Wykrycie każdego naruszenia polityki bezpieczeństwa jest niezwykle ważne, niezależnie od tego, gdzie, kiedy i w jaki sposób do niego dojdzie. Większość rozwiązań z zakresu monitorowania treści identyfikuje zagrożenie tylko w przybliżony sposób. Może to w rzeczywistości doprowadzić do wzrostu kosztów i ryzyka. Niedokładności w sprawdzaniu danych powodują pojawianie się częstych fałszywych alarmów. Przeglądanie tego typu niewłaściwych zgłoszeń jest nie tylko stratą czasu. Może mieć także dużo poważniejsze konsekwencje - spowodować większe ryzyko niewykrycia wycieku danych poufnych poza sieć oraz dalsze ich rozprzestrzenianie.

Wirusy w kontekście

Rozwiązanie programowe zapewniające wysoki poziom dokładności wykrywania wirusów musi ograniczać liczbę niezgłoszonych przypadków i w ten sposób zmniejszać ryzyko naruszenia zasad bezpieczeństwa. Niska powinna być również liczba fałszywych alarmów, co skróci czas przeglądania zgłoszeń, umożliwi zautomatyzowane wdrażanie reguł i ochronę prywatności pracowników. Zaawansowana technologia wykrywania to ważny element decydujący o dokładności, ale niejedyny. Uzyskanie najwyższego poziomu dokładności zapobiegania utracie danych wymaga uwzględnienia trzech czynników: treści, kontekstu oraz skali.

Możliwość monitorowania wszystkich rodzajów treści (uporządkowanych i nieuporządkowanych danych) zapewnia kompleksową ochronę zasobów cyfrowych urzędu. Wystarczy na przykład rozważyć różnicę uporządkowania między danymi obywateli a własnością intelektualną. Ta pierwsza kategoria charakteryzuje się dużą liczbą rekordów z podobnie sformatowanymi elementami danych, druga - własność intelektualna - jest często zawarta w unikatowych plikach wymagających zupełnie innej technologii wykrywania. Kolejnym czynnikiem wpływającym na skuteczność jest możliwość znajdowania treści w każdym kontekście, a następnie automatyczna ocena, które konteksty wiążą się z większym ryzykiem utraty danych. Na przykład wysłanie dokumentów urzędowych do innego oddziału jest jednym z obowiązków pracowników administracji. Jednak wysłanie tej samej treści do obywateli uważa się za utratę danych. Na kontekst mogą składać się jednostki (nadawcy, odbiorcy, właściciele plików, użytkownicy systemu Windows), lokalizacja (protokoły, udziały plików, urządzenia końcowe), język, szyfrowanie, format pliku czy też nośnik. I na koniec trzeci element stanowiący o dokładności rozwiązania - możliwość uzyskania dobrych wyników w skali całego urzędu. Technologia wykrywania powinna dobrze działać przy określonej przepustowości, liczbie chronionych informacji oraz infrastrukturze sieciowej.

Automatyzacja wdrażania polityki

W przypadku zidentyfikowania naruszenia zasad dotyczących informacji poufnych obowiązkiem zespołu ds. zabezpieczeń oraz innych osób jest podjęcie odpowiednich działań. Jednak opracowanie zasad działań naprawczych bez możliwości ich zautomatyzowania może znacznie obciążyć pracowników. Na przykład szacuje się, że bez zautomatyzowanego egzekwowania reguł zespoły odpowiedzialne za ostrzeganie osób naruszających zasady i zarządzanie środkami naprawczymi miałyby od dwóch do pięciu razy więcej pracy niż normalnie. Ponadto ryzyko byłoby ograniczane w mniejszym stopniu ze względu na "ludzkie" egzekwowanie reguł i brak spójności reakcji, które nie zawsze będą odpowiadać wadze incydentu naruszenia polityk.

[...]

Autor jest inżynierem systemowym w firmie Symantec Polska odpowiedzialnym za produkty do ochrony stacji końcowych.