Zagrożenia i czynniki ryzyka – ochrona przed wyciekiem danych czy ochrona organizacji?

W tym artykule przeczytasz o:

  • typach danych, jakie możesz spotkać w przedsiębiorstwach i instytucjach,
  • zagrożeniach związanych z utratą danych wg ich typu,
  • czynnikach ryzyka dla podmiotu tracącego dane.

Artykuł pozwala usystematyzować wiedzę na temat danych, co jest niezbędne przy określeniu strategii ochrony danych. Właściwa strategia ochrony (DLP) to taka, która prowadzi nie tylko do ochrony samych danych przed wyciekiem, lecz zapobiega stratom finansowym i pozafinansowym organizacji (chroni organizację).

Zobacz część I –  „Obszary ochrony danych – jakie obszary należy chronić w organizacji (Część I) ?”

Uniwersalne zagrożenia i obszary ryzyka – czy istnieją?

Każda organizacja powinna indywidualnie zdefiniować swoje zagrożenia, bowiem ma inny cel biznesowy, jest na innym etapie rozwoju, dysponuje innym kapitałem i możliwościami, działa na innych rynkach z innymi produktami, posiada inną konkurencję, a także ma inną kulturę organizacyjną.

Są oczywiście główne – uniwersalne – typy danych, obszary ryzyka z nimi związane i skutki ich utraty. Dla jednego podmiotu utrata bazy klientów nie będzie problemem typu „być albo nie być”, a dla innego – może nawet prowadzić do zaprzestania funkcjonowania.

O rodzaju danych chronionych, sposobie realizacji ochrony powinni decydować wszyscy zaangażowani w organizację gracze – kierownictwo, pracownicy, audytorzy i partnerzy wspierający.

Poniższa tabela ma charakter ogólny, wskazuje typy danych, zagrożenia z nimi związane oraz skutki, jakie mogą wystąpić w przypadku ich utraty.

