Objem dat využívaných ve firmách hodně narostl, tudíž se řeší, jak je efektivně sdílet, jak si je předávat mezi sebou, jak je spravovat. S tím přicházejí cloudová úložiště, která jsou buďto veřejná, privátní nebo hybridní. Jako uživatelé jsme přitom častokrát nezodpovědní a jsme schopní posílat i citlivé informace přes veřejné kanály, například úložiště typu Dropbox, která jsou z pohledu bezpečnosti těžko kontrolovatelná a tedy i riziková. Vyvstává tedy problém, jak taková data ochránit, protože to častokrát ani není možné.
Sdílení mimo firmu, aneb nelze fungovat v izolaci
Na druhé straně však data často potřebujeme sdílet v rámci týmu, který je třeba rozprostřen na mnoha místech a ne vždy lze podklady poslat e-mailem, ať už z důvodu velkého objemu dat, tak třeba kvůli problematické správě změn a verzí. Ještě složitější situace nastává, pokud potřebujeme data sdílet se svými dodavateli, nebo se svými zákazníky, zkrátka se subjekty mimo firmu, kam už nedosáhnou vnitrofiremní směrnice a nástroje IT. Jak si nad takovými daty udržet kontrolu?
je společnost Dell EMC
I předaná data je možné ponechat pod kontrolu
„Dokážu si představit, že by se malý tým odstřihnul od internetu a svá data nikdy nepouštěl ven. V dnešní době to ale takto už téměř nikde nefunguje a vždy jsou nějaké cesty, jak se dostat ven. Zpravidla se potřebujeme dostat informace k dodavatelům, k partnerům, k zákazníkům. Tudíž musíte data vzít a nějakým způsobem je sdílet. Současně však nad nimi nechcete ztratit kontrolu. Vedle Dell Data Encryption, který nám řeší šifrování, máme Dell Data Guardian, což je v podstatě taková obrana dat a jejich sledování v pohybu. Máme tedy konzoly, máme řešení, které dokáže sledovat data v pohybu a dokáže vystopovat, kde jsou a co se s nimi dělo. Takže data nemusíme mít jenom zašifrovaná, ale můžeme je ještě opatřit něčím, co bych nazval digitálními právy (Digital Rights Management) a tato práva nám umožňují sledovat soubor od jeho vzniku až po vymazání a také to, kde se pohybuje. Pokud tedy máme data, která potřebujeme sdílet v rámci týmu, tak si sestavíme seznam pracovníků, kteří jsou oprávnění s tímto souborem pracovat. V rámci tohoto seznamu sdílím určené dokumenty a tyto dokumenty také v rámci tohoto seznamu kolují.
A jde to i mimo firmu
Pokud dostane určený pracovní tento soubor, systém překontroluje, jestli je na seznamu, a pokud ano, tak mu umožní soubor otevřít. Pokud na seznamu není, objeví se mu hlášení, že si musí pro přístup vyžádat oprávnění, schválení,“ představuje zajímavé řešení Petr Zajíček, client solution manager společnosti Dell EMC.
Jak ale zajistit kontrolu nad citlivými daty, která potřebujeme sdílet mimo firmu, třeba se svými dodavateli, kteří mají jinou bezpečnostní politiku, na niž nemáme kontrolu a nemůžeme ji nijak ovlivnit?
„Mohu se s ním v rámci naší spolupráce dohodnout, že mu poskytnu přístup k dokumentaci. Pak v rámci mé bezpečností politiky pouze přidám na seznam oprávněných pracovníků jím určené lidi, kteří budou mít k dokumentům přístup. Pak to funguje tak, že pokud se jedná o pracovníka třetí strany, že mu soubor dojde například emailem, on musí být připojený na internet, přijme ho, a když ho chce otevřít, objeví se mu okno, že si má vyžádat schválení. Pokud to potvrdí, tak se v mé konzoli zkontrolují bezpečnostní práva a pokud je tento pracovník na mém seznamu, soubor je mu zpřístupněn,“ uvádí Petr Zajíček a ještě doplňuje:
Práva lze časově omezit
„O každém takovém pohybu je současně udělán záznam, takže je vidět, že byl poslán marketingovému týmu, výrobnímu, obchodnímu atd., je tam soupis všech lidí, co ho otevřeli, kdo ho změnil, kdo jej vytisknul, kdo si udělal kopii, takže o všech těchto krocích jsou k dispozici záznamy. Když si někdo udělá elektronickou kopii, trekovací řetězec se automaticky přenese i do ní a já jsem schopen sledovat i tu kopii. Máme tedy neustále data pod kontrolou a máme je pod kontrolou i u třetí strany. Mohu také nastavit práva, která určí, že bude soubor plně přístupný pro všechny například od zítřka od 12 hodin. Někomu třeba i dříve, ale všem až od 12 hodin.
Pracovníkovi, který z firmy odchází, lze z dat, která mají v sobě zakódován příznak o autorizaci odejmot práva. On pak už, přestože má data u sebe, je už nemůže je bez autorizace otevřít.
Takto s tím mohu pracovat. Dá se to také různě modifikovat. Například u pracovníka, který z firmy odchází a třeba se nerozchází v dobrém, a hrozilo by riziko, že si s sebou odnese nějaká data, tak ona stále mají v sobě zakódován příznak o autorizaci a ten firmě umožní jeho autorizaci odejmout, vymaže ho ze seznamu, on ta data sice u sebe má, ale nemůže je bez autorizace otevřít. Nedostane se k nim. Toto je funkce je auditovatelná, protože si můžeme vyjet protokol k dokumentu a můžeme sledovat jeho historii.“
Další stupně zabezpečení
Možnosti popisovaného systému jsou ovšem ještě mnohem širší. Lze například umožnit přístup k datům jenom v definované lokaci, nebo jen při připojení na předem definovaný seznam přístupových bodů a pokud se někdo k síti přihlásí například přes veřejné připojení někde v restauraci, přistup k datům mu může být z bezpečnostních důvodů odepřen.
Využít lze také možnosti nastavení, že když se zařízení nepřipojí jednou za určitý časový interval (den, týden, měsíc…) do firemní sítě, považuje za ztracené a v té chvíli autonomní systém, který je nahrán v BIOSu zařízení, může například deaktivovat počítač na úrovni procesoru a smazat všechna data. Je schopen smazat i šifrovaná data pokud se počítač dostane mimo kontrolu.
Předchozí díly seriálu:
Sponzorem seriálu je:
