Dowiedz się, w jaki sposób zidentyfikować rodzaje, miejsca zapisu, sposób przechowywania danych oraz sposoby zarządzania ich wykorzystaniem.
CASE STUDY #HV12
Problem
W firmie komercyjnej o profilu handlowym funkcjonował szczegółowy regulamin dotyczący, m.in. zasad zapisywania dokumentów służbowych, np. umów, wycen i kalkulacji oraz dokumentów kadrowych. Dyrektor ds. handlowych, upoważniony do zawierania umów w imieniu spółki, zaobserwował niepokojące zjawisko. Po zaktualizowaniu przez niego wzorów umów handlowych, przez kilka tygodni otrzymywał od pracowników handlowych przygotowane do podpisu umowy z zapisami sprzed aktualizacji.
Po weryfikacji wśród pracowników zauważył, że:
- każdy z pracowników w dowolnym dla siebie czasie (według potrzeby pierwszego użycia) skopiował wzór umowy na przypisany do niego zasób sieciowy,
- kolejne dokumenty powstawały na bazie skopiowanego wzoru,
- w procesie negocjacji warunków umów pracownicy zapisywali kolejne zmiany w różny sposób (część z ich zapisywała je jako nowe dokumenty w swoich zasobach sieciowych, część aktualizowała pojedynczy dokument o kolejne zmiany, zapisując go na własnym udziale sieciowym lub na wspólnym – dedykowanym).
Oczekiwania Klienta
Inwentaryzacja obecnego stanu zasobów dokumentów w spoczynku. Wyszukanie we wszystkich udziałach sieciowych i lokalnych dyskach komputerów dokumentów zawierających wyrażenia charakterystyczne dla umów handlowych, tj. łącznie NIP, REGON, numer konta bankowego itp.
Oznaczenie zinwentaryzowanych dokumentów jednoznacznym nieusuwalnym znacznikiem.
Monitorowanie praktyki zachowania użytkowników w pracy z oznaczonymi dokumentami.
Ograniczenie możliwości kopiowania / edycji / kasowania dokumentów.
Bieżący dostęp do informacji o wszelkich naruszeniach wprowadzonych reguł.
Rozwiązanie
Klientowi zaproponowano kilkuetapowe podejście do rozwiązania zadania oparte o definicje reguł bezpieczeństwa w systemie Hyprovision DLP.
Scheduled tagging
Aktywna polityka Scheduled tagging pozwala na oznakowanie dokumentów zawierających kluczowe frazy i wyrażenia regularne (identyfikacja treści) na zasobach sieciowych. Do skanowania i oznaczania danych w spoczynku mogą zostać wykorzystane zdefiniowane w systemie szablony przeszukiwań (np. numery kont, numery PESEL). Dzięki wykorzystaniu skanowania zaplanowanego / odroczonego, Klient nie musi obawiać się nadmiernego obciążenia zasobów sieciowych.
Fingerprint
W celu rozszerzenia zabezpieczenia na dane w użyciu uruchomiona została reguła bezpieczeństwa polityki Fingerprint, która odpowiada za oznaczanie dokumentów, jednak funkcjonuje na lokalnych dyskach użytkowników. W ramach tej definicji wszelkie dokumenty spełniające warunki zawartości treści od razu otrzymują określony znacznik (np. w chwili skopiowania / zapisu).
File Move Copy
Bezpieczeństwo danych w użyciu oraz w ruchu zapewniły definicje polityki File Move Copy. W pierwszym okresie wdrożenia definicje te ustawione zostały wyłącznie na procesy monitorowania danych (kopiowania, zapisu, usunięcia), z czasem reguły zostały zawężone do:
- zablokowania możliwości usunięcia dokumentu ze znacznikiem bezpieczeństwa,
- zablokowania możliwości skopiowania dokumentu ze znacznikiem bezpieczeństwa na dysk lokalny komputera (poza dysk sieciowy).
E-mail
Dodatkowo w celu weryfikacji przepływu dokumentów między handlowcami a Klientami wprowadzono regułę w ramach polityki E-mail. Polityka monitorowała ścieżki oznakowanych plików, które dołączane są do wiadomości e-maili jako dodatkowe załączniki.
Rezultat
- Przeprowadzono wewnętrzny audyt pracy działu handlowego na zasobach służbowych, dzięki szczegółowemu raportowaniu aktywności pracowników w systemie Hyprovision DLP.
- Wprowadzono element kontroli do polityki bezpieczeństwa – jasne określenie reguł/polityk w systemie daje jednoznaczne informacje o ich naruszeniu zarówno kierownictwu, jak i samemu pracownikowi.
- Uświadomiono pracowników o konsekwencji nierozważnej lub nieostrożnej pracy na istotnych zasobach. Dzięki komunikatom dla użytkownika, każdorazowe naruszenie reguły w systemie Hyprovision DLP może zaprezentować pracownikowi dowolnie definiowalną treść, np. przypomnienie, dlaczego dane działanie jest niedozwolone (LMS).
Wnioski: Zakres monitorowania i warunki regulacji nakazów i zakazów znalazły faktyczne pokrycie w polityce bezpieczeństwa organizacji. Rzeczywistym potwierdzeniem działań były raporty, np. z funkcjonowania wprowadzonych reguł bezpieczeństwa w systemie DLP.
Nawet organizacje przygotowane proceduralnie do zarządzania bezpieczeństwem muszą w sposób zorganizowany i cykliczny prowadzić szkolenia i działania uświadamiające w kwestii obowiązujących zasad bezpieczeństwa. Brak świadomości wśród pracowników o możliwych konsekwencjach nierozważnej pracy może okazać się bardzo dotkliwy w skutkach, w tym przypadku zarówno zadziała negatywnie wizerunkowo, jak i wpłynie, np. na przedłużenie czasu realizacji kontraktu – wielokrotne odsyłanie umów przez błędy wynikające z niefrasobliwości.
Aby zapewnić bezpieczeństwo i poprawność realizacji procesów kluczowych dla organizacji warto jest zaangażować siły w zbudowanie reguł monitorujących bezpośrednio odzwierciedlających postanowienia regulaminów i obowiązków pracy. Taki rodzaj kontroli w każdej chwili może być modyfikowany, np. przez rozszerzenie o dowolne funkcje ograniczające np.:
- zablokowanie udostępnienia dokumentów chronionych do chmury,
- zablokowanie możliwości nagrania dokumentu na nieautoryzowany nośnik USB.