IT Professional Security - ΤΕΥΧΟΣ 75

More documents

Recommendations

Info

T<strong>75</strong>06/07/08.2022 Issue δεδομένων. Η ακριβής γνώση των δεδομένων που υπερβαίνουν τα οργανωτικά όρια είναι ζωτικής σημασίας για την πρόληψη της κατάχρησης. • Η εξαγωγή δεδομένων είναι ένας αυξανόμενος κίνδυνος - Τα ευαίσθητα δεδομένα είναι ένας ελκυστικός στόχος για τους επιτιθέμενους. Ο αριθμός των απόπειρων και επιτυχημένων παραβιάσεων δεδομένων σε οργανισμούς όλων των μεγεθών αυξάνεται ραγδαία και έχει δει μια απότομη κλίση από την αρχή της μετάβασης που οφείλεται στην πανδημία στην απομακρυσμένη εργασία. • Εσωτερικές απειλές - Η απώλεια δεδομένων προκαλείται όλο και περισσότερο από κακόβουλους εσωτερικούς χρήστες, παραβιασμένους προνομιακούς λογαριασμούς ή τυχαία κοινή χρήση δεδομένων από υπαλλήλους. • Τα κλεμμένα δεδομένα αξίζουν περισσότερο - Ο σκοτεινός ιστός επιτρέπει στους αντιπάλους να αγοράζουν και να πωλούν κλεμμένες πληροφορίες. Η κλοπή δεδομένων είναι μια κερδοφόρα επιχείρηση. • Περισσότερα δεδομένα για κλοπή - Το πεδίο εφαρμογής και ο ορισμός των ευαίσθητων δεδομένων έχει διευρυνθεί με την πάροδο του χρόνου. Τα ευαίσθητα δεδομένα περιλαμβάνουν πλέον άυλα περιουσιακά στοιχεία, για παράδειγμα, επιχειρηματικές μεθοδολογίες και μοντέλα τιμολόγησης. 3 λόγοι για την εφαρμογή πολιτικής πρόληψης απώλειας δεδομένων Η πρόσβαση στη σύγχρονη αποθήκευση δεδομένων είναι δυνατή από απομακρυσμένες τοποθεσίες και μέσω υπηρε- σιών cloud. Τα laptops και τα κινητά τηλέφωνα περιέχουν ευαίσθητες πληροφορίες και αυτά τα τελικά σημεία είναι συχνά ευάλωτα σε hacking, κλοπή και απώλεια. Γίνεται όλο και πιο δύσκολο να διασφαλιστεί ότι τα δεδομένα της εταιρείας είναι ασφαλή, καθιστώντας το DLP μια κρίσιμη στρατηγική. 1. Συμμόρφωση - Οι επιχειρήσεις υπόκεινται σε υποχρεωτικά πρότυπα συμμόρφωσης που επιβάλλονται από κυβερνήσεις (όπως HIPAA, SOX, PCI DSS). Αυτά τα πρότυπα συχνά ορίζουν τον τρόπο με τον οποίο οι επιχειρήσεις πρέπει να προστατεύουν τις προσωπικά αναγνωρίσιμες πληροφορίες (PII) και άλλα ευαίσθητα δεδομένα. Μια πολιτική DLP είναι ένα βασικό πρώτο βήμα για τη συμμόρφωση και τα περισσότερα εργαλεία DLP είναι κατασκευασμένα για να ανταποκρίνονται στις απαιτήσεις των κοινών προτύπων. 2. Πνευματική ιδιοκτησία και άυλα περιουσιακά στοιχεία – Ένας οργανισμός μπορεί να έχει εμπορικά μυστικά, άλλες στρατηγικές ιδιοκτησιακές πληροφορίες ή άυλα περιουσιακά στοιχεία, όπως λίστες πελατών και επιχειρηματικές στρατηγικές. Η απώλεια αυτού του τύπου πληροφοριών μπορεί να είναι εξαιρετικά επιζήμια, καθιστώντας την άμεσο στόχο για επιτιθέμενους και κακόβουλους εσωτερικούς. Μια πολιτική DLP μπορεί να βοηθήσει στον εντοπισμό και την προστασία κρίσιμων στοιχείων πληροφοριών. 