Λόγω της ιδιαίτερης σημασίας τους, τα δεδομένα και οι πληροφορίες χρήζουν προστασίας και διασφάλισης απέναντι στις απειλές της διαρροής και της κατάχρησής τους. Για παράδειγμα, ενδεχόμενη αποκάλυψη δεδομένων πελατών μπορεί να οδηγήσει στη δυσφήμιση έναν οργανισμό και σε σύντομο χρονικό διάστημα, να επιφέρει σημαντικές οικονομικές, άμεσες ή έμμεσες, απώλειες. Αντίστοιχα, η κλοπή πνευματικής ιδιοκτησίας θεωρείται ικανή να εξαλείψει το ανταγωνιστικό πλεονέκτημα ενός οργανισμού, ενώ σε ένα διαφορετικό σενάριο, αυτό της διαρροής δεδομένων προσωπικού χαρακτήρα ή/και ευαίσθητων δεδομένων των πελατών, προβλέπονται σοβαρές νομικές κυρώσεις. Χαρακτηριστικό παράδειγμα η παραβίαση του δικτύου της TARGET το 2013 συνέβαλε στη συρρίκνωση των κερδών της εταιρίας κατά 46%, ενώ η χρηματική απώλεια ανήλθε στα 61 εκατομμύρια δολάρια μόνο για το τέταρτο τρίμηνο του 2013.
Εικόνα 1: Απειλές κατά της Ασφάλειας και Διαρροή Πληροφοριών (IBM X-Force Threat Intelligence Quarterly – 1Q 2014)
Σήμερα, κάθε οργανισμός καλείται να λειτουργήσει σε ένα σύνθετο επιχειρησιακό περιβάλλον αξιοποιώντας όλο και περισσότερο τις υποδομές του Διαδικτύου και τις υπηρεσίες Cloud. Σε αυτό το περιβάλλον, στο οποίο οι απειλές πολλαπλασιάζονται και επικεντρώνονται ολοένα και περισσότερο στην προσβολή αγαθών, όπως τα δεδομένα και οι πληροφορίες, η επίτευξη ενός συγκριμένου και επαρκούς επιπέδου ασφάλειας δεν αποτελεί ένα εύκολα επιλύσιμο πρόβλημα. Αφενός οι παραδοσιακές προσεγγίσεις ασφάλειας του οργανισμού, οι οποίες ορίζουν μέτρα προστασίας μόνο στο επίπεδο της δικτυακής περιμέτρου του οργανισμού, κρίνονται ως πλέον αναποτελεσματικές, και αφετέρου, η προσπάθεια για την υλοποίηση μέτρων που αποσκοπούν στην προστασία των δεδομένων και των πληροφοριών προαπαιτεί την πραγματοποίηση μιας σειράς ενεργειών, όπως:
. Διαβάθμιση δεδομένων και πληροφοριών
. Κρυπτογράφηση δεδομένων και πληροφοριών
. Ορισμός ισχυρών μηχανισμών ελέγχου πρόσβασης
. Εφαρμογή δυναμικών πολιτικών ασφάλειας ανάλογα με τον εκάστοτε ρόλο
Όσοι οργανισμοί έχουν ακολουθήσει σχετικές πρωτοβουλίες, γνωρίζουν ότι η εν λόγω διαδικασία είναι επίπονη, λόγο του όγκου των δεδομένων και των πληροφοριών που καλούνται να διαχειριστούν, αλλά και του ρυθμού αύξησής τους. Δεν είναι τυχαίο, ότι σύμφωνα με τη Forrester, η διαδικασία διαβάθμισης της πληροφορίας αποτελεί τη βάση για την ασφάλεια των δεδομένων, καθώς παρέχει την καθοδήγηση για την ορθή λήψη αποφάσεων κατά τη διαχείριση και έλεγχο της πληροφορίας, ενώ παράλληλα ενισχύει την αποτελεσματικότητα και αποδοτικότητα λύσεων DLP.
