В наше время защита информации — один из основных вопросов, которые сегодня беспокоят многие компании. Сейчас уже практически все убедились, что при недостаточной защите корпоративных данных можно серьезно пострадать. Мало уже придумать хороший пароль. Это становится высшим приоритетом для руководителей различных отраслей. В этой статье мы расскажем, что такое многоуровневая защита информации, и приведем советы специалистов, как надежно защитить свои базы данных.
Вероятность стать жертвой
В наше время усиление контроля безопасности привело к тому, что доступ к конфиденциальным данным пользователей могут получить только те, кому это действительно положено. По крайней мере, во многих случаях, хотя и сохраняется определенный риск. Он увеличивается, когда базы оказываются в руках третьих лиц.
Как только информация выходит за пределы компании, риск нарушения или злоупотребления существенно возрастает, так как вы теряете цепочку, по которой они перемещаются.
В современном мире полагаться на юридические контракты многие считают недостаточным. Нужно повышать конфиденциальность и усиливать контроль. Хотя ограничение доступа к данным или закрытие от сторонних интеграций может показаться лучшим вариантом. Однако в конечном итоге, чтобы решить эти проблемы, необходимо использовать более продуманный и упреждающий подход, прежде чем сведения подвергнутся реальной утечке.
Риск потери информации
Чтобы понять, каковы риски, с которыми вы можете столкнуться, начните с того, чтобы установить природу средств управления, связанных с данными, которые вы собираете.
Например, когда американская компания MoviePass столкнулась с негативной реакцией пользователей на использование ею данных о местоположении через мобильное приложение, руководство задалось вопросом: какие существуют средства контроля, способные обеспечить надежную защиту и надлежащее использование информации?
В то же время принятое Общее положение о защите данных вынудило компании предоставить пользователям больший контроль над тем, как распространяются сведения о них, какие данные и кому передаются. Предприятия должны научиться прозрачно передавать свои методы работы с данными, собирать только минимальные требуемые сведения, гарантируя при этом их сохранность и использование надлежащим образом.
Уровни доступа
Следующий важный шаг, который нужно сделать, понять, кто имеет доступ к данным в вашей компании, каков их уровень доступа. Это требуется, чтобы установить существующий риск.
Массив данных постоянно перемещается и трансформируется, поскольку разделен на части, а после распределяется между теми, кто в этом нуждается. Если вы заранее не задумаетесь о том, где должна храниться информация, она неизбежно окажется там, где ее быть не должно.
Прежде чем слепо предоставлять кому-то данные, убедитесь, что вы можете ответить на ключевые вопросы: кому нужен доступ к ним и зачем? Какая конфиденциальная информация в них содержится? Как это повлияет, если они будут украдены или кто-то из сотрудников поступит неэтично? Как только вы откроете ящик Пандоры, пути назад уже не будет.
Перемещение информации за пределами компании
Наконец, важно проследить путь, по которому информация передается за пределы компании. Как только данные попадают в ваши руки, вы должны понимать, по каким каналам они к вам поступили.
Ведь незащищенной может оказаться третья сторона. Начните с понимания целей, для которых эти данные будут использоваться, как долго они должны храниться.
Не думайте, что только из-за того, что вы удалили стандартную личную информацию, такую как номера кредитных карт, на нужные вам данные больше никто не посягает. Тщательно продумайте все способы получения конфиденциальной информации.
Как снизить вероятность кражи информации
Предоставляя данные третьим лицам, начните с того, что отправляйте им только необходимый минимум информации, достаточный для выполнения их части работы.
Например, для определения типов поведенческого анализа группы личные данные могут быть заменены порядковым номером, который однозначно идентифицирует пользователя. Если что-то заставляет вас сомневаться, передавайте как можно меньше информации. Начните с малого, постепенно добавляя больше сведений, когда вы определите, что действительно необходимо.
Маскировка файлов является важным методом защиты конфиденциальных данных от злоумышленников. В этом случае вы можете быть уверены, что мошенники не смогут нанести ущерб вашему бизнесу, даже если найдут способ обойти предпринятые меры безопасности. Когда данные замаскированы, это все равно, что украсть кошелек, в котором нет денег.
Маскировка — это только часть решения, потому что даже анонимные данные теоретически можно проанализировать, добыв конфиденциальную информацию. Допустим, вы отправляете сведения в кадровое агентство для анализа заработной платы сотрудников. Для этого могут потребоваться только названия их должностей и ежегодные цифры о заработной плате. Если вы поделитесь только этим, то сумеете защитить конфиденциальность пользователей, но не полностью. Ведь зная, что в компании один генеральный директор, злоумышленники без труда смогут узнать его зарплату на основе этих сведений.
Любой дополнительный контекст открывает возможности для деанонимизации данных. Как показали исследования, то, что выглядит как безобидные анонимные данные о вашем местонахождении, может быть объединено с какими-то внешними знаниями (например, распорядок дня), чтобы затем получить личную информацию. Допустим, где вы были в прошлую пятницу вечером.
Всегда убеждайтесь, что наборы данных достаточно ограничены, чтобы снизить риск их обратного проектирования.
Создание целостного подхода
В основе проблемы лежит один вопрос: как мы храним конфиденциальную информацию? Регулярные случаи утечек данных только подтверждают, что мы должны продолжать усиливать меры безопасности, такие как шифрование и ограничение доступа.
Строгий контроль при этом должен сочетаться с методами обеспечения конфиденциальности данных, снижающих риск, который эта информация может нести конкретному человеку на каждом этапе.
Надлежащее запутывание и редактирование информации должно быть выполнено до того, как она покинет ваши руки.