Typ danychPrzykładZagrożeniaCzynniki ryzyka
Własność intelektualna/prawaProjekty techniczne
Receptury
Dokumentacja patentowa
Kody źródłowe
Niepatentowana wiedza techniczna
Patenty w przygotowaniu lub na etapie badania
Wzory użytkowe i znaki towarowe
Tajemnica przedsiębiorstwa
Konkurencja
Niezadowoleni pracownicy
Utrata dobrego imienia
Utrata przewagi konkurencyjnej
Dane produktów własnychProjekty techniczne
Badania i testy bezpieczeństwa
Zalecenia technologiczne
Strategie rozwoju
Klienci
Konkurencja
Możliwość złamania zabezpieczeń u użytkowników produktów własnych
Utrata bezpieczeństwa przez klientów
Utrata przewagi konkurencyjnej
Bankructwo
StrategiePlany strategiczne
Plany sprzedaży
Plany inwestycyjne, w tym plany przejęć i fuzji
Badania produktów
Badania rynku
Projekty przekazów prasowych
KonkurencjaUtrata przewagi konkurencyjnej
Utrata wiarygodności
Dokumenty prawneDokumentacje dotyczące następujących obszarów:
• postępowania sądowe,
• postępowania przedsądowe,
• ugody, umowy, porozumienia,
• kontrole wewnętrzne,
• prezentacje wewnętrzne,
• ład korporacyjny.
Konkurencja
Przeciwnicy w sprawach sądowych
Utrata przewagi w postępowaniach sądowych
SprzedażCeny i  koszty sprzedaży
Dostawcy i umowy
Klienci i ich charakterystyka
Potencjalni klienci i ich potrzeby
Analityka sprzedaży i prognozy sprzedaży
Polityka sprzedażowa, rabaty
Otrzymane zamówienia
Konkurencja
Niezadowoleni pracownicy
Wykorzystywanie informacji poufnych
Kosztowny „efekt lidera/innowatora”
Sankcje za wyciek danych
Dane klientówLista klientów
Ceny dla klientów (polityka cenowa)
Ilości klientów w poszczególnych grupach
Charakterystyka klientów
Preferencje klientów
Oferty sprzedaży dla klientów
Umowy, szczegóły umów, warunki kredytowania klientów
Statusy płatności
Historia kontaktów (CRM)
Historia zakupów
Konkurencja
Wierzyciele
Utrata klientów
Spadek sprzedaży i rentowności
Możliwość łatwiejszego przejęcia przedsiębiorstwa
MarketingPlany działań marketingowych
Plany rozwoju produktów
Plany operacyjne
Prognozy
KonkurencjaUtrata udziału w rynku
Kosztowny efekt lidera i innowatora
FinansePrzedwczesne publikacje danych finansowych
Wyciągi bankowe
Sprawozdania i okresowe raporty finansowe
Wynagrodzenia pracowników
Koszty działalności
KonkurencjaUtrata przewagi konkurencyjnej
KadryListy pracowników
Struktura organizacyjna wraz z zakresem obowiązków
Schematy raportowania  wewnętrznego
Wynagrodzenia
KonkurencjaUtrata pracowników
Frustracja pracowników
Dokumentacja operacyjna i procesowaDokumentacje procesów i procedur
Komunikacja wewnętrzna
Strategie efektywności i zwiększania przewagi konkurencyjnej
KonkurencjaKonkurencja optymalizuje swoje procesy i staje się bardziej efektywna przy niższych kosztach
Dane osoboweImiona i nazwisko
Data i miejsce urodzenia
Numer dowodu i PESEL
Numer paszportu
Numer prawa jazdy
Loginy i hasła
Dane biometryczne
Zaświadczenia o zarobkach i inne dokumenty związane ze statusem finansowym pracownika
Dokumentacja zdrowotna i inne osobiste informacje pracownika
Preferencje pracownika zgromadzone w celu monitorowania procesów bezpieczeństwa IT
Hakerzy
Przestępcy
Organizacje przestępcze
Oszustwo
Kradzież środków finansowych
Utrata zdolności kredytowej
Utrata wiarygodności pracownika
Niezadowolenie pracowników
Zagrożenie dla pracowników i ich rodzin
Pozostałe dane wewnętrzneNumery rachunków bankowych
Numery służbowych kart kredytowych
Linie i wnioski kredytowe
Postępowania administracyjne
Numery rejestracyjne floty samochodowej
Struktura demograficzna pracowników
Hakerzy
Przestępcy
Organizacje przestępcze
Konkurencja
Ogólne zagrożenie dla organizacji
Zabezpieczenia teleinformatycznePolityka bezpieczeństwa
Zabezpieczenia fizyczne, techniczne, organizacyjne
Konfiguracja sieci i systemów IT
Świadomość pracowników
Przeprowadzone szkolenia z bezpieczeństwa
Logi systemów operacyjnych
Logi systemów DLP
Konfiguracje polityk i reguł bezpieczeństwa DLP
Pracownicy
Niezadowoleni pracownicy
Podmioty współpracujące
Podmioty przetwarzające
Operatorzy usług chmurowych
Operatorzy telekomunikacyjni
Utrata danych
Utrata pracowników
Utrata kontrahentów
Utrata wizerunku
Utrata wiarygodności
Zaprzestanie działalności
Technologia informacyjnaInwentaryzacja zasobów IT – komputery, sieci, urządzenia sieciowe, urządzenia drukujące, pendrive’y itp.
Oprogramowanie
Diagramy sieci firmowych
MS Active Directory
Pliki konfiguracyjne (sieci, systemy, aplikacje, bazy danych itp.)
Loginy i hasła, polityki zmiany haseł
Dostępy VPN
Kluczowe pliki z danymi
Pliki z zawartością loginów i haseł
Pliki poczty elektronicznej
Pliki narzędziowe działów IT (adresy IP, konfiguracje komputerów, oprogramowanie, aktualizacje)
Systemy helpdeskowe
Kod źródłowy oprogramowania
Hakerzy
Złośliwe oprogramowanie
Niezadowoleni pracownicy
Utrata poufności, integralności, dostępności danych
Utrata wizerunku i pozycji firmy
Typy danych, zagrożenia i czynniki ryzyka - jak zdefiniować dane wymagające ochrony?