Διαβάθμιση Δεδομένων
Η διαχείριση της επικινδυνότητας που υπεισέρχεται εξ’ αιτίας της αύξησης του όγκου των δεδομένων που διαχειρίζεται ένας οργανισμός αποτελεί μια διαδικασία που απαιτεί συνεχή προσπάθεια. Ειδικότερα, ο διαρκώς αυξανόμενος όγκος των αδόμητων δεδομένων μπορεί να αποτελέσει πρόκληση για κάθε οργανισμό, εφόσον αυτά θέτουν νέες απαιτήσεις στον τρόπο με τον οποίο πραγματοποιείται η ανάλυση και αξιοποίησή τους. Σε ένα περιβάλλον διαρκούς συνδεσιμότητας, στο οποίο αναδύονται ανάγκες άμεσης συνεργασίας (online collaborative environments), η διαδικασία ανάλυσης κινδύνων προϋποθέτει και περιλαμβάνει την αναγνώριση, τη διαβάθμιση και την προστασία των δεδομένων και πληροφοριών. Με τη συμμετοχή των τελικών χρηστών στο πλαίσιο της διαβάθμισης των πληροφοριών, οι οργανισμοί απολαμβάνουν μεγαλύτερη προστασία από ενδεχόμενη διαρροή εμπιστευτικής πληροφορίας, ενώ παράλληλα επιτυγχάνουν πιο αποδοτικό και αποτελεσματικό τρόπο σε ότι αφορά την αρχειοθέτηση (archiving) των δεδομένων και πληροφοριών.
Η πλειονότητα των οργανισμών που έχουν ως στόχο την επαρκή προστασία των δεδομένων τους, υλοποιούν λύσεις ασφάλειας, όπως η λύση αποτροπής της διαρροής των δεδομένων (DLP) και η χρήση κρυπτογραφίας (encryption). Παρότι οι λύσεις αυτές παρέχουν ένα ικανοποιητικό επίπεδο ασφάλειας, δεν είναι σε θέση να κατανοούν, και κατ’ επέκταση να διαχειρίζονται την πληροφορία σε συνάρτηση με το βαθμό κρισιμότητας που αυτή φέρει, και στη συνέχεια να υλοποιούν ενέργειες βάσει αυτού του βαθμού. Με στόχο, επομένως, την επαρκή προστασία και διασφάλιση των εμπιστευτικών δεδομένων ενός οργανισμού, η υιοθέτηση και υλοποίηση μιας λύσης που διευκολύνει την διαβάθμιση των δεδομένων μπορεί να προσφέρει πολλά πλεονεκτήματα, όχι μόνο για λόγους ασφάλειας, αλλά και για λόγους συμμόρφωσης (compliance), απόδοσης ευθυνών (accountability) και ενίσχυσης της ευαισθητοποίηση των χρηστών (users’ awareness).
Εικόνα 2: Συνέργεια λύσης ταξινόμησης δεδομένων και λύσης DLP
Πλεονεκτήματα Διαβάθμισης Πληροφοριών
Συμμόρφωση με πρότυπα ασφάλειας πληροφοριών, αλλά και το νομικό & κανονιστικό πλαίσιο (Conformance & Compliance). Μια λύση διαβάθμισης δεδομένων και πληροφοριών διευκολύνει τη συμμόρφωση ενός οργανισμού με διεθνή πρότυπα ασφάλειας πληροφοριών, όπως λόγου χάρη το ISO 27001 και το PCI-DSS, αλλά και με το θεσμικό πλαίσιο λειτουργίας του, όπου υπάρχει έντονη απαίτηση διαβάθμισης των πληροφοριακών του αγαθών.
Πρόληψη της απώλειας δεδομένων. Οι λύσεις διαβάθμισης πληροφοριών ενισχύουν την αποδοτικότητα και αποτελεσματικότητα των λύσεων αποτροπής διαρροής δεδομένων (DLP). Μέσω της χρήσης κατάλληλων μετα-δεδομένων (metadata) επί των δεδομένων παρέχεται η άμεση διαβάθμιση αυτών και κατ’ επέκταση η άμεση και ουσιαστική αναγνώριση των εμπιστευτικών δεδομένων από τις λύσεις DLP λόγω της μείωσης του αριθμού των «ψευδώς θετικών» ευρημάτων (false positive).
