Víte, kde jsou všechna data vaší společnosti a jak proudí vašimi operacemi a procesy? Firemní data proudí oficiálními i neoficiálními kanály, jako jsou e-mail, cloud, tiskárny, okamžité zasílání zpráv atd. Pokud zaměstnanci nezacházejí s daty s patřičnou péčí, mohou být velmi snadno ztracena. Přečtěte si více o ochraně dat – proč je důležitá a jak ji nejlépe provádět.
Jak společnosti produkují data
Obchodní data jsou jakékoli informace relevantní pro provoz společnosti. Existují dva typy dat – vstupní data a výstupní data. Vstupní data poskytují uživatelé a počítače poskytují výstupní data.
Společnosti shromažďují data z různých zdrojů a kanálů a činí tak prostřednictvím různého softwaru nebo AI. Pro zpracování Big Data se používají sofistikovanější nástroje.
Příklady dat, která společnosti obvykle mají:
- Finanční informace
- Strategické informace společnosti (dlouhodobá vize, obchodní cíle, rozvoj zaměstnanců, rovnost a rozmanitost atd.)
- Obchodní a prodejní prognózy
- Informace o zákaznících
- Osobní údaje
- Statistiky návštěvnosti webu
- Detaily kampaní (sociální média, e-maily atd.)
- Výsledky prodeje
- Data ze skladu a zásob
- Data HR (informace o zaměstnancích, platy, interakce mezi týmy atd.)
- Informace o zákaznících a partnerech z CRM systémů
- Zdrojový kód
- Schémata a designy
Co je tok dat
Tok dat je pohyb dat vaší společnosti napříč vašimi systémy. Data mohou proudit jak softwarem, tak hardwarem a během procesu pohybu se mohou měnit.
Různí zaměstnanci a týmy mají v určitých bodech toku dat přístup k datům. Mohou data měnit, poskytovat data jiným oddělením nebo dodavatelům, nebo dokonce data mazat.
Data mohou uniknout v každém okamžiku a každá fáze toku dat může být riziková z hlediska ochrany dat.
Kde společnosti ukládají svá data
V minulosti byla firemní data uložena na papíře – ve složkách a deskách v kancelářích a archivech. Během procesu digitalizace byla všechna data převedena do digitálních formátů. Data lze najít a přesouvat prostřednictvím následujících kanálů (oficiálních i neoficiálních):
- Webové stránky pro sdílení souborů a sociální média (WeTransfer, Twitter, Facebook, Send Anywhere)
- E-mail (Webmail, POP3 / IMAP, SMTP)
- Internet (HTTP, HTTPS, FTP, FTPS, P2P)
- Cloud (OneDrive, Dropbox, Google Drive, Box, SharePoint)
- Microsoft 365 (Exchange Online, SharePoint Online)
- Okamžité zasílání zpráv (Teams, Skype, Slack)
- Vyměnitelná úložiště (USB, paměťové karty, externí disky, optické disky)
- Média (CD, DVD, Blu-ray, tiskárny)
- Připojení (Bluetooth, FireWire)
- Operace (Kopírovat a vložit, Drag and Drop, snímání obrazovky)
Proč byste měli chránit data
Insideři nezacházejí s daty s péčí
Vnitřní hrozby narůstají kvůli trendům v digitálních pracovních prostorech, flexibilní a vzdálené práci a agilním a BYOD přístupům. Celkový počet incidentů se za poslední dva roky zvýšil o 44 procent. Většina těchto hrozeb je nezáměrná – 56 % bylo způsobeno nedbalými insidery, zatímco 26 % bylo zlomyslných.
Přečtěte si více o vnitřních hrozbách zde.
Data končí v rukou konkurence
Data mají pro společnosti velkou hodnotu a mohou snadno generovat další zdroj příjmů. Existují dokonce společnosti, jejichž podnikání je založeno na generování dat. Zaměstnanci tedy mohou být motivováni ukrást data společnosti a prodat je konkurenci nebo jiným společnostem.
