GDPR DLP Clico

Sprawdź w jaki sposób możesz spełnić wymagania GDPR / RODO w zakresie ochrony danych osobowych.

https://www.facebook.com/clico.krakow/?fref=ts
https://www.facebook.com/clico.krakow/?fref=ts
GOOGLE
GOOGLE
http://193.193.74.190/dlp">
https://www.linkedin.com/company-beta/46170/

Głównym celem wprowadzenia regulacji GDPR jest ochrona danych osobowych, które są gromadzone i przetwarzane przez organizacje. Skoro tak bardzo precyzyjnie wskazano, co powinno być chronione, zadanie to powinno być relatywnie proste. W pierwszej kolejności należałoby ustalić ewentualnie doprecyzować lub zweryfikować, gdzie w organizacji dane osobowe są rzeczywiście przechowywane. Następnie powinno się wprowadzić odpowiednie środki kontroli i egzekwowania polityk dopuszczalnego użycia i przetwarzania tych danych jak również ich wysyłania różnymi kanałami komunikacyjnymi do adresatów zarówno wewnątrz jak i na zewnątrz organizacji. Na koniec organizacja powinna dysponować odpowiednimi narzędziami, aby móc w reżimie 72 godzin zareagować na ewentualne incydenty naruszenia zdefiniowanych polityk. Jak zostanie przedstawione w dalszej części, wybór odpowiedniego rozwiązania spośród dostępnych na rynku może mieć znaczący wpływ na zdolność organizacji do realizacji wszystkich trzech, opisanych powyżej, zadań. Niniejsze opracowanie powstało w oparciu o cechy i funkcje, a także doświadczenie pracowników Clico zebrane podczas współpracy z klientami przy wdrażaniu systemów DLP. System DLP zapewnia ochronę poprzez identyfikowanie, monitorowanie i egzekwowanie polityk DLP dla danych znajdujących się w ruchu, czyli gdy są przesyłane do adresata wewnątrz lub na zewnątrz organizacji, w użyciu, gdy są przetwarzane przez użytkowników i aplikacje uruchomione na ich komputerach, oraz w spoczynku, czyli dane przechowywane w repozytoriach.

 

Inwentaryzacja danych osobowych

Każda organizacja chcąc chronić określone dane musi posiadać wiedzę, jakie to są dane i gdzie w organizacji są one zlokalizowane. W precyzyjnej identyfikacji danych osobowych kluczową rolę odgrywają zawarte w systemie Forcepoint DLP klasyfikatory potrafiące rozpoznać identyfikatory takie jak numer PESEL, REGON, NIP czy numer dowodu osobistego. Oprócz tego administratorzy systemu DLP mogą identyfikować chronione dane z użyciem szeregu mechanizmów począwszy od takich jak słowa kluczowe i frazy oraz słowniki, wyrażenia regularne, odciski palców (ang. fingerprint) zarówno dla plików jak i danych z baz danych – technologia PreciseID, na mechanizmach opartych o Machine Learning skończywszy. Precyzyjna identyfikacja danych znacznie redukuje ilość fałszywych alarmów (ang. false positive), które niepotrzebnie angażowałyby uwagę administratorów. Wartym podkreślenia jest, że zarówno mechanizmy ochrony danych czy to przez moduły w sieci czy agenta zainstalowanego na komputerze użytkownika jak i proces wyszukiwania danych korzystają z tych samych precyzyjnych mechanizmów identyfikacji danych. Co do zlokalizowania danych to biorąc pod uwagę ilość, różnorodność oraz lokalizację repozytoriów, w których organizacje przechowują dane, zadanie to może nie być trywialne. Z jednej strony dane znajdują się z pewnością tam, gdzie się ich spodziewamy, czyli w bazach danych, na serwerach plików oraz w środowiskach wspierających współpracę użytkowników jak np. SharePoint. Z drugiej strony, i to stanowi większe wyzwanie, dane są rozproszone na komputerach użytkowników, w ich skrzynkach pocztowych oraz, coraz częściej, znajdują się w systemach dostępnych w chmurze, jak np. Box Cloud. Zobaczmy zatem jak inwentaryzacja danych, nawet w tak skomplikowanych środowiskach jak opisane powyżej, może zostać skutecznie przeprowadzona z wykorzystaniem modułów Discover oraz Endpoint wchodzących w skład systemu DLP.

Moduł Discover pozwala na scentralizowane, wykonywane z serwera systemu DLP, przeszukiwanie repozytoriów organizacji w celu zlokalizowania określonych danych. W odniesieniu do firmowych serwerów plików proces przeszukiwania może zostać uruchomiony na dwa różne sposoby odpowiadając na różne pytania. Proces uruchomiony na prawach administratora domeny pozwala ustalić, gdzie znajdują się poszukiwane dane i czy w sieci organizacji znajdują się nieautoryzowane kopie chronionych informacji. Ten sam proces uruchomiony na prawach zwykłego użytkownika domeny pozwala określić do jakich informacji ma dostęp zwykły użytkownik ujawniając potencjalne błędy w konfiguracji zasobów sieciowych w zakresie praw dostępu.

