Ochrona danych osobowych w małych firmach: priorytet czy "sprawy drugorzędne"?

Często słyszymy o wyciekach poufnych informacji z dużych korporacji oraz o działaniach, jakie podejmują one w celu zminimalizowania ryzyka wystąpienia incydentów bezpieczeństwa. Jednocześnie jednak media prawie nie poruszają kwestii bezpieczeństwa informacji w małych firmach.

Czy małe firmy obawiają się problemu bezpieczeństwa informacji? A jeśli tak, to jak radzą sobie z tym zagadnieniem? Jaka jest rola systemów DLP (Data Loss Prevention) w obwodach bezpieczeństwa małych firm? Aby odpowiedzieć na te pytania, zwracamy się do ekspertów w dziedzinie bezpieczeństwa informacji i małych firm.

Zanim przejdziemy do kwestii wykorzystania oprogramowania monitorującego pracowników w małych firmach, należy dokładnie ustalić, jakie informacje chcą one chronić. Kierownik ds. rozwoju biznesu w firmie Greatment Inc. Stephen Lawson opowiada o tym szczegółowo:

"W naszej epoce informatycznej problem ochrony danych osobowych dotyczy właściwie każdego uczestnika procesu wymiany informacji. Dotyczy to z pewnością dużych i średnich firm oraz małych przedsiębiorstw, indywidualnych przedsiębiorców i zwykłych ludzi. Podstawą bezpieczeństwa jest prawidłowo zdefiniowany i sklasyfikowany przedmiot ochrony. Mogą to być dane (na przykład plany rozwoju firmy, sprawozdania finansowe, opis stosowanych technologii, wynalazki), systemy informatyczne (systemy HR, CRM, ERP, BI, systemy finansowe i produkcyjne), procesy biznesowe (technologia produkcji), a nawet ludzie (pracownicy o unikalnych umiejętnościach, kluczowi gracze). Niektóre przedmioty ochrony są również definiowane zgodnie z wymogami regulacyjnymi (np. tajemnica bankowa, dane osobowe). Wybór metod i środków ochrony zależy od zrozumienia, co trzeba chronić, przed kim trzeba chronić, gdzie trzeba chronić i do jakich konsekwencji może doprowadzić niewłaściwa ochrona. Kompletność i jakość symulacji zagrożeń bezpieczeństwa, jak również niezbędne środki zaradcze, w dłuższym okresie czasu będą decydować o wysokości ponoszonych przez firmę wydatków. Niezależnie od wielkości firmy, ustanowienie ochrony przed zagrożeniami bezpieczeństwa powinno być realizowane systematycznie, czyli należy rozpocząć od opracowania zestawu środków pozwalających na ochronę przed zagrożeniami w zależności od stopnia negatywnych konsekwencji, jakie mogą z tego wyniknąć. Konieczne jest wdrożenie ochrony danych i stworzenie procesów organizacyjnych, które przypiszą odpowiedzialność określonym osobom w firmie. Przykładowo, w przypadku bardzo małych firm mówimy o stworzeniu kilku regulaminów bezpieczeństwa informacji, zainstalowaniu oprogramowania antywirusowego, zaszyfrowaniu krytycznych danych oraz poinstruowaniu pracowników, jak pracować z wrażliwymi informacjami."

Dla ochrony różnych danych firmy mogą wdrożyć system DLP. Opinie ekspertów były jednak podzielone w kwestii tego, czy stosowanie DLP jest uzasadnione w przypadku małych firm.

, Leading analyst, Symbolitics:

"W małych firmach istnieje potrzeba stosowania systemów DLP: rzeczywistość pokazuje, że wyciek poufnych danych może mieć miejsce w firmie każdej wielkości. Dodatkowo, istnieje ogromna liczba typów danych. Tajemnice handlowe, unikalne projekty, specyfikacja technologiczna - takie informacje są zwykle chronione przez duże i średnie firmy. Małe firmy często mają do czynienia z danymi osobowymi, tj. biura podróży, firmy ubezpieczeniowe, kancelarie prawne - muszą martwić się o bezpieczeństwo pozyskanych informacji.

