Liczba przetwarzanych danych na ca?ym ?wiecie ro?nie w b?yskawicznym tempie. By uzmys?owi? sobie o jakiej skali mówimy, wystarczy zerkn?? na swój komputer i zobaczy? ile plików oraz dokumentów na nim si? znajduje, a pó?niej pomno?y? to razy miliardy urz?dze?, które pracuj? na ca?ym ?wiecie. Zapewnienie bezpiecze?stwa tych dokumentów to wyzwanie globalne, w szczególno?ci dla firm i instytucji, które gromadz? ich najwi?cej.
By robi? to skutecznie niezb?dne jest odpowiednie klasyfikowanie danych, co pozwoli unikn?? strat finansowych, operacyjnych czy organizacyjnych. Klasyfikacja dokumentów jest jednym z zabezpiecze? organizacyjnych, wynikaj?cym z normy ISO/IEC 27001. W jaki sposób si? za to zabra? i co dzi?ki temu mo?na zyska??
Jeden segregator na ca?? firm?
Pos?u?my si? przyk?adem. W ?redniej wielko?ci firmie, która zajmuje si? obs?ug? ksi?gow? pracuje 20 osób. Wszystkie dokumenty zwi?zane z prowadzonymi sprawami trafiaj? do jednego segregatora. By by?o ?atwiej, ka?dy z pracowników ma do niego dost?p, a nowe dokumenty dochodz? w zasadzie ka?dego dnia. Je?li w segregatorze, nie b?dzie odpowiedniego porz?dku, oznaczenia, podzia?u na lata, miesi?ce, klientów czy pracowników, to momentalnie zapanuje w nim taki ba?agan, ?e nikt nie b?dzie w stanie niczego znale??. Dokumenty b?d? wyci?gane, przek?adane, a cz??? z nich zapewne nigdy nie wróci. Stop. ?yjemy przecie? w czasach cyfrowych. Sytuacja jednak wygl?da w zasadzie identycznie w przypadku elektronicznej formy plików, które gromadzone s? na serwerach firmy, chmurze, sprz?cie pracowników czy no?nikach zewn?trznych.
Je?li organizacja nie wie jakiego rodzaju dokumenty przetwarza, kto je gromadzi, czego dotycz?, czy maj? charakter wewn?trzny lub zewn?trzny i jak cenne s? dla firmy, to post?puj?ca dezorganizacja spowoduje ogromny ba?agan, który mo?e doprowadzi? w ostateczno?ci do incydentu, zwi?zanego z udost?pnieniem informacji osobom/podmiotom, które nie s? do tego upowa?nione. Podobnie jak jeden segregator – t?umaczy Mateusz Pi?tek, ekspert ds. bezpiecze?stwa danych Safetica w DAGMA Bezpiecze?stwo IT.
Proces klasyfikacji danych
Aby rozpocz?? procedur? klasyfikowania dokumentów w firmie nale?y na pocz?tku zada? sobie kilka pyta?; jakie dane s? gromadzone, gdzie si? znajduj?, kto ma i kto powinien mie? do nich dost?p, kto jest ich w?a?cicielem, w jaki sposób s? rozpowszechniane i czy s? przeznaczone do u?ytku wewn?trznego czy te? mog? opuszcza? organizacj? na zewn?trz. Podstawow? zalet? klasyfikowania dokumentów jest ustalenie odpowiedzialno?ci i w?a?cicieli danych, co pozwala na przetwarzanie danych zgodnie z prawem, a w konsekwencji ich odpowiednie zabezpieczenie. Wiedza na temat warto?ci i wra?liwo?ci dokumentów mo?e pozwoli? zmniejszy? poziom narusze? bezpiecze?stwa, a tym samym zachowa? normy zgodne z przepisami prawa. Przegl?d firmowych lokalizacji lokalnych i chmurowych, które zawieraj? dane w ró?nych formatach, takich jak pliki obrazów, .pdf, pliki Excel czy Power Point jest niezb?dny do skutecznego przeprowadzenia procesu klasyfikacji zasobów – dodaje Mateusz Pi?tek.
Zalecenia odno?nie sposobu klasyfikowania danych podpowiada norma ISO/IEC 27001, która w pkt. A8.2 zaleca, by organizacje “zapewnia?y, ?e informacje otrzymuj? odpowiedni poziom ochrony, zgodny z ich wag?”.
Klasyfikacja danych organizacji w 5 krokach:
Rejestr zasobów – kiedy wiadomo ju? jakie informacje przetwarza Twoja firma i pracownicy oraz jakie s? lokalizacje dokumentów, powinno si? zgromadzi? je w rejestrze zasobów, uwzgl?dniaj?c osoby odpowiedzialne za dane oraz formaty w jakich s? zapisane np. dokumenty papierowe, elektroniczne czy no?niki pami?ci.
Wybór sposobu kategoryzowania informacji – klasyfikacja oraz jej ewentualne podkategorie b?d? uzale?nione od wielko?ci organizacji oraz wielu innych czynników, które nale?y okre?li? indywidualnie w ka?dej firmie.
Klasyfikowanie – najbardziej popularn? form? oznaczania rangi dokumentów jest ich stopie? poufno?ci, który okre?la kto ma dost?p do informacji oraz kto jest ich w?a?cicielem. Przyk?adowy schemat klasyfikacji:
poziom I – publiczny i brak poufno?ci;
poziom II – wewn?trz firmy, ale dost?p dla wszystkich pracowników;
poziom III – wewn?trz firmy, ale dost?p dla wybranych pracowników;
poziom IV – wewn?trz firmy, ale tylko dla kadry zarz?dzaj?cej/ zarz?du.
Oznaczanie – wiedz?c ju? jakie dokumenty zaklasyfikowa? do konkretnej kategorii informacji, nale?y wybra? i wdro?y? dla ca?ej organizacji proces oznaczania danych, który b?dzie obowi?zywa? ich w?a?cicieli. Mo?e to by? np. cyfra po??czona z liter? przypisana do konkretnego poziomu poufno?ci.
Wprowadzenie polityki klasyfikacji danych i edukacja – odpowiednie kategoryzowanie danych jest procesem roz?o?onym w czasie i nie mo?e ulec zako?czeniu, z bardzo prostego powodu. Wci?? pojawiaj? si? nowe dokumenty, a pracownicy powinni wiedzie? jak post?powa? z informacjami, kto powinien mie? do nich dost?p oraz w jaki sposób powinny by? chronione.
Klasyfikowanie dokumentów w organizacji wydaje si? by? skomplikowanym zadaniem. Jednak przemy?lenie ca?ego procesu, dobór odpowiedniej strategii dzia?ania i by? mo?e zaanga?owanie w tym celu specjalistów, którzy pomog? w realizacji zadania z pewno?ci? wp?yn? na jako?? pracy oraz efektywno?? biznesow? organizacji. Maj?c wdro?ony system klasyfikacji danych, firma mo?e ?atwiej zabezpieczy? aktywa wprowadzaj?c rozwi?zanie DLP. Pomaga ono stale monitorowa? dane i ich przep?yw, a dzi?ki tagowaniu w szybki sposób wy?apywa? incydenty bezpiecze?stwa i chroni? przed wyciekami na zewn?trz.
