Ochrona dokumentów z aplikacji kluczowych dla organizacji – jak skutecznie monitorować i zarządzać prawami dostępu.

CASE STUDY #HV13

Problem

Firma komercyjna zajmująca się produkcją gadżetów reklamowych, zważając na przeprowadzoną obserwację i analizę procesów realizowanych na zasobach istotnych dla organizacji, wyszczególniła 3 profile użytkowników, którzy pracują na 3 typach istotnych dokumentów:

  1. Profil „dział sprzedaży” osoby realizujące procesy w programie CRM w oparciu o dane o klientach.
  2. Profil „dział kadrowy” osoby realizujące procesy w programie kadrowo-płacowym na danych osobowych.
  3. Profil „dział graficzny” osoby realizujące procesy w programach graficznych na danych z aplikacji projektowych.

Zarząd firmy postanowił zlecić budowę reguł bezpieczeństwa i monitorowania obejmujące wytypowane procesy.

Oczekiwania Klienta

Monitorowanie i kontrola nad dokumentami, które są generowane z tych aplikacji.

Zarządzanie prawami dostępu i wykorzystania chronionych dokumentów poza zdefiniowanymi profilami.

Analiza aktywności użytkowników we wskazanych aplikacjach.

Rozwiązanie

Klientowi zaproponowano wdrożenie kompleksowej ochrony i monitorowania bazujące na politykach systemu Hyprovison DLP:

  1. Fingerprint
  2. File Move Copy

Dla każdego z profilów utworzono odrębną regułę polityki Fingerprint:

  1. Profil „dział sprzedaży”

Oznaczeniu podlegać będą wszelkie dokumenty, które generowane będą przez wykorzystywany program klasy CRM. W tym celu wprowadzono do monitorowania odpowiednie procesy aplikacji, przy każdym utworzeniu dokumentu zostanie nadany (niewidzialny dla użytkownika) znacznik „dokumenty handlowe” (niezależnie do jakiego formatu zostaną one zapisane).

W efekcie każdy raport finansowy i zestawienie, np. eksport w formacie .xls kontaktów do klientów, dane historyczne o relacjach z klientem zapisane do .pdf zostaną oznaczone i będą mogły podlegać dalszemu monitorowaniu.

  1. Profil „dział kadrowy”

Tak – jak w powyższym przypadku – monitorowane będą odpowiednie procesy odpowiedzialne za pracę aplikacji kadrowo-płacowej. W ten sposób znacznikiem „dokumenty kadrowe” zostanie oznaczony każdy dokument taki jak: lista płac, lista obecności, informacje o urlopach czy zwolnieniach.

  1. Profil „dział graficzny”

Definicja reguły ponownie koncentruje się wokół wybranych procesów, w tym przypadku jest to grupa programów do tworzenia grafiki rastrowej i wektorowej. Mimo iż jest to wiele aplikacji dla wskazanego profilu powstanie jedna wspólna reguła obejmująca wszystkie aplikacje. Dokumenty, które będą w ten sposób oznaczane znacznikiem „dokumenty graficzne”, to np. dokumentacja projektowa, projekty i wizualizacje.

Ponadto w celu zagwarantowania większej poufności wskazanych dokumentów dla każdego zdefiniowanego profilu utworzono odpowiednią regułę polityki File Move Copy:

  1. Dokumenty ze znacznikiem „dokumenty handlowe” są zabronione do otwarcia/kopiowania/usunięcia przez pracowników spoza profilu handel i dyrekcja.
  2. Dokumenty ze znacznikiem „dokumenty kadrowe” są zabronione do otwarcia/kopiowania/usunięcia przez pracowników spoza profilu kadry i dyrekcja.
  3. Dokumenty ze znacznikiem „dokumenty graficzne” są zabronione do otwarcia/kopiowania/usunięcia przez pracowników spoza profilu grafika i dyrekcja, natomiast profil handel jest uprawniony jedynie do podglądu tych dokumentów.

Dodatkowo każde zdarzenie otwarcia/kopiowania/usunięcia dokumentu – z dowolnym z powyższych znaczników – jest monitorowane i zapisywane w logach DLP.

Aby uzupełnić gromadzone informacje o wystąpieniach reguł DLP, zaproponowano klientowi wdrożenie zasad monitorowania aplikacji z systemu eAuditor, który – oprócz pełnej inwentaryzacji oprogramowania zainstalowanego na komputerach pracowników – dostarcza kompletny raport aktywności. Monitorowane jest zarówno uruchomienie/wyłączenie aplikacji, jak również czas aktywnego wykorzystania programu przez użytkownika oraz czas pasywnego jej uruchomienia (np. program włączony, lecz zminimalizowany).

      Rezultat

  • Efektem działania tak wprowadzonych reguł DLP jest uzyskanie kompleksowego obrazu o kluczowych dokumentach w organizacji, z uwzględnieniem miejsca ich zapisu, czasu powstania dokumentu, użytkownika, który dokonał zapisu/raportu z aplikacji/eksportu danych.
  • Reguły monitorujące dostęp i próby dostępu do dokumentów chronionych dostarczają pełnej informacji o sposobie i miejscach ich wykorzystania.
  • Reguły blokujące, opatrzone informacją „Próbujesz uzyskać dostęp do dokumentu spoza Twojego profilu – dostęp zablokowany” w formie okienka „pop-up” dla użytkownika, gwarantują czytelność informacji i transparentność działania polityki bezpieczeństwa.

Przygotowane i zaimplementowane w powyższy sposób reguły bezpieczeństwa stanowią mocny i jednoznaczny fundament klasyfikacji istotnych dokumentów oraz reguł upoważniających dostęp i ich użycie. Jednocześnie na tej podstawie można rozszerzać funkcjonowanie polityki bezpieczeństwa organizacji o kolejne reguły DLP oparte o kanały monitorujące/blokujące wyjście tych danych poza organizację, np.:

  • zablokowanie możliwości wysłania e-mailem listy klientów ze znacznikiem „dane handlowe”, nawet przez osoby upoważnione do dostępu w ramach profilu handlowego,
  • zablokowanie możliwości zapisu na dysk lokalny (zamiast na serwerze plików) dokumentów zawierających dane osobowe pracowników ze znacznikiem „dokumenty kadrowe”,
  • monitorowanie wykonania kopii obrazu, np. poprzez print screen czy narzędzie wycinania systemu Windows, z uwzględnieniem dokumentów ze znacznikiem „dokumenty graficzne”,
  • uruchomienie funkcji e-Learning, która pozwoli na stworzenie i regularnie dystrybuowanie do użytkowników szkoleń w zakresie wdrażania dobrych praktyk.

Dołącz do zadowolonych użytkowników Hyprovision DLP

Skontaktuj się z nami!