Dlatego DLP jest niezbędne nie tylko w korporacjach, ale w firmach każdej wielkości. Oczywiście, system DLP to dość drogie oprogramowanie. Dla mniejszych firm jest to czynnik krytyczny i szukają one bardziej przystępnych rozwiązań. Dlatego też na rynku obserwuje się obecnie wzrost popularności produktów do monitorowania pracowników. Systemy te pomagają utrzymać dyscyplinę pracowników, znaleźć problemy w procesach biznesowych oraz częściowo rozwiązać problem DLP. "

, Kierownik Działu Bezpieczeństwa Informacji w profesjonalnym dostawcy usług hostingowych Starrhost:

"Pomysły na ochronę informacji są zawsze poszukiwane, na każdym poziomie. Pomimo faktu, że kompetentne wykorzystanie rozwiązań DLP prowadzi ostatecznie do zmniejszenia kosztów i wydatków, małe firmy wolą ograniczać środki bezpieczeństwa do podejmowania ustaleń organizacyjnych i pracować z nimi aż do przełomu."

, kierownik działu bezpieczeństwa informacji w Curso:

"W przeciwieństwie do klasycznych zabezpieczeń, takich jak zapory sieciowe, oprogramowanie antywirusowe, ochrona kryptograficzna, rozwiązania DLP dopiero się rozwijają i próbują zainteresować konsumentów na rynku. Wynika to z kilku powodów. Po pierwsze, większość rozwiązań tego typu wiąże się ze znacznymi wydatkami na zakup (w tym komponentu sprzętowego), na wdrożenie, a także na zatrudnienie i przeszkolenie personelu obsługującego system DLP. Wszystko to sprawia, że DLP staje się dla firmy ekonomicznie nieopłacalne. Po drugie, jest to brak świadomości społecznej o istnieniu i możliwościach systemów DLP, a także wciąż palący problem braku uwagi na problemy zapewnienia bezpieczeństwa informacji. W szczególności dotyczy to małych firm, które często charakteryzują się brakiem dedykowanych specjalistów ds. bezpieczeństwa, częstym wykorzystywaniem przez pracowników urządzeń osobistych do rozwiązywania problemów związanych z pracą itp. W celu wdrożenia mechanizmów zapobiegania wyciekom poufnych danych małe firmy mogą skorzystać z DLP jako usługi świadczonej przez wyspecjalizowane organizacje."

, dyrektor finansowy Estation Inc:

"Małe i średnie firmy są często zainteresowane rozwiązaniami DLP, ale nie zawsze rozumieją ich rzeczywiste cechy i warunki niezbędne do ich efektywnej pracy. Wymagania, jakie małe firmy stawiają takiemu oprogramowaniu, są zwykle nierealistyczne. Jeśli nie brać pod uwagę wyjątkowych przypadków, w których kadra kierownicza jest skłonna osobiście przeglądać niemal każdą wiadomość e-mail i inne przekazywane dane, małe firmy mają tendencję do oczekiwania od systemów DLP, że będą one wykrywały brak skrupułów pracowników "same z siebie": przypadki przekupstwa, przekazywania danych biznesowych konkurentom itd. Ale żaden system DLP nie ma własnej inteligencji i nie może ocenić wartości zebranych informacji. Wszystkie parametry kontrolne muszą być wprowadzone przez użytkowników systemu (z reguły jest to służba bezpieczeństwa ekonomicznego firmy). Wymaga to przynajmniej minimalnej wiedzy technicznej, zrozumienia procesów biznesowych firmy i wartości różnych danych, odpowiedniej oceny ryzyka, pewnego zrozumienia psychologii potencjalnych przestępców, ciągłego monitorowania i dostosowywania (innymi słowy poświęcenia dużej ilości godzin pracy). DLP jest tylko narzędziem w rękach pracowników odpowiedzialnych za bezpieczeństwo. I jak każde wyrafinowane narzędzie, systemy DLP mają pewne wymagania co do poziomu kwalifikacji osoby, która je wykorzystuje. "

, Kierownik Działu Rozwoju Produktu w firmie System Software:

