Bezpečnost firemních dat – z pohledu HR
Firemní data v soukromých emailech zaměstnanců
Významnou překážkou pro efektivní zabezpečení firemních dat mohou být slabá bezpečnostní pravidla pro nakládání těmito daty a neznalost zaměstnanců. Podle výzkumů společnosti Microsoft až dvě pětiny zaměstnanců malých a středně velkých českých firem využívají pro přenos firemních dat a souborů soukromý email. Data potom procházejí internetovou infrastrukturou v otevřeném textu bez jakéhokoli zabezpečení a šifrování. Dalším způsobem, jakým zaměstnanci přenášejí citlivé informace, jsou externí pevné disky, USB flash disky a také otevřená internetová a cloudová úložiště (např. Dropbox, česká Úschovna atd.).
Dalším problematikou z hlediska bezpečnosti je zálohování dat. Podle aktuálního výzkumu Microsoftu více než 10 % českých pracovníků data nezálohuje vůbec, zhruba polovina zaměstnanců pak data zálohuje na pevný disk a třetina k tomu využívá nějaké cloudové řešení. Malé a středně velké firmy nejčastěji mají svá data uložená na fyzických serverech umístěných přímo v kancelářských budovách. Riskují nejen jejich odcizení či zneužití, ale i ztrátu v případě poruchy.
Odcizená data jako nástroj pomsty
Výzkumy velkých IT společností hovoří o tom, že stále velmi vysoké procento zaměstnanců připouští fakt, že by si při svém odchodu z firmy vzalo důvěrné firemní informace a data. A to nejenom takové, na kterých se bezprostředně podíleli. Jsou známé případy osob, které před odchodem z firmy vyjmou ze serveru či síťového úložiště pevný disk se všemi daty, nebo si ho alespoň zkopírují. Důvodem může být pomsta, ale i fakt, že data lze využít při zakládání nové firmy.
Jedním ze způsobů, jak cenné obchodní informace uchránit, je odepřít zaměstnancům přístup k datům, která nesouvisí s výkonem jejich práce. V bezpečnostní terminologii se jedná o dodržení principu „Need-To-Know“ a to jak na úrovni logického přístupu (přístup k datům) tak na úrovni fyzického přístupu (přístup k zařízením). Po celou dobu je třeba mít správně nastavenu a aplikovánu politiku řízení přístupu k informacím. Procesy řízení přístupů musí zahrnovat nejen ukončení přístupu k informacím v případech ukončení pracovního poměru, ale i v případech změny pracovní pozice
V době, kdy firemní IT infrastruktura obsahuje sítě, servery, desktopy, notebooky, tablety a chytré telefony a řada zaměstnanců používá pro práci i soukromá zařízení, je zajištění bezpečnosti dat stále složitější. Povinná hardwarová a softwarová konfigurace vynucovaná firemní politikou včetně zahrnutého cloudového řešení pak může firemnímu IT oddělení práci značně usnadnit. Všechny servery a úložiště mají stále pod kontrolou a přitom je možné jednoduchým způsobem zajistit dostupnost potřebných dat všem uživatelům, při jakékoliv příležitosti, odkudkoliv a z jakéhokoliv zařízení. Pokud je toto řešení spojeno řízeným přístupem k datům a kryptografickými mechanismy pro zajištění bezpečného přenosu dat, není nutné a dokonce ani žádoucí mít data uložená přímo v tomto zařízení.
Řada firem si uvědomuje bezpečnostní rizika, nicméně zajištění dostatečné bezpečnosti je svázáno s poměrně velkým finančním a personálním zatížením. Sdílení logické nebo fyzické infrastruktury v dedikovaných prostorách je jedním z možných řešení. Datová centra jsou vybavena nejen pro to, aby uchránila uložené technologie před odcizením a útoky, ale jsou současně schopna zajistit vhodné technologické prostředí pro spolehlivý chod (zálohované napájení elektrické energie a stabilní mikroklima s technologickou teplotou atd.). Cloudové služby s aplikovanými opatřeními proti hrozbám typu „zneužití cloudu“, „nedůvěryhodné rozhraní“, „vnitřní útočník“, „sdílené technologie“, „ztráta nebo únik dat“, „zneužití účtu nebo služeb“ apod. pak mohou být vhodným řešení nejen pro velké ale i malé nebo střední firmy.