To jest tajne: rz膮d mo偶e kontynuowa膰 przyw贸dztwo w zakresie ochrony danych

To jest tajne: rz膮d mo偶e kontynuowa膰 przyw贸dztwo w zakresie ochrony danych

呕yjemy w erze danych. Organizacje borykaj膮 si臋 z pozornie nieko艅cz膮cym si臋 zalewem danych i staj膮 przed wyzwaniem, jak najlepiej je wykorzysta膰, przechowywa膰 i zabezpieczy膰. Jednak naruszenia i wycieki danych nadal si臋 zdarzaj膮, mimo 偶e przepisy dotycz膮ce bezpiecze艅stwa staj膮 si臋 coraz bardziej rygorystyczne, aby pom贸c je kontrolowa膰.

Maj膮c to na uwadze, 艂atwo zrozumie膰, dlaczego ochrona danych pozostaje g艂贸wnym przedmiotem zainteresowania wszystkich organizacji. Jest to szczeg贸lnie wa偶ne w przypadku agencji rz膮dowych, kt贸re zajmuj膮 si臋 niekt贸rymi z najbardziej wra偶liwych informacji w kraju. We藕my na przyk艂ad Biuro Spisu Ludno艣ci – obawy spo艂eczne dotycz膮ce bezpiecze艅stwa danych spisowych s膮 jednym z g艂贸wnych problem贸w Biura przygotowuj膮cego si臋 do spisu w 2020 r. Ustawodawcy ostrzegaj膮, 偶e naruszenie danych ze spisu powszechnego mo偶e trwale zaszkodzi膰 zaufaniu publicznemu i wp艂yn膮膰 na zdolno艣膰 tego kraju do gromadzenia niezb臋dnych danych w przysz艂o艣ci.

W wi臋kszo艣ci agencji rz膮dowych – iw wielu innych bran偶ach – ostrze偶enia te spowodowa艂y wprowadzenie 艣rodk贸w bezpiecze艅stwa ery cyfrowej, kt贸re w du偶ej mierze skupi艂y si臋 na zaporach ogniowych, has艂ach i innych zabezpieczeniach, aby pom贸c w zapobieganiu cyberatakom i innym zagro偶eniom pr贸buj膮cym infiltrowa膰 sieci z zewn膮trz. I chocia偶 te metody s膮 krytycznym elementem ka偶dej strategii bezpiecze艅stwa, wi臋kszo艣膰 wyciek贸w danych jest niezamierzonych i ma miejsce wewn膮trz organizacji. Podczas gdy kilka z tych narusze艅 jest wynikiem z艂o艣liwych graczy, wi臋kszo艣膰 z nich jest nieumy艣lna i wynika z b艂臋du ludzkiego.

Cz臋sto w trakcie wykonywania swojej pracy ludzie przypadkowo udost臋pniaj膮 informacje, kt贸rych nie powinni mie膰, poczt膮 e-mail lub umieszczaj膮 je w niezabezpieczonej lokalizacji. W ostatnich latach pojawi艂o si臋 wiele przyk艂ad贸w na poparcie tego. W wi臋cej ni偶 jednym przypadku naruszenie danych mia艂o miejsce, poniewa偶 pracownik przes艂a艂 poufne informacje do niezabezpieczonej witryny, takiej jak dysk przeno艣ny lub miejsce przechowywania w chmurze. Cz臋sto te scenariusze maj膮 ograniczone konsekwencje, ale wiesz, co mo偶e si臋 sta膰, gdy poufne informacje dostan膮 si臋 w niepowo艂ane r臋ce.

Na szcz臋艣cie, je艣li chodzi o ochron臋 krytycznych informacji, tradycyjnie prym wiedzie rz膮d.

To s膮 informacje niejawne

Od czasu, gdy na papierowych plikach widnieje du偶a piecz臋膰 鈥濳LASYFIKOWANE鈥, agencje rz膮dowe przoduj膮 we wdra偶aniu surowych zasad ochrony danych. Wraz z nadej艣ciem transformacji cyfrowej i nap艂ywem danych wra偶liwych, z kt贸rymi borykaj膮 si臋 wszystkie agencje rz膮dowe, istnieje mo偶liwo艣膰 zastosowania tego samego rygoru w zakresie ochrony danych przy u偶yciu polityk cyfrowych, kt贸re nap臋dzaj膮 zar贸wno identyfikacj臋, jak i ochron臋 informacji, kt贸re s膮 podstaw膮 bezpiecze艅stwa narodu.

Kr贸tko m贸wi膮c, wdro偶enie strategii ochrony danych zakorzenionej w polityce identyfikacji i klasyfikacji wdro偶onej tak fachowo w 鈥瀍rze papieru鈥 mo偶e szczeg贸lnie pom贸c w zmniejszeniu liczby narusze艅 danych wynikaj膮cych z nieumy艣lnego udost臋pniania i innych form ludzkich b艂臋d贸w.

Technologie wbudowane w codzienne przep艂ywy pracy mog膮 pom贸c pracownikom rz膮dowym zidentyfikowa膰 warto艣膰 tre艣ci podczas tworzenia lub po jej przechowywaniu lokalnie lub w chmurze. Metadane i szczeg贸艂y klasyfikacji wyzwalaj膮 okre艣lone zasady bezpiecze艅stwa w zale偶no艣ci od zawarto艣ci.