3. Ορατότητα δεδομένων - Η εφαρμογή μιας πολιτικής DLP μπορεί να παρέχει πληροφορίες σχετικά με τον τρόπο με τον οποίο οι ενδιαφερόμενοι χρησιμοποιούν τα δεδομένα. Προκειμένου να προστατευθούν οι ευαίσθητες πληροφορίες, οι οργανισμοί πρέπει πρώτα να γνωρίζουν ότι υπάρχουν, πού κατοικούν, ποιοι έχουν πρόσβαση σε αυτές και για ποιους σκοπούς χρησιμοποιούνται. Συμβουλές για τη δημιουργία μιας επιτυχημένης πολιτικής DLP • Ταξινόμηση και ερμηνεία δεδομένων – Προσδιορίστε ποιες πληροφορίες πρέπει να προστατεύονται αξιολογώντας τους παράγοντες κινδύνου και το επίπεδο ευπάθειας. Επενδύστε στην ταξινόμηση και την ερμηνεία των δεδομένων, επειδή αυτή είναι η βάση για την εφαρμογή μιας πολιτικής προστασίας δεδομένων που ταιριάζει στις ανάγκες του οργανισμού σας. • Κατανομή ρόλων – Καθορίστε με σαφήνεια τον ρόλο κάθε ατόμου που εμπλέκεται στη στρατηγική πρόληψης της απώλειας δεδομένων. • Ξεκινήστε ασφαλίζοντας τα πιο ευαίσθητα δεδομένα - 26 security
Ξεκινήστε επιλέγοντας ένα συγκεκριμένο είδος πληροφοριών για προστασία, το οποίο αντιπροσωπεύει τον μεγαλύτερο κίνδυνο για την επιχείρηση. • Αυτοματοποιήστε όσο το δυνατόν περισσότερο - Όσο περισσότερες διαδικασίες DLP αυτοματοποιούνται, τόσο ευρύτερα θα μπορείτε να τις αναπτύξετε στον οργανισμό σας. Οι μη αυτόματες διαδικασίες DLP είναι εγγενώς περιορισμένες ως προς το πεδίο εφαρμογής τους και τον όγκο των δεδομένων που μπορούν να καλύψουν. • Χρησιμοποιήστε την ανίχνευση ανωμαλιών – Ορισμένα σύγχρονα εργαλεία DLP χρησιμοποιούν μηχανική εκμάθηση και ανάλυση συμπεριφοράς, αντί για απλή στατιστική ανάλυση και κανόνες συσχέτισης, για τον εντοπισμό μη φυσιολογικής συμπεριφοράς των χρηστών. Κάθε χρήστης και ομάδα χρηστών διαμορφώνεται με μια γραμμή βάσης συμπεριφοράς, επιτρέποντας τον ακριβή εντοπισμό ενεργειών δεδομένων που ενδέχεται να αντιπροσωπεύουν κακόβουλη πρόθεση. • Εμπλέξτε ηγέτες στον οργανισμό - Η διαχείριση είναι το κλειδί για να λειτουργήσει το DLP, επειδή οι πολιτικές είναι άχρηστες εάν δεν μπορούν να επιβληθούν σε οργανωτικό επίπεδο. • Εκπαιδεύστε τους ενδιαφερόμενους - Η απλή εφαρμογή μιας πολιτικής DLP δεν αρκεί. Επενδύστε στην ευαισθητοποίηση των ενδιαφερόμενων μερών και των χρηστών των δεδομένων σχετικά με την πολιτική, τη σημασία της και το τι πρέπει να κάνουν για να προστατεύσουν τα δεδομένα του οργανισμού σας. • Τεκμηρίωση της στρατηγικής DLP – Η τεκμηρίωση της πολιτικής DLP απαιτείται από διάφορα πρότυπα συμμόρφωσης. Παρέχει επίσης σαφήνεια σχετικά με τις απαιτήσεις πολιτικής και την επιβολή, τόσο σε ατομικό όσο και σε οργανωτικό επίπεδο. 4 βέλτιστες πρακτικές πρόληψης απώλειας δεδομένων 1. Η ταξινόμηση των δεδομένων πρέπει να είναι κεντρικής σημασίας για την εκτέλεση του DLP Πριν από την εφαρμογή μιας λύσης DLP, δώστε ιδιαίτερη προσοχή στη φύση των ευαίσθητων πληροφοριών της εταιρείας σας και στον τρόπο με τον οποίο ρέουν από το ένα σύστημα στο άλλο. Προσδιορισμός του τρόπου με τον οποίο οι πληροφορίες μεταφέρονται στους καταναλωτές του. Αυτό θα αποκαλύψει διαδρομές μετάδοσης και αποθετήρια δεδομένων. Ταξινομήστε τα ευαίσθητα δεδομένα κατηγοριοποι- ώντας τα με ετικέτες, όπως "δεδομένα υπαλλήλων", "πνευματική ιδιοκτησία" και "οικονομικά δεδομένα". Διερευνήστε και καταγράψτε όλα τα σημεία εξόδου δεδομένων. Οι οργανωτικές διαδικασίες ενδέχεται να μην τεκμηριώνονται και δεν πραγματοποιούνται όλες οι κινήσεις δεδομένων ως μέρος μιας συνηθισμένης πρακτικής. 