Reputační rizika pro společnost
Když dojde k narušení dat, pověst společnosti je ohrožena. Negativní mediální pokrytí může snížit počet zákazníků, a tím i zisk.
Narušení dat způsobená insidery jsou velmi nákladná
Náklady na narušení mohou být obrovské. Celkové náklady na incident vnitřní hrozby se zvýšily z 11,45 milionu USD v roce 2020 na 15,4 milionu USD v roce 2021. Čím déle trvá detekce vnitřní hrozby, tím vyšší jsou náklady. V průměru trvá téměř tři měsíce (85 dní) zvládnout incident vnitřní hrozby. Incidenty, jejichž odhalení trvalo déle než 90 dní, stály společnosti 17,19 milionu USD, průměrné náklady na incidenty, které byly odhaleny za méně než 30 dní, byly 11,23 milionu USD.
Soulad s předpisy a GDPR
V případě narušení dat mohou právní orgány uložit pokuty. Nejpřísnějším nařízením je GDPR. Společnosti, které porušují GDPR, mohou očekávat následující pokuty:
- Nižší úroveň je až 10 milionů eur, nebo 2 % z celosvětových ročních příjmů z předchozího roku, podle toho, co je vyšší.
- Vyšší úroveň je až 20 milionů eur, nebo 4 % z celosvětových celkových příjmů z předchozího fiskálního roku, podle toho, co je vyšší.
Přečtěte si více o GDPR v tomto článku.
Jak společnosti přicházejí o svá data
Jak je uvedeno výše, většina vnitřních hrozeb je nezáměrná a vzniká z různých důvodů, jako jsou hybridní režimy práce nebo BYOD přístupy. Vnitřní hrozby se mohou také stát, protože zaměstnanci jsou unaveni, pracují pod stresem nebo si nejsou vědomi bezpečnostních procesů a důležitosti zabezpečení dat.
Pojďme se podívat na pár reálných situací, které vám ukážou, jak jsou vnitřní hrozby součástí každodenních obchodních operací.
James spěchá do školky
James potřebuje vyzvednout své dítě a nemá dostatek času aktualizovat databázi zákazníků pro zítřejší rozesílání e-mailů. Možná to bude moci udělat z domova, ale podle zásad společnosti není možné se přihlásit bez VPN. A právě si koupil nový notebook, ale ještě si nenastavil VPN.
Mezitím jeho dítě pláče a učitelka volá Jamesovi, aby zjistila, zda je na cestě. Spěchá, takže zkopíruje Excel tabulku a nahraje ji na svůj osobní Google Drive a rozhodne se udělat svou práci doma večer. Ale jeho Google Drive je plný fotek z dovolené a není dostatek volného místa pro nahrání Excel tabulky. Takže James ji nahraje na WeTransfer. Bez šifrování a bez hesla.
Lauru přerušil kolega při odesílání e-mailu
Laura pracuje na důležitém e-mailu s finančními dokumenty pro CFO své společnosti, když najednou zazvoní její telefon. Je to její kolega s důležitým problémem, který je třeba ihned vyřešit. Laura je na telefonu se svým kolegou při výběru e-mailové adresy příjemce. Je pod tlakem, a tak místo jména CFO vybere ze seznamu návrhů e-mailovou adresu klienta.
Charliemu už jeho práce nepřináší radost
Charlie má problémy se svým manažerem a rozhodne se najít si novou práci. Je talentovaný a již obdržel nabídku od konkurence. Charlie ví, že databáze klientů jeho společnosti bude v jeho nové práci užitečná, a rozhodne se ji vzít s sebou. Myslí si, že je riskantní ji odeslat e-mailem, takže nahraje několik snímků obrazovky a exportů databáze na svůj USB disk.
Jak vidíte z příkladů, vnitřní hrozby většinou nemají zlomyslné úmysly, nicméně důsledky mohou být pro společnost stejně škodlivé jako zlomyslný akt.