                Moduł Endpoint oprócz egzekwowania polityk ochrony danych w użyciu, czyli gdy są przetwarzane przez użytkownika i aplikacje na jego komputerze pozwala na poszukiwanie chronionych informacji na komputerach użytkowników. Ponieważ przeszukiwanie odbywa się lokalnie przez agenta zainstalowanego na każdym komputerze proces ten nie obciąża sieci oraz może być wykonywany równolegle, na setkach a nawet tysiącach chronionych stacji roboczych.

W obu przypadkach zadania poszukiwania mogą być uruchamiane jednorazowo na żądanie lub zgodnie z zadanym harmonogramem.

 

Kontrolowanie użycia oraz przepływu chronionych danych

Drugim bardzo ważnym elementem zabezpieczenia danych, w tym przypadku osobowych, jest egzekwowanie polityk dozwolonego użycia i przepływu tych danych. Miejscem egzekwowania polityk ochrony danych może być moduł wdrożony w sieci jak i agent zainstalowany na komputerze użytkownika. Ochrona na poziomie sieci może być realizowana za pomocą samodzielnych modułów systemu DLP lub w integracji z bramkami sieciowymi Web Security oraz Email Security. Wartym podkreślenia jest fakt, iż w takim przypadku analiza danych jest przeprowadzana przez silnik DLP uruchomiony bezpośrednio w ramach bramki bez konieczności przesyłania ich do osobnego serwera systemu DLP. Jest to szczególnie istotne w przypadku analizy DLP dla danych przesyłanych w szyfrowanych połączeniach https analizowanych w ramach modułu proxy. Ponadto, dzięki temu, że moduł egzekwujący polityki DLP na poziomie sieci ma możliwość przesłania pliku graficznego do serwera OCR uruchomionego na pomocniczym serwerze  DLP możliwe jest przeanalizowanie zawartości w przesyłanych plikach graficznych i wykrycie niewłaściwego użycia danych, a być może, skoro użytkownik pokusił się o wykonanie zrzutu ekranu, zamierzonego ich wycieku lub kradzieży.

Agent zainstalowany na komputerze użytkownika oprócz ochrony danych w transmisji web i email zapewnia wgląd w szereg operacji niewidocznych z poziomu sieci, jak chociażby kopiowanie plików na urządzenia zewnętrzne, np. pendrive, drukowanie na drukarki sieciowe oraz lokalne a nawet operacje kopiuj, wytnij, wklej, dostęp do pliku oraz zrzut ekranu w stosunku do określonych aplikacji oraz ich grup.

 

Gotowość do reakcji na czas

Za każdym razem, gdy w przeszukiwanych repozytoriach zostanie odnaleziony obiekt zawierający chronione dane osobowe system zgłasza incydent zawierający szczegółowe informacje dotyczące odnalezionego wystąpienia chronionych danych. Analogicznie system reaguje w przypadku próby niedozwolonego użycia danych przez użytkownika lub próby ich wysłania do nieautoryzowanego adresata. Każdy z incydentów zawiera szczegóły dotyczące odnotowanego zdarzenia. Dzięki integracji z firmową usługą katalogową do dyspozycji operatora systemu DLP od razu dostępne są wszystkie potrzebne informacje dotyczące osoby, która była powiązana z odnotowaną operacją. Dzięki integracji z systemem Web Security incydenty dotyczące naruszeń w kanale web zawierają dodatkowe informacje dotyczące docelowego adresu URL, taki jak kategoryzacja i geo-lokalizacja. Dołączone do incydentu dane forensic pozwalają na wgląd w to, jakie dokładnie dane użytkownik próbował użyć lub wysłać. Stworzony incydent jest rozpatrywany i obsługiwany przez administratorów pracujących z systemem DLP w oparciu o role administracyjne, co pozwala na zareagowanie zgodnie z przewidzianymi w organizacji procedurami. W oparciu o szczegółowe informacje dotyczące do incydentu wskazujące również kontekst wystąpienia danych reakcja jest dużo sprawniejsza, co znacznie ułatwia spełnienie wymaganego w regulacji GDPR czasu.

 

Mamy nadzieję, że powyższy opis cech systemu DLP zilustrował w jaki sposób organizacje mogą spełnić wymagania GDPR w zakresie ochrony danych osobowych. Wszystkich Państwa zainteresowanych uzyskaniem bardziej szczegółowych informacji oraz przetestowaniem rozwiązań Forcepoint zapraszamy do kontaktu.

Krzysztof Górowski

Twoje imię:

Temat:

Wiadomość: