13 kwietnia 2022

Jak w jedną godzinę skutecznie wdrożyć rozwiązanie DLP w firmie?

  • Czym są rozwiązania DLP i dlaczego ich potrzebujemy?
  • Krok pierwszy – co chcę chronić?
  • Krok drugi – gdzie są bezpieczne strefy?
  • Krok trzeci – zapewnienie ochrony

Zacznijmy od rzeczy najprostszej – czym są (i dlaczego są nam potrzebne) rozwiązania DLP? Wyobraźmy sobie, że nasz najlepszy, najbardziej zaufany i (co najgorsze) mający dostęp do większości danych firmowych pracownik dostaje ciekawą propozycję pracy – bezpośrednio od naszej konkurencji. W takiej sytuacji jeśli zdecyduje się na rozpoczęcie współpracy logicznym wydaje się, że będzie chciał zabrać część efektów swojej pracy „ze sobą”. Rzeczywistość pokazuje, że pracownicy rzadko rozumieją, że „ich klienci” to tak naprawdę klienci firmy w której pracują. Projekty które realizują także nie są „ich”. Regulaminy (np. regulamin rozliczania premii) są dokumentami firmowymi, a dokumenty poufne mimo, że mieli do nich wcześniej dostęp – powinny pozostać w firmie. Rozważny właściciel / administrator – rozumie potrzebę ochrony kluczowych danych i naturalnym odruchem stają się szkolenia pracownicze. Sęk w tym, że same szkolenia w dzisiejszych czasach to jednak trochę za mało – i tak jak przed atakami hakerskimi bronimy się wdrażając rozwiązania UTM – tak przed błędami ludzkimi i potencjalnymi  zagrożeniami z wewnątrz – rozwiązaniami klasy DLP.

Załóżmy więc, ze administrator podjął odważną decyzję – trzeba chronić dane – chcemy wdrożyć rozwiązanie DLP w firmie, mieć wiedzę jak pracują pracownicy oraz pewność, że firmowe dane faktycznie pozostaną w firmie. I co dalej? Dalej trzeba odpowiedzieć sobie na kilka fundamentalnych pytań, które pomogą nam w prawidłowym wdrożeniu DLP.

Krok pierwszy – co właściwie chciałbym chronić?

W pierwszym kroku wdrożenia musimy zdefiniować, które elementy/pliki/treści jakie przetwarzamy w organizacji są tymi elementami – które powinny podlegać ochronie. Jakiego rodzaju dane to mogą być? Dane osobowe, dane o naszych pracownikach (wraz z wynagrodzeniami), know-how, prowadzone projekty, baza klientów, dane z CRM, tworzone dokumenty… tak naprawdę każda organizacja ma swoje obszary, które chce zabezpieczyć i – niestety – bardzo często administrator nie jest pewny, jakie to są obszary. Stąd też – najpopularniejszą techniką jest wskazanie do ochrony danych, które wydają się oczywiste (np. dane osobowe) a następnie monitorowanie wszystkich pozostałych plików, które opuszczają naszą organizację – dzięki temu sama aktywność pracowników na plikach może pomóc nam ustalić, które dane powinny być chronione. Oczywiście można iść w kierunku konsultacji ze stroną biznesową naszej firmy aby samodzielnie wskazała elementy podlegające ochronie – nie mniej, monitorowanie plików opuszczających organizację w zakresie odpowiedzenia sobie na pytanie czy na pewno ten plik może opuszczać firmę – jest zawsze dobrą praktyką.

Krok drugi – gdzie są bezpieczne obszary dla plików chronionych?

Moglibyśmy na tym etapie po prostu objąć ochroną kluczowe dla nas dane – z pominięciem określenia tzw. bezpiecznych obszarów (bezpieczne strefy, uprawnienia pracowników itd.) – jednak takie podejście spowodowałoby przede wszystkim, że plik który ma być chroniony np. nie może być wysyłany emailem. Dlaczego? Dlatego, że system na tym etapie nie będzie wiedział, że dany plik MOŻE być wysłany emailem wewnątrz firmy – skoro go chronimy to pracownik np. nie może go dodać do emaila. Stąd też – zanim obejmiemy plik sklasyfikowany jako istotny – należy zdefiniować wspomniane bezpieczne miejsca takie jak firmowa domena, określone aplikacje, wybrane chmury czy miejsca sieciowe właśnie po to, żeby na kolejnym etapie (czyli obejmowania pliku ochroną) móc wykluczyć zdefiniowane wcześniej obszary.

Krok trzeci – objęcie ochroną kluczowych plików – z uwzględnieniem potrzeby edukacji pracowników.

Na samym początku wspominałem, że istotne (z punktu widzenia ochrony danych) są także szkolenia pracowników. Warto na etapie wdrożenia rozwiązania DLP nie tylko przypomnieć o zasadach panujących w firmie w kontekście kluczowych dokumentów ale także – dać czas pracownikom aby uczyli się na konkretnych przykładach. Warto wdrożyć rozwiązanie DLP w taki sposób aby pracownik mimo wszystko mógł „wynieść” plik, który ma być chroniony – bo być może z jego punktu widzenia jest to konieczne dla biznesu firmy lub (co bardziej prawdopodobne) nie wie, że taki plik nie powinien się wydostać. W tym celu – np. w rozwiązaniu Safetica – zaimplementowano opcję „edukuj” która nie tyle zablokuje możliwość np. wysłania pliku poza organizację, co raczej poinformuje pracownika, że nie powinien tego robić – pozwalając jednak pracownikowi na „ominięcie” polityki bezpieczeństwa o ile oczywiście będzie w stanie uzasadnić tą decyzję. Dopiero na samym końcu wdrożenia polityka „edukowania” może być zastąpiona polityką „blokującą”, która faktycznie zablokuje możliwość wyniesienia pliku.

Podsumowania słów kilka.

Wdrożenie DLP w firmie nie musi być trudne, czasochłonne czy pochłaniać dużych zasobów. Na rynku dostępne są rozwiązania, których konfiguracja nie powinna stanowić większego problemu – a trzymanie się powyższego schematu – realnie może pozwolić na zabezpieczenie naszego środowiska w prosty i lekki sposób.

Tyle teorii. A jeśli chcesz zobaczyć jak w praktyce wygląda wdrożenie DLP - zapisz się na nasz webinar, na którym na własne oczy zobaczysz, jak z wykorzystaniem Safetica DLP administrator obejmuje ochroną podstawowe dokumenty firmy. I robi to w godzinę.

Mateusz Piątek

Mateusz Piątek
senior product manager Safetica / Holm Security / Senhasegura

Masz pytania?
Skontaktuj się ze mną:
piatek.m@dagma.pl
532 570 255

Skuteczna ochrona przed wyciekiem danych

Sprawdź

Polecane wpisy: