Ochrona dokumentów z aplikacji kluczowych dla organizacji – jak skutecznie monitorować i zarządzać prawami dostępu.
CASE STUDY #HV13
Problem
Firma komercyjna zajmująca się produkcją gadżetów reklamowych, zważając na przeprowadzoną obserwację i analizę procesów realizowanych na zasobach istotnych dla organizacji, wyszczególniła 3 profile użytkowników, którzy pracują na 3 typach istotnych dokumentów:
- Profil „dział sprzedaży” osoby realizujące procesy w programie CRM w oparciu o dane o klientach.
- Profil „dział kadrowy” osoby realizujące procesy w programie kadrowo-płacowym na danych osobowych.
- Profil „dział graficzny” osoby realizujące procesy w programach graficznych na danych z aplikacji projektowych.
Zarząd firmy postanowił zlecić budowę reguł bezpieczeństwa i monitorowania obejmujące wytypowane procesy.
Oczekiwania Klienta
Monitorowanie i kontrola nad dokumentami, które są generowane z tych aplikacji.
Zarządzanie prawami dostępu i wykorzystania chronionych dokumentów poza zdefiniowanymi profilami.
Analiza aktywności użytkowników we wskazanych aplikacjach.
Rozwiązanie
Klientowi zaproponowano wdrożenie kompleksowej ochrony i monitorowania bazujące na politykach systemu Hyprovison DLP:
- Fingerprint
- File Move Copy
Dla każdego z profilów utworzono odrębną regułę polityki Fingerprint:
- Profil „dział sprzedaży”
Oznaczeniu podlegać będą wszelkie dokumenty, które generowane będą przez wykorzystywany program klasy CRM. W tym celu wprowadzono do monitorowania odpowiednie procesy aplikacji, przy każdym utworzeniu dokumentu zostanie nadany (niewidzialny dla użytkownika) znacznik „dokumenty handlowe” (niezależnie do jakiego formatu zostaną one zapisane).
W efekcie każdy raport finansowy i zestawienie, np. eksport w formacie .xls kontaktów do klientów, dane historyczne o relacjach z klientem zapisane do .pdf zostaną oznaczone i będą mogły podlegać dalszemu monitorowaniu.
- Profil „dział kadrowy”
Tak – jak w powyższym przypadku – monitorowane będą odpowiednie procesy odpowiedzialne za pracę aplikacji kadrowo-płacowej. W ten sposób znacznikiem „dokumenty kadrowe” zostanie oznaczony każdy dokument taki jak: lista płac, lista obecności, informacje o urlopach czy zwolnieniach.
- Profil „dział graficzny”
Definicja reguły ponownie koncentruje się wokół wybranych procesów, w tym przypadku jest to grupa programów do tworzenia grafiki rastrowej i wektorowej. Mimo iż jest to wiele aplikacji dla wskazanego profilu powstanie jedna wspólna reguła obejmująca wszystkie aplikacje. Dokumenty, które będą w ten sposób oznaczane znacznikiem „dokumenty graficzne”, to np. dokumentacja projektowa, projekty i wizualizacje.
Ponadto w celu zagwarantowania większej poufności wskazanych dokumentów dla każdego zdefiniowanego profilu utworzono odpowiednią regułę polityki File Move Copy:
- Dokumenty ze znacznikiem „dokumenty handlowe” są zabronione do otwarcia/kopiowania/usunięcia przez pracowników spoza profilu handel i dyrekcja.
- Dokumenty ze znacznikiem „dokumenty kadrowe” są zabronione do otwarcia/kopiowania/usunięcia przez pracowników spoza profilu kadry i dyrekcja.
- Dokumenty ze znacznikiem „dokumenty graficzne” są zabronione do otwarcia/kopiowania/usunięcia przez pracowników spoza profilu grafika i dyrekcja, natomiast profil handel jest uprawniony jedynie do podglądu tych dokumentów.
Dodatkowo każde zdarzenie otwarcia/kopiowania/usunięcia dokumentu – z dowolnym z powyższych znaczników – jest monitorowane i zapisywane w logach DLP.
Aby uzupełnić gromadzone informacje o wystąpieniach reguł DLP, zaproponowano klientowi wdrożenie zasad monitorowania aplikacji z systemu eAuditor, który – oprócz pełnej inwentaryzacji oprogramowania zainstalowanego na komputerach pracowników – dostarcza kompletny raport aktywności. Monitorowane jest zarówno uruchomienie/wyłączenie aplikacji, jak również czas aktywnego wykorzystania programu przez użytkownika oraz czas pasywnego jej uruchomienia (np. program włączony, lecz zminimalizowany).
Rezultat
- Efektem działania tak wprowadzonych reguł DLP jest uzyskanie kompleksowego obrazu o kluczowych dokumentach w organizacji, z uwzględnieniem miejsca ich zapisu, czasu powstania dokumentu, użytkownika, który dokonał zapisu/raportu z aplikacji/eksportu danych.
- Reguły monitorujące dostęp i próby dostępu do dokumentów chronionych dostarczają pełnej informacji o sposobie i miejscach ich wykorzystania.
- Reguły blokujące, opatrzone informacją „Próbujesz uzyskać dostęp do dokumentu spoza Twojego profilu – dostęp zablokowany” w formie okienka „pop-up” dla użytkownika, gwarantują czytelność informacji i transparentność działania polityki bezpieczeństwa.
Przygotowane i zaimplementowane w powyższy sposób reguły bezpieczeństwa stanowią mocny i jednoznaczny fundament klasyfikacji istotnych dokumentów oraz reguł upoważniających dostęp i ich użycie. Jednocześnie na tej podstawie można rozszerzać funkcjonowanie polityki bezpieczeństwa organizacji o kolejne reguły DLP oparte o kanały monitorujące/blokujące wyjście tych danych poza organizację, np.:
- zablokowanie możliwości wysłania e-mailem listy klientów ze znacznikiem „dane handlowe”, nawet przez osoby upoważnione do dostępu w ramach profilu handlowego,
- zablokowanie możliwości zapisu na dysk lokalny (zamiast na serwerze plików) dokumentów zawierających dane osobowe pracowników ze znacznikiem „dokumenty kadrowe”,
- monitorowanie wykonania kopii obrazu, np. poprzez print screen czy narzędzie wycinania systemu Windows, z uwzględnieniem dokumentów ze znacznikiem „dokumenty graficzne”,
- uruchomienie funkcji e-Learning, która pozwoli na stworzenie i regularnie dystrybuowanie do użytkowników szkoleń w zakresie wdrażania dobrych praktyk.