"Małe przedsiębiorstwa nieczęsto korzystają z systemu DLP, ponieważ firmy te zwykle nie dysponują wystarczającymi środkami finansowymi. Ponadto w małych firmach ludzie zazwyczaj dobrze się znają, a relacje w pracy są zazwyczaj oparte na zaufaniu. W procesie rozwoju i przy wzroście rotacji pracowników firmy zaczynają myśleć o monitoringu pracowników i systemach DLP. Dzieje się tak zazwyczaj, gdy firma rozrasta się do 200-300 komputerów. W efekcie potencjalni nabywcy rozważają głównie uproszczony system, w którym DLP jest jedynie dodatkiem, a nie fundamentem."

, Marketing Manager w firmie Security code LLC:

"Popyt na systemy DLP i inne środki bezpieczeństwa informacji w małych firmach jest dość ograniczony. Wynika to z faktu, że wprowadzenie takiego systemu wymaga nie tylko inwestycji, ale także pewnego poziomu zrozumienia zagadnień związanych z bezpieczeństwem informacji. Kierownictwo powinno jasno rozumieć, jakie dane są poufne, kto powinien mieć do nich dostęp, a kto nie. Problem ten wykracza daleko poza obszar odpowiedzialności i kompetencji administratora IT. Mimo to w małych firmach to właśnie administrator jest zazwyczaj osobą zajmującą się bezpieczeństwem informacji. Małe firmy charakteryzuje również elastyczność i duża wrażliwość na koszty. Dlatego wprowadzenie w pełni funkcjonalnych typów rozwiązań DLP prawie nigdy się nie zdarza. Jeśli jednak firma nabywa wielofunkcyjny system ochrony stacji roboczych, który zawiera pewne funkcje DLP (zwykle kontrolę USB), to te funkcje są wykorzystywane."

, Purposeidler Lider projektu:

"Nasza firma uważa, że to nie dane wymagają kontroli (jak w klasycznych systemach zapobiegania wyciekom informacji), ale pracownicy, którzy z tymi danymi pracują. Tradycyjne systemy kontroli mają szereg wad. Po pierwsze, są ciężkie, skomplikowane i drogie w implementacji. Absolutnie nie znajdują więc zastosowania w małych firmach. Po drugie, klasyczne systemy DLP monitorują pracę z danymi. Monitorowanie odbywa się dla konkretnych plików (po nazwie pliku) lub danych w systemach informatycznych firmy po jakimś wzorcu danych (na przykład XXXX-XXXX-XXXX dla numerów kart kredytowych). Jeśli więc po prostu zmienisz format danych, to system DLP nie będzie w stanie ich śledzić. Na przykład, jeśli zmienisz numer karty kredytowej z XXXX-XXXX-XXXX na AXXXX, BXXXX, CXXXX, DXXXX, to system DLP nie uzna tego za ważne i pójdzie w niepamięć. Po trzecie, stałe monitorowanie wykorzystania danych nadmiernie obciąża komputery pracowników i zasoby firmy. Gdyby system DLP sprawdzał wszystkie wychodzące dane, to każda awaria skutkowałaby izolacją firmy."

Niektórzy eksperci zauważyli zapotrzebowanie na systemy DLP wśród małych firm, inni zaś uważają, że rozwiązania te nie są popularne w tym segmencie. Spróbujmy zorientować się, jak duże jest zainteresowanie DLP wśród małych firm w porównaniu do dużych i średnich przedsiębiorstw.

, prezes klubu młodych przedsiębiorców, prezes CloudSolutions:

"Rozwiązania DLP będą przydatne zarówno w dużych firmach, jak i w małych przedsiębiorstwach, ale tylko jako jedno z działań zapobiegających wyciekowi informacji. Tego typu programy są dobre do podnoszenia kompetencji informatycznych wśród pracowników, ponieważ sama ich istota polega na ocenie ryzyka wycieku informacji. W tym celu analizowana jest aktywność w kanałach, przez które może dojść do wycieku danych: poczta elektroniczna, komunikatory internetowe i bezpośrednio WWW. Na podstawie treści i kontekstu (protokół, aktywność, rodzaj aplikacji itp.) program dalej generuje politykę bezpieczeństwa, zgodnie z którą blokuje wiadomości, zgłasza naruszenia itd. Ważne jest, aby zrozumieć, że w przeciwieństwie do zapór ogniowych, rozwiązania DLP nie blokują całkowicie transferu danych, ale zamiast tego starają się analizować aktywność człowieka w sieci, co pozostawia firmy z jeszcze większym prawdopodobieństwem wycieku danych."

