Czego o ochronie firmowych informacji uczy nas 2019 Global Data Risk Report

Właściwa ochrona posiadanych przez firmę informacji to konieczność, a zarazem niezwykle wymagające zadanie. Tę od dawna znaną prawdę potwierdzają wyniki najnowszego Global Data Risk Report. W artykule omawiamy ważniejsze ustalenia twórców badania, a także – nawiązując do ich ustaleń – podpowiadamy co zrobić, aby lepiej chronić firmowe informacje.

Wybrane ustalenia 2019 Global Data Risk Report

Przyjrzymy się wybranym wynikom:

  • 53% z przebadanych firm posiada ponad 1000 plików zawierających wrażliwe informacje, do których dostęp ma każdy pracownik. Taki stan rzeczy znacząco zwiększa ekspozycję na atak zarówno wewnętrzny (np. przekupiony pracownik) jak i zewnętrzny (kampania phishingowa). 
  •  17% wszystkich plików z wrażliwymi danymi jest dostępnych dla każdego pracownika. Pytanie o to czy każdemu z pracowników potrzebny jest dostęp do tych plików nasuwa się samo… A praktyka podpowiada przeczącą odpowiedź! Z kolei spojrzenie na ten wynik przez pryzmat RODO (choć należy zaznaczyć, że badaniem tym objęte były w dużej mierze kraje których Ogólne Rozporządzenie… nie dotyczy) wskazuje, że filozofia privacy by desing (zasada uwzględnienia prywatności w trakcie projektowania) nie cieszy się póki co powszechnym uznaniem.  
Dobre praktyki pozwalające zmniejszyć nadmierną ekspozycję na atak
– Zidentyfikuj i przedefiniuj dostęp uprawniający wszystkich
użytkowników do dostępu do plików z danymi wrażliwymi i cennymi
informacjami.
– Zapewnij aby tylko odpowiednie osoby uzyskały dostęp do plików
zawierających dane wrażliwe i inne informacje wymagające szczególnej
ochrony.
– Rutynowo przeprowadzaj audyty swoich serwerów w poszukiwaniu baz
danych (foldery, skrzynki z danymi, punkty dzielenie danych itp.)
pozwalających na dostęp wszystkim pracownikom i sprawdzaj czy są
one zgodne z firmową polityką nadawania dostępu. 
– Zastąp dostęp globalny (czyli uprawniający wszystkich użytkowników) dostępem wyłącznie dla ściśle określonych grup, którym dostęp do
danego zasobu jest niezbędny do pracy.
– Zacznij od najbardziej wrażliwych danych i sprawdzaj, czy zmiany nie
doprowadziły do wystąpienia jakichś problemów. 
  • W sumie 72% folderów w przebadanych firmach zawiera przestarzałe dane (ang. stale data). Przechowywanie nadmiernej ilości danych nie tylko utrudnia zarządzanie informacjami i ich ochronę, ale także w przypadku danych osobowych może prowadzić do nałożenia na firmę kar administracyjnych (przykładem czego jest sytuacja, w której organizacja przechowuje dane klientów, których przechowywać już nie ma prawa).
  • 58% przedsiębiorstw posiada ponad 1000 przestarzałych (nieużywanych) kont użytkowników. Konta „użytkowników duchów” stanowią poważny obszar ryzyka, gdyż pozwalają wrogim podmiotom na dostęp do danych i systemu. Co więcej, takie konta umożliwiają atakującym pozostanie niewykrytymi przez długi czas.  
  • 11% aktywnych użytkowników korzysta z wiecznych haseł (czyli takich, które ustalone są na stałe). O ile spór na temat tego czy częste zmiany haseł służą bezpieczeństwu, czy nie – ciągle pozostają nierozstrzygnięty, faktem jest, że posiadanie jednego hasła niezmienianego przez długi czas znacząco zwiększa szansę na jego złamanie. W związku z tym o ile raczej nie ma sensu zbyt często zmieniać hasła (a raczej wprowadzać „kosmetycznych” poprawek zastępując np. numer symbolizujący miesiąc kolejnym), o tyle niezmienianie go w ogóle, a tym bardziej wymuszanie na użytkownikach braku jego zmiany, rodzi znaczące ryzyko.

Jedną z ważniejszych obserwacji twórców badania jest to, że:

Ilość przetwarzanych przez firmę danych zwiększa ryzyko naruszenia bezpieczeństwa informacji!

Dlatego też zasadę minimalizacji danych warto stosować szerzej niż tylko do ochrony danych osobowych i ciągle pamiętać o niej projektując i zarządzając organizacyjnymi systemami bezpieczeństwa informacji.

Na jakie kwestie zwraca uwagę Raport, czyli jak lepiej chronić firmowe informacje

Firmy zaniedbują porządkowanie swoich danych – Pamiętaj o przeglądzie aktualności i relewantności gromadzony informacji, usuwaj to co nie jest już potrzebne – uwaga ta dotyczy szczególnie wrażliwych danych (jak np. niepotrzebne już dane klientów)  

Uprawnienia nadawane są zbyt swobodnie – Sformułuj prostą, przejrzystą i spójną politykę nadawania uprawnień i trzymaj się jej koniecznie. Tworząc ją pamiętaj o niezwykle ważnej zasadzie wiedzy koniecznej (ang. need to know)!

Uprawnienia dostępu nie są często aktualizowane (przypuszczalnie więc cały system ochrony informacji nie jest aktualizowany) – Monitoruj i aktualizuj firmowy system ochrony informacji jako całość, a także jego poszczególne elementy, w tym szczególnie wykazy uprawnionych do dostępu do informacji osób.

Wiele uprawnień bądź odmów dostępu jest przyznawanych w sposób niespójny – Pamiętaj o spójności swojego systemu. Aby ją osiągnąć niezbędna jest jego kodyfikacja (przelanie na papier), gdyż inaczej dostrzeżenie niespójności i rozbieżności będzie niezwykle trudne.   

Wieczne hasła nadal używane są przez część organizacji – Unikaj tworzenia wiecznych haseł (takich których nie trzeba zmieniać) i nieustanie przypominaj członkom organizacji jak ważne jest rozsądne tworzenie haseł i zarządzanie nimi. (Jak tworzyć hasła, zarządzać nimi i jakich błędów unikać – przeczytasz tutaj, tutaj i tutaj :))

Informacje o badaniu
Badanie przeprowadziła firma Varonis na reprezentatywnej próbie 785
organizacji z ponad 30 różnych krajów. Przebadane firmy reprezentują
ponad 30 różnych branż.
Więcej danych o badaniu oraz wyników dostępne jest tutaj: https://www.securitymagazine.com/articles/90578-employee-access-to-data-leaving-companies-at-risk

ZOBACZ RÓWNIEŻ:
Czy warto inwestować w bezpieczeństwo IT?
Źródła zagrożeń systemów informacyjnych przedsiębiorstwa

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

two + 2 =