Velké firmy přistupují špatně k ochraně důležitých dat. Tak prostý je závěr podrobné studie Hodnota firemních tajemství, kterou pro Microsoft a RSA vypracovali analytici společnosti Forrester Consulting. Údaje vycházejí z informací IT manažerů 305 zkoumaných firem.
Rozdíl v následcích úniku osobních údajů oproti obchodním tajemstvím firmy se díky informacím z více než tří set velkých firem podařilo vyčíslit. Zjednodušeně řečeno je ztráta vlastních citlivých dat desetkrát větší a dražší problém než únik informací, které má firma povinnost uchovávat a ochraňovat na základě platné legislativy. V takovém srovnání bledne i skutečnost, že v prostém souhrnu tvoří firemní tajemství 62 % hodnoty korporátních dat oproti 38 % na straně dat, které firma spravuje na základě svých zákonných povinností.
Špatné rozpočty i praktiky
Rozpor v hodnotě takzvaných spravovaných dat a firemních tajemství se nejvíce projevuje v nákladech na zabezpečení různých typů dat. Osobní údaje, které firmy ze zákona uchovávají a hlídají, si z bezpečnostních rozpočtů ukusují v průměru 39 % nákladů. K ochraně vlastních kritických dat slouží srovnatelných 41 % rozpočtu. Očividné vyvážení výdajů se ale při porovnání hodnoty dat a nákladů spojených s jejich únikem mění ve výrazný nepoměr.
Při ochraně citlivých dat nezáleží pouze na samotných datech, ale i na způsobu, jakým mohou uniknout. V tomto světle se jako neefektivní ukazují i všeobecně přijímané „best practices" v podobě šifrování pevných disků na přenosných počítačích nebo pravidla či software, který má bránit neúmyslným únikům spravovaných dat.
Z předchozích zjištění je už ale zřejmé, že mnohem významnější riziko leží v úmyslných krádežích ze strany zaměstnanců a cílených útocích internetového zločinu, který má k dispozici stále propracovanější nástroje pro čistě technologické útoky. Na výsluní se navíc vracejí tradiční techniky sociálního hackingu, které dokážou snadno obejít ochranu založenou na technologiích a proti kterým je jedinou možnou ochranou nastavení bezpečných procesů, jako je hierarchizace a kontrola přístupu k informacím.
Alarmující je také skutečnost, že firmy nemají jasnou představu o efektivitě nasazených řešení a pravidel. I firmy s nejvyššími počty bezpečnostních incidentů označily svůj přístup k ochraně dat za velice efektivní - stejně jako firmy, které zaznamenaly mnohonásobně nižší počet narušení bezpečnosti spravovaných dat.
Analýza informací o bezpečnostních incidentech, které firmy v průzkumu zaznamenaly v uplynulých letech, upozornila i na logické pravidlo zvyšování rizika. Pravděpodobnost cíleného útoku nebo krádeže roste úměrně k hodnotě dat, která konkrétní firma spravuje a vlastní. Firmy, které svá data hodnotí jako velice cenná, zaznamenaly v průměru čtyřikrát více bezpečnostních incidentů než firmy, které svá data pokládají za méně hodnotná. Rozdíl mezi oběma opačnými archetypy firem se ještě prohloubil v případě cílených útoků zvenčí. Firmy s hodnotnými daty zaznamenaly šestkrát více útoků než firmy z opačného spektra zkoumaných společností.
S rostoucí hodnotou vlastních dat logicky rostou i ztráty způsobené jejich únikem. U firem, které přisuzují svým datům vysokou hodnotu, dosáhly náklady způsobené bezpečnostními incidenty za poslední dva roky částku dvou milionů dolarů, průměrná výše těchto nákladů napříč sledovanými firmami přitom byla výrazně nižší, „pouze" 1,3 milionu dolarů. Překvapivě to však neznamená, že jednotlivé bezpečnostní problémy nutně stojí více peněz, ale je jich výrazně víc.
5 bodů pro větší bezpečí citlivých dat
Jednoznačně identifikujte nejhodnotnější informace, které má firma ve svém držení.
Vytvořte „databázi rizik", která popíše potenciální rizika pro vaše citlivá data.
Přehodnoťte rovnováhu mezi dodržováním zákonných požadavků a ochranou tajemství.
Zvyšte obezřetnost ve vztahu k obchodním partnerům a poskytovatelům služeb.
Měřte efektivitu svých bezpečnostních programů a procesů.
Autor pracuje jako produktový manažer serverové divize společnosti Microsoft.
Tento článek vyšel v tištěném SecurityWorldu 2/2010.
PŘEDPLATNÉ
ČLÁNKY DO MAILU