajistit nástroje a ochranu, které jsou potřebné k prevenci a nápravě porušených bezpečnostních pravidel, a to dříve, než k nim vůbec dojde,” uzavřel Gonda.