Μείωση Κόστους Διαχείρισης Πληροφορίας. Τα κόστη αρχειοθέτησης (archiving), αποθήκευσης (storage) και εύρεσης (discovery) της πληροφορίας μπορούν να μειωθούν σημαντικά μέσω της χρήσης μεταδεδομένων διαβάθμισης. Με αυτόν τον τρόπο βελτιώνεται η διαδικασία αρχειοθέτησης και ανάκτησης των πληροφοριών και μειώνεται το πραγματικό και έμμεσο κόστος που υπεισέρχεται από την διατήρηση δεδομένων μη σημαντικής αξίας για τον οργανισμό.
Ευαισθητοποίηση Χρηστών. Μια λύση διαβάθμισης πληροφοριών εμπλέκει τους χρήστες στη διαδικασία της διαβάθμισης πληροφοριών παρέχοντας επιχειρησιακού σκοπού επιλογές επισήμανσης (business-centric labelling choices) που ταιριάζουν απόλυτα στα βασικά εργαλεία παραγωγικότητας, καθιστώντας τη διαδικασία ταξινόμησης αναπόσπαστο μέρος της επιχειρηματικής δραστηριότητας. Με τη χρήση διαφορετικών πολιτικών και τρόπων διεπαφής χρήστη, ικανοποιούνται σε σημαντικό βαθμό οι ανάγκες των χρηστών στα πλαίσια της επιχείρησης, εξασφαλίζοντας παράλληλα την πλήρη αποδοχή τους.
Ενίσχυση Κατανόησης. Η λύση διαβάθμισης πληροφοριών προβλέπει την εφαρμογή «οπτικών» σημάνσεων (visual markings) σε μηνύματα ηλεκτρονικού ταχυδρομείου και έγγραφα, προκειμένου όλοι όσοι ενδέχεται να διαχειρίζονται την εν λόγω πληροφορία, σε ηλεκτρονική ή έντυπη μορφή, είτε βρίσκονται εντός είτε εκτός των πλαισίων του οργανισμού, να μπορούν να έχουν επίγνωση της αξίας της αξίας της πληροφορίας, καθώς και των απαιτούμενων για την προστασία του μέτρων ασφαλείας.
Συνεργασία με άλλες Τεχνολογίες Ασφάλειας. Βάσει της εκάστοτε ετικέτας που επιλέγεται από το χρήστη, κατά τη διαδικασία διαβάθμισης της πληροφορίας, μπορεί να εφαρμοστεί άμεσα κρυπτογράφηση, ψηφιακή υπογραφή και δυνατότητα διαχείρισης δικαιωμάτων ψηφιακού περιεχομένου (Digital Rights Management) στα δεδομένα εργασίας του χρήστη – αποδεσμεύοντάς τον κατά αυτόν τον τρόπο από την απαίτηση αναγνώρισης και προσδιορισμού της περίπτωσης κατά την οποία επιβάλλεται η προστασία τους. Επιπλέον, μπορεί να εφαρμοστεί κρυπτογράφηση για την προστασία των δεδομένων στα συστήματα ασφάλειας δικτύων και πυλών, σε αναλογία με την εκάστοτε σήμανση του στοιχείου μεταδεδομένων που αποδίδει το εργαλείο ταξινόμησης.
Διαβάθμιση Δεδομένων με την λύση Boldon James Classifier
Η λύση διαβάθμισης δεδομένων της Boldon James επιτρέπει στους χρήστες να διαβαθμίζουν με εύκολο και διαφανή τρόπο τα δεδομένα και τις πληροφορίες που διαχειρίζονται μέσω της εφαρμογής ετικετών (Visual Marking) και μεταδεδομένων (Metadata Marking). Η λύση διαβάθμισης των δεδομένων της Boldon James παρέχει το σύνολο των μέσων με τα οποία ο χρήστης, ως ιδιοκτήτης της πληροφορίας, είναι σε θέση με εύκολο τρόπο και μέσω των εργαλείων της καθημερινής του εργασίας (λογισμικό ηλεκτρονικού ταχυδρομείου, λύση αυτοματισμού γραφείου, κινητές συσκευές) να διαβαθμίσει την πληροφορία εν τη γενέσει της. Η εφαρμογή διαβάθμισης ηλεκτρονικού ταχυδρομείου (Email Classifier) παρέχει στους χρήστες τη δυνατότητα να εφαρμόζουν με τη χρήση οπτικών μέσων, ετικέτες, σε μηνύματα ηλεκτρονικού ταχυδρομείου και να ενσωματώνουν στα μεταδεδομένα του μηνύματος χαρακτηριστικά που αναδεικνύουν την διαβάθμιση της πληροφορίας. Οι εν λόγω ετικέτες και μεταδεδομένα μπορούν να χρησιμοποιηθούν για την εφαρμογή συγκεκριμένων ενεργειών και κανόνων στα μηνύματα ηλεκτρονικού ταχυδρομείου, και κατ΄ επέκταση, να ενεργοποιήσουν τη χρήση άλλων τεχνολογιών, όπως κρυπτογράφηση του μηνύματος, αρχειοθέτηση συγκεκριμένων μηνυμάτων κλπ. Παράλληλα, παρέχεται η δυνατότητα διαχείρισης των μηνυμάτων ηλεκτρονικού ταχυδρομείου, τα οποία μπορούν να συγχρονιστούν σε μια φορητή συσκευή, εμποδίζοντας την έκθεση και αποκάλυψη εμπιστευτικών δεδομένων στις συσκευές αυτές.
