Konieczność zapewnienia organizacji lepszej ochrony danych przed zewnętrznymi atakami, wewnętrznymi nadużyciami, niewłaściwymi procesami czy też zwykłymi pomyłkami sprawia, że mamy coraz większy wybór narzędzi i technik zabezpieczających przed wyciekiem. Najbardziej zaawansowane technologie w tym zakresie to: zapobieganie utracie danych (DLP - Data Loss Prevention), szyfrowanie plików i folderów oraz cyfrowe zarządzanie prawami.

Ustalenie, w jakich sytuacjach należy używać tych narzędzi, może sprawiać problemy. Szyfrowanie i cyfrowe zarządzanie prawami to zaawansowane środki prewencyjne, ale w praktyce trudno posługiwać się nimi w skali makro. Z drugiej strony DLP to rozwiązanie zaprojektowane specjalnie pod kątem kompleksowej infrastruktury IT w celu oceny ryzyka. Większość organizacji przekonuje się, że wdrożenie tej technologii jako pierwszej umożliwia im ograniczenie kosztów i zwiększenie skuteczności ochrony informacji poufnych. Ponadto zapobieganie utracie danych pozwala usprawnić już wdrożone metody szyfrowania i cyfrowego zarządzania prawami dzięki poszerzeniu zakresu ich działania oraz poprawieniu skuteczności.

Zarządzanie prawami cyfrowymi

Cyfrowe zarządzanie prawami (DRM - Digital Rights Management) to połączenie szyfrowania i metadanych opisujących, kto może uzyskać dostęp do danych i co może, a czego nie może z nimi zrobić. Można je porównać do ochroniarza podróżującego z danymi i podejmującego szczegółowe decyzje dotyczące sposobu uzyskiwania dostępu do informacji i korzystania z nich. Do praw zalicza się takie działania, jak odczyt, zmiana, wycinanie lub wklejanie treści, wysyłanie za pośrednictwem poczty elektronicznej, kopiowanie, przenoszenie, zapisywanie w pamięci przenośnej oraz drukowanie.

Obecnie cyfrowe zarządzanie prawami jest najbardziej przydatne przy ochronie poufnych danych na poziomie grupy roboczej, gdzie szczegółowa kontrola jest wręcz niezbędna. Dotyczy to m.in. zespołów inżynierów, nieuporządkowanych danych klientów, przyszłych planów czy innych poufnych treści. Tę technologię stosuje się zazwyczaj do ochrony danych przed kradzieżą i wewnętrznymi nadużyciami ze strony autoryzowanych użytkowników.

Cyfrowe zarządzanie prawami wymaga daleko idącej integracji z aplikacjami używanymi w urzędzie - wszystkie programy wykorzystujące pliki, choćby takie jak edytor tekstu, wymagają specjalnego rozszerzenia, umożliwiającego współpracę z tą technologią, i uzyskania dostępu do pliku. Jest to też rozwiązanie, w którym konieczne jest wykonywanie wielu działań ręcznie, a jego wdrożenie na dużą skalę może być trudne. Użytkownicy muszą wiedzieć, kto dysponuje określonymi uprawnieniami do konkretnych treści. Ten poziom złożoności jest największą przeszkodą - powoduje, że pracownicy ignorują cyfrowe zarządzanie prawami, co prowadzi do niepowodzenia całego projektu. Podobnie jak w przypadku szyfrowania trzeba tu polegać na ludzkim osądzie odnośnie do stosowania praw, ponieważ narzędzia do cyfrowego zarządzania prawami nie mają informacji o znaczeniu treści. Pomyślne instalacje rozwiązań z tego zakresu są zazwyczaj ograniczone do małych grup roboczych składających się z doskonale przeszkolonych użytkowników. Narzędzie to zazwyczaj nie nadaje się do zastosowania w dużych organizacjach ze względu na swoją złożoność. Podobnie jak w przypadku szyfrowania można użyć tego typu rozwiązań do zapobiegania utracie danych, aby określić wąski zakres zastosowania technologii cyfrowego zarządzania prawami i uprościć pewne - wykonywane ręcznie - działania, które utrudniają jej instalowanie na szerszą skalę.

[...]

Autor jest inżynierem systemowym w firmie Symantec Polska odpowiedzialnym za produkty do ochrony stacji końcowych.