2. Καθιερώστε πολιτικές εκ των προτέρων Συμμετοχή του προσωπικού πληροφορικής και επιχειρήσεων στα αρχικά στάδια της ανάπτυξης πολιτικής. Αυτό το στάδιο της διαδικασίας θα πρέπει να περιλαμβάνει τον προσδιορισμό: • Κατηγορίες δεδομένων που έχουν ξεχωρίσει • Βήματα που πρέπει να εφαρμοστούν για την καταπολέμηση των αθέμιτων πρακτικών • Μελλοντική ανάπτυξη της στρατηγικής DLP • Βήματα που πρέπει να ληφθούν εάν υπάρχει ασυνήθιστη δραστηριότητα Πριν τεθεί σε εφαρμογή η στρατηγική DLP, είναι σημαντικό να καθιερωθούν διαδικασίες διαχείρισης συμβάντων και να διασφαλιστεί ότι είναι πρακτικές για κάθε κατηγορία δεδομένων. 3. Πώς να ξεκινήσετε Το πρώτο βήμα για την εφαρμογή του DLP είναι η παρακολούθηση των οργανωτικών δεδομένων. Αυτό σας επιτρέπει να προβλέψετε και να βελτιώσετε την επίδραση που μπορεί να έχει το DLP στην οργανωτική κουλτούρα και τις λειτουργίες. Αποκλείοντας ευαίσθητες πληροφορίες πολύ νωρίς, μπορεί να επηρεάσετε αρνητικά τις κεντρικές επιχειρηματικές δραστηριότητες. Το DLP παρέχει πολλές πληροφορίες, όπως η διαδρομή μετάδοσης και η θέση όλων των ευαίσθητων πληροφοριών, οι οποίες μπορεί να είναι συντριπτικές. Αντισταθείτε στον πειρασμό να προσπαθήσετε να λύσετε όλα τα ζητήματα προστασίας δεδομένων σας ταυτόχρονα. 4. Να ξέρετε ότι η τεχνολογία DLP έχει τους περιορισμούς της • Κρυπτογράφηση - Τα εργαλεία DLP μπορούν να εξετάσουν μόνο κρυπτογραφημένες πληροφορίες που αρχικά αποκρυπτογραφούν. Εάν οι χρήστες κρυπτογραφήσουν δεδομένα με κλειδιά στα οποία δεν μπορούν να έχουν πρόσβαση οι χειριστές του συστήματος DLP, οι πληροφορίες είναι αόρατες. • Εμπλουτισμένα μέσα - Τα εργαλεία DLP γενικά δεν είναι χρήσιμα όταν εργάζεστε με εμπλουτισμένα μέσα όπως εικόνες και βίντεο, επειδή δεν μπορούν να αναλύσουν και να ταξινομήσουν το περιεχόμενό τους. • Κινητό - Οι λύσεις DLP δεν μπορούν να παρακολουθήσουν όλους τους τύπους σύγχρονης κινητής επικοινωνίας, όπως μηνύματα που αποστέλλονται από την ιδιωτική κινητή συσκευή ενός χρήστη. security 27
Page 1 and 2: www.itsecuritypro.gr 06/07/08.2022
Page 4 and 5: T7506/07/08.2022 Editorial Αξιο
Page 6 and 7: T7506/07/08.2022 Contents 20 42 44
Page 8 and 9: T7506/07/08.2022 News Η Τράπε
Page 10 and 11: T7506/07/08.2022 News GWN7625 Wi-Fi
Page 12: T7506/07/08.2022 News European Cybe
Page 15 and 16: Integrated security for Integrated
Page 17 and 18: Παναγιώτης Καλαντζ
Page 20 and 21: T7506/07/08.2022 Cover Issue αυξ
Page 22 and 23: T7506/07/08.2022 Interview Ενοπ
Page 24 and 25: T7506/07/08.2022 Interview στα
Page 26 and 27: T7506/07/08.2022 Issue Αποτρο
Page 30 and 31: T7506/07/08.2022 Issue Data Loss Pr
Page 32 and 33: T7506/07/08.2022 Issue Stop being a
Page 34 and 35: T7506/07/08.2022 Issue Διασφα
Page 36 and 37: T7506/07/08.2022 Issue 5. Τα κλ
Page 38 and 39: T7506/07/08.2022 Issue Αντώνη
Page 40 and 41: T7506/07/08.2022 Issue Συνδυά
Page 42 and 43: T7506/07/08.2022 Issue Enterprise D
Page 44 and 45: T7506/07/08.2022 Issue Digitize OT
Page 46 and 47: T7506/07/08.2022 Issue “To Trust
Page 48 and 49: T7506/07/08.2022 Issue Ευαισθ
Page 50 and 51: T7506/07/08.2022 Issue σω του
Page 52 and 53: T7506/07/08.2022 Issue Οριοθε
Page 54 and 55: T7506/07/08.2022 Issue Πως να
Page 56 and 57: T7506/07/08.2022 Issue Βήμα 3:
Page 58 and 59: T7506/07/08.2022 Issue Zero Trust P

IT Professional Security - ΤΕΥΧΟΣ 75

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?