Εικόνα 3: Boldon James Modules
Με παρόμοιο τρόπο, η εφαρμογή διαβάθμισης στα έγγραφα του Office της Microsoft (Office Classifier Add-Ins) παρέχει στους χρήστες τη δυνατότητα άμεσης και εύκολης εφαρμογής ετικετών σε έγγραφα συναρτήσει της διαβάθμισής τους. Εκτός από τη διαχείριση των εγγράφων, οι ειδικές σημάνσεις μπορούν να χρησιμοποιηθούν για την ενεργοποίηση άλλων τεχνολογιών, όπως είναι οι λύσεις διαχείρισης δικαιωμάτων (rights management solutions). Επιπλέον, οι χρήστες έχουν τη δυνατότητα να διαβαθμίζουν όλα τα αρχεία που υπάρχουν στον υπολογιστή τους (File Classifier), ενώ με χρήση του Power Classifier μπορούν να διαβαθμίσουν μαζικά ένα σύνολο αρχείων.
Συμπεράσματα
Τα δεδομένα που διαχειρίζεται ένας οργανισμός αποτελούν το πιο σημαντικό πληροφοριακό του αγαθό. Κατά συνέπεια, σημαντικοί κίνδυνοι απορρέουν από την κατάχρηση και διαρροή εμπιστευτικών δεδομένων, ενδεχόμενη αποκάλυψη των οποίων μπορεί να επιφέρει σημαντικές αρνητικές επιπτώσεις στον οργανισμό. Στη σύγχρονη εποχή της συνεχής συνδεσιμότητας και των Big Data, ένας οργανισμός πρέπει να είναι σε θέση να διαχειρίζεται αποτελεσματικά και με ασφαλή τρόπο τα δεδομένα που κατέχει, ωστόσο πρέπει να είναι ενήμερος και προετοιμασμένος για τους κινδύνους που εγκυμονεί ενδεχόμενη διαρροή πληροφοριών. Ενώ η πλειονότητα των οργανισμών έχουν εφαρμόσει αρκετές τεχνολογίες προστασίας των δεδομένων, όπως κρυπτογράφηση, λύσεις DLP κλπ., η διαβάθμιση των δεδομένων και πληροφοριών αποτελεί το πρώτο και ίσως σημαντικότερο βήμα για την αποτελεσματική και ουσιαστική προστασία, καθώς αυξάνει το υπάρχον επίπεδο ασφάλειας που παρέχουν οι ήδη χρησιμοποιούμενες τεχνολογίες. Επιπλέον, η λύση διαβάθμισης δεδομένων της Boldon James μπορεί να επιφέρει σημαντική μείωση του κόστους που προκύπτει από τη διατήρηση αδόμητου όγκου δεδομένων, ενισχύοντας ταυτόχρονα τις πολιτικές ασφάλειας του οργανισμού και τις διαδικασίες συμμόρφωσής του σε οδηγίες και κανονισμούς ελέγχου, αλλά και διεθνή πρότυπα όπως το ISO 27001.
* H ADACOM A.E. είναι συνεργάτης της Boldon James για την Ελλάδα, τη Νοτια-Ανατολική Ευρώπη και τη Μέση Ανατολή.
Stelios Dritsas, MSc., Ph.D.
Manager, Consulting Services, ADACOM S.A
