Новая стратегия защиты от утечек информации
Компании должны более тщательно планировать стратегию защиты от утечек информации перед началом переговоров с поставщиками систем безопасности, сообщают исследователи из Gartner.
Исследователи отмечают тот факт, что вендоры чаще всего подчеркивают лишь некоторые достоинства предлагаемых решений по защите информации, в то время как для бизнеса важна полная картина стратегии.
Соответствующее программное обеспечение отслеживает находящуюся в работе информацию, перемещаемую по сети и хранимую на носителях. Приоритетной задачей программ является блокирование нелегального доступа к данным и их защита от кражи. По прогнозам аналитиков Gartner, подобные инструменты станут применяться в большинстве европейских компаний в течение ближайших шести лет.
Для начала эксперты советуют определить типы рабочей информации, затем сформировать перечень возможных действий с ней, продумать политику доступа и только после этого начинать переговоры с поставщиками.
Для определения типов информации необходимо ее классифицировать, в зависимости от ее характера и места хранения. Например, интеллектуальной собственностью могут быть чертежи в файлах PDF, CAD или GIF, документы, разделенные на маркированные, немаркированные, структурированные и неструктурированные, а также персональные данные, классифицированные либо по типу, например, идентификационные номера и кредитные карты, либо по применению — обработка заказов или онлайн продажи.
Исследователи предлагают создать список возможных действий с информацией, исходя из
Общей проблемой для бизнеса являются продавцы, которые воруют клиентскую информацию, а также аутсорсинговая деятельность, использующая важную интеллектуальную собственность.
Политика доступа к данным должна формироваться в зависимости от различных уровней реакции системы безопасности, создающих записи в журнале событий использования информации.
Естественно, информацию следует автоматически шифровать и переносить из зоны риска. Иначе необходимо требовать от пользователей обоснований для выполнения специфических операций.