Безопасный обмен: совместная работа без компромиссов (часть 2)

Опубликовано: 6 Апреля, 2023

Введение

В первой части этой серии мы говорили о важности безопасного обмена в современной рабочей среде для совместной работы. Во второй части этой серии мы начнем углубляться в мельчайшие детали различных методов обмена файлами и механизмов безопасности (и убедительных), которые вы можете внедрить, чтобы гарантировать, что ваши пользователи используют самые безопасные из них и что ваши данные настолько безопасны, насколько это возможно, когда они находятся в процессе обмена.

Классификация конфиденциальности данных

Подключение к Интернету позволяет легко делиться чем угодно с кем угодно, в любое время и из любого места. Однако эта простота использования может привести к тому, что мы поставим удобство выше безопасности. Существует множество способов относительно безопасной передачи файлов через Интернет, но важно помнить, что существует некоторая информация, которая слишком чувствительна, чтобы доверять ее Интернету.

В бизнес-среде важно классифицировать все данные, хранящиеся в сети, с точки зрения уровня конфиденциальности. Надлежащий метод обмена будет зависеть от классификации конфиденциальности данных. Для целей этого обсуждения мы можем классифицировать данные по четырем основным категориям:

  • Сверхчувствительные (или очень конфиденциальные) данные
  • Конфиденциальные (или конфиденциальные) данные
  • Данные низкой конфиденциальности (частные)
  • Общедоступные данные

Возможно, вы захотите еще больше разбить эти категории на разные типы сверхчувствительных или конфиденциальных данных, например, чтобы помочь в назначении разрешений на доступ.

Работа со сверхсекретными данными

В личной сфере хорошим примером этого является документация, которую вы отправляете своему бухгалтеру или другому специалисту по подготовке налоговых деклараций для заполнения своих налоговых деклараций. Эти документы содержат огромное количество личной информации, от которой у любого похитителя личных данных потекут слюнки: номера социального страхования, банковские выписки, выписки по кредитным картам, адреса и номера телефонов. Другими словами, в основном все, что нужно для открытия новых счетов на ваше имя, есть в одном аккуратном маленьком пакете.

В деловом мире сверхчувствительные данные могут состоять из таких же данных, относящихся к клиентам. Многие предприятия, особенно в сфере здравоохранения, юридических услуг, финансовых услуг и т. д., хранят в своих файлах наиболее конфиденциальную личную информацию своих клиентов. Они также будут иметь конфиденциальные личные данные своих сотрудников в личных делах. Другая крайне конфиденциальная информация может включать финансовые данные компании, коммерческую тайну и информацию, на которую распространяются соглашения о неразглашении (готовящиеся к выпуску продукты, которые еще не были выпущены, результаты исследований и т. д.).

Чтобы классифицировать данные, вам необходимо провести оценку рисков и анализ того, какой вред может быть нанесен в результате раскрытия данных. К сверхчувствительным данным относятся любые данные, несанкционированный доступ к которым сопряжен с риском причинения высокой степени вреда отдельным лицам и/или компании, включая как прямой денежный ущерб, так и ущерб репутации или производительности.

Доступ к сверхсекретным данным должен быть ограничен только лицами, которые явно нуждаются в информации для выполнения своей работы и которые были индивидуально уполномочены по имени или должности/роли для доступа к конкретным данным. Тот факт, что у человека есть потребность в доступе к одному набору сверхконфиденциальных данных, не должен означать, что он/она автоматически авторизуется для доступа к другим наборам данных, которые классифицируются как сверхконфиденциальные, если только нет необходимости знать для этого набора данных. информация тоже.

Когда необходимо обмениваться сверхчувствительными данными, следует проявлять крайнюю осторожность, чтобы сделать это максимально безопасным способом. Самым безопасным способом обмена данными всегда будет передача их лично. Физическая передача данных в руки другого человека всегда будет максимальной безопасностью и надежностью. Вы не только точно знаете, что никто другой не перехватывал данные, вы также точно знаете, что получатель их , причем своевременно. Вы можете копировать файлы на CD/DVD, съемный жесткий диск, флэш-накопитель USB или карту флэш-памяти. Преимущество оптических носителей (при условии, что это носители только для записи) состоит в том, что информацию нельзя изменить. Съемные диски можно легко зашифровать для большей безопасности в случае потери.

К сожалению, личный способ гораздо менее удобен, а в некоторых случаях и невозможен. Срочность и/или расстояние могут диктовать необходимость отправки информации через Интернет. В этом случае вы должны найти наилучшие средства для осуществления перевода. Во-первых, давайте поговорим о том, чего делать .