Gdy ludzie wysy艂aj膮 e-maile, przesy艂aj膮 pliki i zapisuj膮 dokumenty, technologie klasyfikacji danych zadaj膮 pytania i ostrzegaj膮 u偶ytkownik贸w, gdy w gr臋 wchodz膮 bardzo wra偶liwe dane, zmniejszaj膮c ryzyko przypadkowego udost臋pnienia poufnych lub osobistych informacji, takich jak dane ze spisu powszechnego. Je艣li wi臋c u偶ytkownicy pr贸buj膮 przes艂a膰 poufny dokument do niezabezpieczonej lokalizacji, jak w powy偶szym przyk艂adzie, narz臋dzia do klasyfikacji danych ostrzegaj膮 ich, 偶e zawiera on dokument niejawny.

Wyzwanie pojawia si臋 we wdra偶aniu tych praktyk ochrony danych. Prawid艂owe identyfikowanie i zabezpieczanie krytycznych informacji nie jest dzia艂aniem 鈥瀢 okre艣lonym momencie鈥. Wymaga zmiany my艣lenia i kultury organizacyjnej.

Dokonanie zmiany kulturowej

Kontrolowanie przep艂ywu informacji nie jest niczym nowym dla niekt贸rych agencji rz膮dowych. Na przyk艂ad wojsko od dawna kontroluje wysoce wra偶liwe dane. Kultura panuj膮ca w wojsku jest taka, 偶e 鈥嬧媌ezpiecze艅stwo jest zawsze na pierwszym miejscu. Je艣li wi臋c dow贸dca wy偶szego szczebla m贸wi, 偶e wdra偶anie oprogramowania pomo偶e w ochronie krytycznych i / lub wra偶liwych informacji, jest prawdopodobne, 偶e wszyscy zgodz膮 si臋 z tym planem, poniewa偶 pomys艂 wprowadzenia kontroli i bezpiecze艅stwa wok贸艂 proces贸w jest ju偶 cz臋艣ci膮 kultury.

Ale dla innych agencji rz膮dowych zmiana protoko艂贸w mo偶e wymaga膰 prawdziwej zmiany kulturowej w organizacji, aby by艂a naprawd臋 skuteczna. W takim przypadku agencje b臋d膮 musia艂y wzi膮膰 pod uwag臋 swoj膮 kultur臋 wewn臋trzn膮 i znale藕膰 rozwi膮zania, kt贸re b臋d膮 dla nich odpowiednie.

Wykonanie trzystopniowego procesu wdra偶ania ochrony danych w codziennych przep艂ywach pracy pomo偶e sprawi膰, 偶e zmiana b臋dzie przebiega艂a sprawniej:

    Edukuj – pom贸偶 pracownikom zrozumie膰, dlaczego identyfikowanie, oznaczanie i klasyfikowanie poszczeg贸lnych zasob贸w jest wa偶ne i stanowi podstaw臋 dobrej ochrony danych. Wyja艣nij, dlaczego robienie tego podczas tworzenia tre艣ci mo偶e pom贸c w obni偶eniu poziomu. Wdra偶anie – gdy ludzie znajd膮 si臋 na pok艂adzie, zapewnij narz臋dzia i technologie, kt贸re mog膮 pom贸c im w identyfikacji i ochronie poufnych informacji organizacji. Znajd藕 narz臋dzia, kt贸re 艂atwo integruj膮 si臋 z ju偶 istniej膮cymi przep艂ywami pracy pracownik贸w i nie wymagaj膮 uczenia si臋 wielu program贸w ani nie obci膮偶aj膮 ich codziennej pracy. Dla wielu grup roboczych wa偶ne b臋dzie, aby przekaza膰, 偶e proces jest oparty na wsp贸艂pracy, a nie na nakazie z g贸ry, bez prawdziwego wyja艣nienia. Kontrola – po uruchomieniu i uruchomieniu narz臋dzi ustal jasne zasady bezpiecze艅stwa i granice, aby chroni膰 poufne dane zgodnie z instrukcjami u偶ytkownika. Regularnie sprawdzaj u偶ytkownik贸w i zespo艂y, aby upewni膰 si臋, 偶e zasady s膮 nadal aktualne. Niekt贸re rozwi膮zania pozwalaj膮 na ewolucj臋 klasyfikacji danych w okre艣lonych typach tre艣ci w miar臋 up艂ywu czasu, w miar臋 zmieniania si臋 lub skalowania ochrony danych. Niekt贸re rozwi膮zania umo偶liwiaj膮 organizacjom generaln膮 aktualizacj臋 zasad w miar臋 zmieniaj膮cych si臋 potrzeb biznesowych.

W przypadku agencji zajmuj膮cych si臋 ogromnymi ilo艣ciami poufnych informacji, wdro偶enie technologii u艂atwiaj膮cych identyfikacj臋, klasyfikacj臋 i ochron臋 danych mo偶e by膰 prze艂omem. Nie tylko pomog艂oby to w zarz膮dzaniu wszystkimi tymi informacjami i ich udost臋pnianiu, ale tak偶e uspokoi艂oby spo艂ecze艅stwo i zapewni艂oby d艂ugotrwa艂膮 ochron臋.

Kredyt zdj臋ciowy: Dan Kosmayer / Shutterstock

Mark Cassetta jest starszym wiceprezesem ds. Zarz膮dzania produktami i strategii w TITUS. Na tym stanowisku odpowiada za realizacj臋 strategii produktowej. Od momentu do艂膮czenia do TITUS w 2012 r. Mark zajmowa艂 stanowiska w marketingu, rozwoju biznesu i strategii korporacyjnej, a tak偶e ma ponad 10-letnie do艣wiadczenie w tworzeniu aplikacji i oprogramowaniu dla przedsi臋biorstw. Przed przej艣ciem do TITUS Mark by艂 starszym konsultantem ds. Technologii w Accenture, zarz膮dzaj膮c projektami zwi膮zanymi z transformacj膮 technologii na du偶膮 skal臋.