V čích rukou mohou vaše data skončit
- Hackeři/ransomwarové skupiny vás mohou vydírat a vyhrožovat, že data budou zveřejněna, pokud jim nezaplatíte nějaké peníze.
- Konkurence by byla o krok napřed, pokud by získala přístup k datům vašich zákazníků, obchodním plánům nebo know-how.
- Smluvní partneři by vyjednávali nižší ceny, protože by znali vaše podmínky, kalkulace a marže.
Jak chránit data vaší společnosti
Bez ohledu na to, kolik kanálů vaše společnost používá, existuje několik univerzálních způsobů, jak chránit svá data.
- Proveďte audit dat a najděte všechna svá citlivá data. Je dobré vědět, s jakým typem dat vaše společnost pracuje, kde jsou data uložena a kdo s nimi má přístup pracovat nebo je měnit.
- Implementujte zásady, které specifikují, jak lze zacházet s citlivými daty a kdo k nim může mít přístup a pro jaké účely. Ujistěte se, že vaše zásady jsou snadno srozumitelné.
- Vzdělávejte své zaměstnance a vysvětlete jim důležitost zabezpečení dat. Měli by vědět, s jakým typem dat vaše společnost pracuje a jaké jsou důsledky jejich zneužití.
- Šifrujte svá data a ujistěte se, že i když ztratíte svůj flash disk nebo telefon, vaše data zůstanou v bezpečí.
Několik dalších tipů pro zabezpečení dat:
- Webové stránky pro sdílení souborů, sociální média a okamžité zasílání zpráv – Blokujte nahrávání dat nebo upozorňujte zaměstnance na rizikové operace
- E-mail – Omezte odesílání dat na neznámé externí e-mailové adresy, upozorňujte zaměstnance na potenciální narušení
- Internet, cloud, O365 – Omezte nahrávání dat do neoficiálních kanálů mimo společnost nebo upozorňujte zaměstnance
- Tiskárny – Zkontrolujte, jaký typ dokumentů vaši zaměstnanci tisknou na základě kontextových informací, a objevte potenciální narušení dat; omezte tisk konkrétních citlivých dokumentů
Jak Safetica chrání vaše data
Monitoruje váš tok dat
Safetica nabízí funkce ke sledování a ochraně různých kanálů toku dat, které vaše společnost používá. Safetica kontroluje odchozí komunikační kanály vaší společnosti a poskytuje vám přehled o tom, jak data putují ve vaší společnosti. Jakmile znáte své toky dat, můžete nastavit bezpečnostní opatření. Upozorněte své uživatele na rizikové chování nebo blokujte nebezpečné akce sdílení souborů.
Pomáhá vám být v souladu s předpisy
Safetica vám pomáhá monitorovat tok dat ve vašem IT prostředí i mimo něj. Můžete nastavit konkrétní pravidla, která vám pomohou splnit GDPR nebo jiná nařízení o ochraně dat. Budete moci vidět, jak zaměstnanci pracují s osobními a jinými citlivými daty, a umožní vám to eliminovat riziko zneužití nebo náhodného porušení zásad. Systém vás v reálném čase upozorní v případě bezpečnostní hrozby.
Šifruje vaše data
Safetica vám dává možnost spravovat šifrování USB zařízení a disků pomocí BitLockeru. Řešení se stará o správu bezpečnostních klíčů a obnovu.
Chraňte svá data před vnitřními hrozbami
Safetica kontroluje chování uživatelů a upozorňuje vás, když najde anomálie. Pokud uživatel začne posílat větší množství dat v noci nebo náhle pracuje s různými typy dat, jedná se o potenciální incident a systém vás upozorní a vy můžete podniknout vhodné kroky.
Safetica upozorňuje zaměstnance na rizikové operace, čímž je vzdělává o zabezpečení dat. Je důležité důvěřovat svým zaměstnancům, ale nezapomínejme, že jsme všichni lidé a lidé chybují. Safetica tato rizika zmírňuje a vy můžete jít spát s klidem, vědom toho, že data, lidé a vaše společnost jsou chráněni.