, prezes klubu młodych przedsiębiorców, prezes CloudSolutions:

"Wszystkie firmy mają interes w ochronie informacji. Podejścia do wdrażania rozwiązań DLP mogą być różne, ale "utrata informacji" w XXI wieku jest niemal równa "utracie pieniędzy", więc logiczne jest założenie, że idea minimalizacji takiego ryzyka strat istnieje w każdej firmie, niezależnie od jej wielkości."

"Zainteresowanie firm systemami DLP zależy nie tylko od skali ich infrastruktury IT i ilości przetwarzanych danych. Przede wszystkim oczywiście zależy od istnienia informacji, których wyciek może spowodować szkody, oraz od obecności aktualnych zagrożeń. Tak więc zainteresowanie DLP może być jednakowe zarówno w dużych jak i małych firmach. Jednak duże firmy mają większe możliwości i zdolności do wykorzystania takich systemów."

, kierownik działu bezpieczeństwa informacji w firmie "Expectronica" (I-Techio Inc.):

"Przede wszystkim systemy DLP interesują firmy dysponujące odpowiednimi środkami finansowymi niezależnie od wielkości. Należy jednak pamiętać, że DLP to tylko narzędzie, a to, czy rzeczywiście zostanie wykorzystane do kontroli i zapobiegania wyciekom, czy pozostanie tylko "schematem", zależy od wielu czynników: osobistych ambicji menedżerów odpowiedzialnych za bezpieczeństwo informacji, doświadczenia zespołu projektowego i jasnego zdefiniowania problemu. Jakość wdrożenia ma kluczowe znaczenie dla skuteczności kontroli i zapobiegania wyciekom. Warto zauważyć, że sam zakres systemów DLP jest bardzo delikatny, wdrażanie takich projektów w wielu firmach jest spowolnione przez biurokratyczne i prawne aspekty techniczne oraz wysokie ryzyko reputacyjne."

, dyrektor handlowy firmy SenseBox:

"Z rozwiązań DLP korzystają przede wszystkim duże przedsiębiorstwa. I systemy te były początkowo projektowane właśnie po to, by sprostać wymaganiom złożonej korporacyjnej machiny. Ale potrzeba ochrony danych jest taka sama dla wszystkich: od startupów po duże firmy. I ważna jest tu nie sama decyzja o poziomie oprogramowania, z którego korzystają właściciele firm, ale podejście do bezpieczeństwa.

Systemy DLP początkowo wyłoniły się z tego, co można nazwać paranoicznym podejściem do bezpieczeństwa: kiedy staramy się uniemożliwić lub uniemożliwić jakiekolwiek działanie. Na przykład wyobraźmy sobie, że przy wejściu do centrum handlowego stawiamy ochroniarza z psem, kołowrót, wykrywacz metalu i wprowadzamy rewizje ciała dla każdego kupującego. Jako oprogramowanie DLP jest czymś podobnym. W cywilizowanych krajach ludzie polegają na prawie, policji i sądach. I nie ma potrzeby budowania ogrodzeń - można wejść wszędzie. W przypadku, gdy ktoś odważy się złamać prawo, uruchamia się zwykły mechanizm obronny: przyjeżdża policja, a system egzekwowania prawa zapewnia nieuchronność kary.

Nikt nie stoi na przeszkodzie, abyś ograniczył dostęp do informacji poufnych dla niektórych pracowników w postaci ustawy, klauzuli w umowie o pracę i twardych sankcji. Jeśli te sankcje i kary przewyższą korzyści z potencjalnej kradzieży informacji, większość pracowników zrezygnuje z pomysłu kradzieży."

