Narodowa Agencja Bezpieczeństwa (NSA) i Federalne Biuro Śledcze (FBI) mają pełen i niekontrolowany dostęp do danych gromadzonych na serwerach gigantów technologicznych. Firmowy blog Nakedsecurity.sophos.com, producenta rozwiązań bezpieczeństwa IT, ujawnia wybrane organizacje dostarczające dane do NSA. Są wśród nich Google, Facebook, Microsoft, Apple czy Yahoo. Biorąc pod uwagę skalę działania firm współpracujących z NSA powstaje pytanie, w jaki sposób organizacja może zagwarantować bezpieczeństwo danych swoich pracowników i chronić ich prywatność?
Dyrektywa unijna o ochronie danych osobowych EU 95/46/ z dnia 24 października 1995 roku przedstawia w jaki sposób dane osobowe obywateli mają być chronione w Unii Europejskiej. Organizacjom stawia się wymagania: wdrożenia odpowiednich środków technicznych
i organizacyjnych, zachowania poziomu ochrony adekwatnego do ryzyka. Z dyrektywy, którą państwa członkowskie musiały wdrożyć do swojego prawodawstwa do 1998 roku wynika, że zapewnienie bezpieczeństwa IT jest prawnym obowiązkiem dyrekcji każdej firmy. Środkiem do realizacji tego celu może być użycie prostego rozwiązania szyfrującego dane, które swoją prostotą spełni oczekiwania również sektora małych i średnich przedsiębiorstw.
Bezpieczeństwo danych w chmurze
Korzystanie z chmury oznacza, że dane są dostępne w każdym miejscu i o każdej porze, wymagane jest połączenie z siecią. Argumentem za stosowaniem tej technologii jest opinia, że pracownicy wykorzystujący tą technologię mogą być bardziej produktywni. Warto odpowiedzieć sobie zatem na pytanie: jeśli dane w chmurze są wszędzie, to gdzie rzeczywiście są zlokalizowane? Czy zdajemy sobie sprawę, że dostęp do serwisów w chmurze mają różne służby i osoby? Aby je uchronić warto zastosować szyfrowanie plików przed przesłaniem do serwisu w ,,chmurze” i wymagać od użytkowników stosowania złożonego hasła. Jest to bezpieczna metoda, ponieważ klucze szyfrujące są centralnie zarządzane i back-upowane.
Dostęp do plików i folderów sieciowych
Problem zarządzania plikami w sieci wiąże się z kwestią ochrony danych wrażliwych, takich jak akta osobowe czy informacje o wynagrodzeniu. Musimy mieć pewność, że dostęp do tego typu informacji ma jedynie uprawniony pracownik, a nie każdy zatrudniony posiadający dostęp do firmowego dysku sieciowego. Pomocne przy tym jest centralne ustalenie praw dostępu do danych. Zbyt często w firmach administratorzy sieciowi mają dostęp do danych wrażliwych, istnieją jednak rozwiązania zapewniające dostęp do danych tylko osobom upoważnionym nie utrudniające przy tym pracy zarządzającym sieciom. Służą do tego: szyfrowanie plików i folderów sieciowych, szyfrowanie plików i folderów lokalnie z użyciem zmiennych systemowych czy stosowanie kluczy grupowych.
Laptop w podróży
Obecnie służbowy laptop to korporacyjny standard, warto jednak pamiętać ile cennych i wrażliwych danych może znajdować się na jego dysku twardym. Bezpieczeństwo fizyczne jest jednym aspektem ochrony służbowego sprzętu, często padają one bowiem łupem złodziei bądź nieszczęśliwych zaginięć. Według badań Ponemon Institute 86% zajmujących się IT twierdzi, że komuś w ich firmie zginął lub został skradziony laptop. Aby nie utracić danych często przekraczających wartością sam sprzęt warto zastosować pełne szyfrowanie dysku twardego oraz włączenie opcji uruchomienia komputera tylko przez autoryzowane osoby.
Ochrona danych na nośnikach przenośnych
W większości organizacji nie można zabronić korzystania z nośników przenośnych typu pendrive, dlatego pracownicy podłączają je wszędzie nie zdając sobie sprawy z zagrożeń zarażenia sprzętu czy wycieku drażliwych danych. Wygoda wymiany danych i ich przechowywania stanowią o popularności tego rozwiązania, jednak ich względnie mały rozmiar jest przyczyną częstych zaginięć, co zwiększa ryzyko utraty firmowych danych. Zastosowanie szyfrowania danych urządzeń przenośnych umożliwia ich łatwe współdzielenie wśród współpracowników i minimalizuje ryzyko utraty danych. Więcej informacji o rozwiązaniach do szyfrowania danych można odnaleźć tutaj.