Przykład nr 1 – Błędy producenta oprogramowania przyczyną wycieku danych

Firma informatyczna produkuje oprogramowanie kadrowo-płacowe, które następnie wdraża u swoich klientów. W oprogramowaniu istnieje nieujawniony publicznie błąd.

Ujawnienie (publiczne, hakerom, konkurencji) przez pracowników firmy (niezadowolony lub były pracownik) informacji o błędzie powoduje powstanie wysokiego ryzyka utraty danych osobowych u klientów firmy informatycznej, co w konsekwencji może doprowadzić do utraty wiarygodności, spadku sprzedaży (wpływów), odejścia klientów do konkurencji, a docelowo – nawet do bankructwa.

Przykład nr 2 – Kradzież danych przez byłych pracowników

Podmiot sprzedaje energię elektryczną. Klientów obsługuje liczny zespół handlowców. Rotacja pracowników jest stosunkowo duża. Brak odpowiednich narzędzi (nawet takich, które jedynie istnieją w świadomości pracowników, ale niekoniecznie działają), prowadzi do „sprzedawania rekordów danych” konkurentom. Odchodzący pracownicy zabierają ze sobą szczegółowe warunki zawartych umów, a także wiedzę dotyczącą tego, kiedy umowy się kończą, jakie są stawki, upusty oraz warunki płatności.

Sytuacja prowadzi do znaczącej utraty przewagi konkurencyjnej, spadku sprzedaży, utraty klientów.

Przykład nr 3 – Wyciek danych z monitoringu pracowników

Urząd posiada zaawansowane systemy (programowe) służące do monitoringu pracowników. Dostęp do systemów posiadają młodzi, niedoświadczeni pracownicy. Przez nieuwagę lub brak świadomości udostępniają osobom spoza organizacji historię odwiedzanych przez pracowników stron internetowych.

Historię odwiedzanych stron wykorzystują hakerzy do zmasowanego ataku typu ransomware, w wyniku czego paraliżują część organizacji. Część danych ulega bezpowrotnej utracie.

Sytuacja prowadzi do wewnętrznego niezadowolenia pracowników, niepewności, spowolnienia działania, strat finansowych, spadku jakości, wzrostu kosztów i nakładów inwestycyjnych.

Przykład nr 4 – „Życzliwość” byłego pracownika i przekazanie informacji konkurencji

Pracownik działu IT – z uwagi na nieuzyskanie urlopu w planowanym terminie – rezygnuje z pracy. Podczas rozstania dochodzi do eskalacji konfliktu. Pracownik informuje konkurencję o posiadanym przez byłego pracodawcę nielegalnym oprogramowaniu. Konkurencja grzecznościowo zawiadamia producenta oprogramowania (podmiot autorskich praw majątkowych) o wystąpieniu nielegalnego oprogramowania. Producent zawiadamia organy ścigania. Do firmy wkracza policja i zabezpiecza kilkadziesiąt stanowisk komputerowych. Firma przestaje funkcjonować w kilku kluczowych obszarach. Na skutek publikacji prasowych traci klientów zagranicznych, wartość giełdowa spada, pracownicy czują się niekomfortowo, dział IT odchodzi, a zarząd właśnie się dowiedział, że to on odpowiada za nielegalne oprogramowanie.

Chcesz dowiedzieć się więcej o naszym oprogramowaniu – skontaktuj się z naszymi konsultantami!

Zapraszamy do kontaktu!

Chętnie wyjaśnimy wątpliwości oraz odpowiemy na wszystkie pytania dot. oferowanego oprogramowania.

Proszę o kontakt w sprawie...


Administratorem Twoich danych osobowych jest BTC Sp. z o.o. Więcej informacji znajdziesz w polityce przetwarzania danych osobowych.