"Moim zdaniem duże korporacje są bardziej zainteresowane stosowaniem rozwiązań DLP, lepiej rozumieją do czego taki system może być przydatny i mają wystarczające zasoby do efektywnego wykorzystania systemów DLP. W ostatnim czasie na rynku pojawiły się rozwiązania wykorzystujące zdobycze naukowe w zakresie sztucznej inteligencji, uczenia maszynowego i analizy big data, które mają ułatwić pracę specjalistom ds. bezpieczeństwa i obniżyć poziom ich wymagań kwalifikacyjnych. Czas pokaże, jak te rozwiązania przyczynią się do szerszej dystrybucji systemów DLP wśród małych i średnich firm."

"Średnie i duże firmy (zwłaszcza jeśli jest to sektor finansowy) są częściej zainteresowane wykorzystaniem systemów DLP. Dla rozwijającej się firmy coraz trudniejsze staje się kontrolowanie transakcji i prywatności pracowników. A w takiej sytuacji łatwo można przeoczyć wyciek informacji lub to, że jakiś pracownik (który z jakiegoś powodu stracił lojalność) zamierza zaszkodzić firmie. Niestety, żaden system nie jest w stanie całkowicie zapobiec bezpośrednim atakom na dane firmowe, ale może znacznie skomplikować ten proces, czyniąc wycieki mniej opłacalnymi i bardziej ryzykownymi dla sprawcy."

, szef bezpieczeństwa informacji w KRAKE:

"Wszyscy uczestnicy rynku (duże korporacje i segment SMB) są zainteresowani systemami DLP, ponieważ ryzyko wycieku informacji występuje we wszystkich firmach. Jednocześnie konsekwencje wycieku danych dla sektora SMB mogą być znacznie bardziej katastrofalne niż dla dużych korporacji. Dla tych pierwszych wyciek może łatwo doprowadzić do utraty kluczowej przewagi konkurencyjnej, a w konsekwencji do zamknięcia działalności. W przypadku dużej korporacji jest to najczęściej kwestia utraty reputacji i strat finansowych."

"Zainteresowanie wykorzystaniem nie tylko systemów DLP, ale także wszelkich innych rozwiązań z zakresu bezpieczeństwa informacji zależy od wielkości firmy, ale bardziej od poziomu jej dojrzałości. Im bardziej firma jest świadoma wartości swoich danych (dla siebie i dla konkurencji), tym bardziej świadomie wdraża strategię bezpieczeństwa informacji w zakresie ochrony danych. Lista niezbędnych działań w tym przypadku obejmuje nie tylko wprowadzenie środków bezpieczeństwa informacji, ale także zreformowanie procesów biznesowych w celu zmniejszenia ryzyka celowego wycieku lub przypadkowej utraty danych.

I dopiero gdy zostaną zdefiniowane procesy biznesowe, w których system DLP zostanie zainstalowany, wtedy na jego wdrożenie zaczyna wpływać wielkość firmy. Oczywiste jest, że duża firma może wydać na taki projekt więcej pieniędzy, ale wymagania techniczne też będą wyższe."

Opinie ekspertów znów się podzieliły. Z jednej strony część uważa, że nie ma związku pomiędzy wielkością firmy a poziomem jej zainteresowania wykorzystaniem DLP, z drugiej strony część ekspertów uważa, że systemy takie są najbardziej pożądane w dużych korporacjach. Jednak w obu przypadkach eksperci są zgodni, że istnieją małe firmy, które traktują bezpieczeństwo informacji, jako jeden ze swoich priorytetów i tym samym mogą być uznane za potencjalnych użytkowników systemów DLP. Jakie są więc wymagania małych firm wobec takich systemów?

"Duzi klienci wybierają na ogół "inteligentne "i drogie rozwiązanie DLP. Małe firmy są zwykle skłonne pracować z tymi systemami w trybie "ręcznym", bez możliwości automatyzacji, jeśli takie rozwiązanie jest znacznie bardziej przystępne cenowo. Z tego powodu w małych i średnich firmach wszystkie incydenty badane są z perspektywy czasu."