  • Никогда не делитесь сверхконфиденциальной информацией через мгновенные сообщения.
  • Не отправляйте сверхконфиденциальные данные по электронной почте, если вы не отправляете их по зашифрованному соединению с защищенного сервера вы точно знаете, что получатель загрузит их с защищенного сервера.
  • Никогда, никогда не отправляйте сверхчувствительные данные через общедоступное соединение Wi-Fi.
  • Никогда не передавайте сверхсекретные данные через общедоступный файлообменник, если он не предлагает надежное шифрование.
  • Никогда не отправляйте сверхсекретные данные по любой сети, не зашифровав их.
  • Не давайте сверхчувствительным файлам данных имена, которые содержат конфиденциальную информацию. Некоторые службы обмена файлами передают имена файлов в незашифрованном виде при доступе к ним с мобильных устройств.

Ладно, это некоторые нет-нет. Но если вы не можете лично доставить информацию получателю или нанять для этого частную курьерскую службу, как лучше передать сверхсекретные данные?

Корпоративные службы обмена файлами

Существует множество доступных служб безопасного обмена файлами корпоративного уровня (конечно, по цене). Многие онлайн-сервисы хранения также обеспечивают безопасный обмен. Некоторые функции, на которые следует обращать внимание при сравнении услуг, включают следующее:

  • Аутентифицированный вход.
  • Сильное шифрование. 256-битное шифрование AES является стандартом для защиты данных, когда они «неактивны» в хранилище; 128-битный SSL является стандартом для защиты данных при их передаче между двумя точками.
  • Гарантия того, что стандарты безопасности соответствуют или превышают нормативные требования соответствия для общих законов или отраслевых норм, таких как HIPAA, SOX, GLB и т. д.
  • Возможность устанавливать детальные разрешения отдельно для разных лиц, просматривающих или скачивающих файлы; вы должны иметь возможность дать некоторым людям право только просматривать, но не вносить никаких изменений, а другим — право редактировать или удалять файлы.
  • Системы слежения, которые позволяют узнать, кто просматривал и скачивал файлы и когда они это делали.
  • Возможность устанавливать даты истечения срока действия для файлов, хранящихся в службе, чтобы по истечении определенного момента времени файлы, содержащие конфиденциальную информацию, могли автоматически удаляться.
  • Простые в использовании функции, предлагающие интуитивно понятный интерфейс как для владельца файлов, так и для тех, кому они доступны.

Некоторые корпоративные службы хранения/обмена файлами предлагают возможность создания пользовательского клиентского портала с логотипом вашей компании, который можно настроить по внешнему виду, цветовой схеме и т. д. Некоторые предлагают сопоставление дисков, чтобы пользователям было легко перемещать свои файлы в облачный сервис, функции сканирования, упрощающие создание цифровых копий бумажных документов и безопасный обмен ими, а также мобильные приложения, обеспечивающие доступ к документам с любого устройства.

Говоря о мобильных приложениях, хотя для сотрудников может быть чрезвычайно полезно иметь возможность просматривать файлы или работать с ними на своих мобильных устройствах, важно учитывать последствия этого для безопасности при настройке политик безопасности, особенно когда речь идет о ультра- конфиденциальные данные.

В эпоху BYOD многие мобильные устройства не полностью находятся под контролем ИТ-отдела. Пользователи могут не обновлять свои операционные системы и приложения регулярно, поэтому дыры в безопасности не будут исправлены. Они могут устанавливать сторонние приложения по своему выбору, и некоторые из этих приложений могут содержать вредоносное ПО. В настоящее время Android является самой популярной мобильной операционной системой, и, согласно недавнему исследованию, опубликованному International Business Times, примерно одно из каждых десяти приложений Android частично или полностью заражено вредоносным ПО. Вредоносные приложения могут получить доступ к корпоративным данным, загруженным на устройство, и перехватить их, а затем отправить их автору/распространителю вредоносного ПО.

Кроме того, существует вполне реальный риск потери или кражи мобильных устройств и получения доступа к корпоративным данным, которые могут находиться на устройстве, посторонними лицами. Если учетные данные пользователя для входа на веб-сайт обмена файлами неправильно хранятся на мобильном устройстве, вор может даже получить доступ к более конфиденциальным данным, хранящимся в службе обмена файлами.

Эти риски можно несколько уменьшить, занеся в черный список известные ненадежные приложения, запретив пользователям устанавливать приложения, кроме как из корпоративного магазина (достаточно просто, когда устройства принадлежат компании, но многие пользователи будут очень недовольны таким ограничением в своих личных целях). собственные устройства), а также убедитесь, что на всех устройствах включена надежная защита экрана блокировки (надежные пароли/парольные фразы, биометрические данные или, что предпочтительнее, и то, и другое). Однако это лишь частичное решение. Самая безопасная политика при работе со сверхсекретными данными — запретить доступ/загрузку с мобильных устройств.

Резюме

В этой части 2 нашей серии статей о безопасном обмене мы обсудили классификацию данных, а также то, что можно и чего нельзя делать при обмене сверхконфиденциальными данными с сотрудниками как внутри компании, так и за ее пределами. В части 3 мы поговорим о том, как те, с кем вы делитесь такими данными, могут преднамеренно или непреднамеренно скомпрометировать информацию после того, как она покинет ваши руки, и о некоторых решениях, которые помогут предотвратить это.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023