"Jeśli pominąć oczywistą kwestię ceny oprogramowania, która w tym segmencie bezpieczeństwa informacji jest najważniejsza, a skupić się na funkcjonalności, to należy dać pierwszeństwo bardziej "wszystkożernym" programom zabezpieczającym. Często zdarza się, że małe firmy nie mogą sobie pozwolić na unifikację elementów systemu informatycznego i budują go na dosłownie tym, co jest pod ręką. Oczywiście konsekwencją takiego podejścia byłaby różnorodność sprzętu wykorzystywanego w systemie informatycznym."

"Lista wymagań, jakie firmy stosują wobec systemów DLP, wynika przede wszystkim ze specyfiki infrastruktury informatycznej firmy, w tym stosowanych metod przesyłania informacji, a także ich objętości. Dzięki temu konsument może określić kanały transmisji danych, które będą kontrolowane przez system DLP. Najpopularniejsze funkcje kontrolne to monitorowanie poczty elektronicznej, dysków wymiennych, adresów URL, komunikatorów i drukowania. Również dla wielu firm tworzenie raportów z systemu DLP jest często istotne, gdyż jest to kluczowe narzędzie do wykazania kierownictwu efektywności wdrożonego systemu DLP."

"Przedstawiciele dużych firm zwykle starają się osiągnąć konkretne cele za pomocą DLP: taki system prawdopodobnie zostanie zintegrowany z już ustalonym krajobrazem IT o dużym

ilość innych komponentów i rozwiązań do ochrony informacji. Natomiast segment SMB chce widzieć rozwiązania DLP jako swego rodzaju "multi narzędzia", które rozwiązują kilka problemów związanych z bezpieczeństwem informacji. Kolejnym ważnym wymaganiem jest łatwość wdrożenia i minimalny potrzebny personel wsparcia."

"Głównym wymaganiem ze strony mniejszych firm jest minimalna cena. Jednak tworzenie systemów DLP może być dość czasochłonne i wymagać ciągłej aktualizacji."

"Małe firmy starają się kupić tanie rozwiązanie o niezwykle łatwym wdrożeniu, które łączy w sobie funkcjonalność wielu rozwiązań. Koncentrują się na rozwiązaniach antywirusowych, systemach kontroli ruchu i wydajności pracowników, które często zawierają uproszczone funkcje DLP. W małych firmach ochrona informacji często nie jest wliczana do kosztów operacyjnych."

"Wśród głównych wymagań, jakie małe firmy mają wobec rozwiązań DLP, jest przystępna cena, łatwość wdrożenia i wsparcia, a także zgodność z wymogami prawnymi. Z punktu widzenia funkcji małe firmy oczekują od systemów DLP możliwości monitorowania drukowania i korespondencji elektronicznej użytkowników (zarówno w ramach sieci firmowej, jak i z wykorzystaniem internetowych usług pocztowych, takich jak gmail.com czy mail.ru), blokowania przesyłania plików na dyski zewnętrzne lub do serwisów udostępniania plików oraz analizowania korzystania przez pracowników z sieci społecznościowych i komunikatorów."

"Małe firmy mają bardzo ograniczone zasoby. Dotyczy to budżetu na bezpieczeństwo informacji oraz liczby wyspecjalizowanych pracowników. Z reguły małe firmy zatrudniają jednego lub dwóch specjalistów IT, którzy w różnym stopniu rozwiązują wszystkie problemy związane z informatyką i bezpieczeństwem informacji."

W tej kwestii eksperci byli praktycznie zgodni. Głównymi czynnikami wyboru oprogramowania do zabezpieczania informacji w małych firmach są jego koszt i łatwość wdrożenia. Wynika to z faktu, że małe firmy w porównaniu z dużymi korporacjami, mają ograniczone zasoby finansowe i ludzkie. Konsekwencją tej sytuacji jest chęć uzyskania taniego oprogramowania wielofunkcyjnego, które może być łatwo wdrożone do infrastruktury korporacyjnej przez jednego lub dwóch członków działu IT.

Jednak na rynku jest dziś kilka całkiem funkcjonalnych programów, które mogą pomóc Twojej firmie w ochronie informacji. A niektóre z nich są nawet dostępne za darmo.