Wykorzystanie i popularyzacja szyfrowanych pamięci flash USB w organizacji

Wskazówki dotyczące sposobów zachowania zgodności z nowymi przepisami o poufności danych w organizacji – unijnym ogólnym rozporządzeniem o ochronie danych osobowych oraz regulacjami Departamentu Obsługi Finansowej Stanu Nowy Jork

Opracowanie zasad stosowania szyfrowanych pamięci USB: Ochrona i zgodność z przepisami

  • Zasady dotyczące stosowania szyfrowanych pamięci USB najlepiej opracować na długo przed tym, jak pojawi się konieczność udowodnienia ich wdrożenia. W tym celu najlepiej uwzględnić szyfrowane pamięci USB i dotyczące ich polityki w ogólnej strategii zachowania bezpieczeństwa organizacji.
  • Warto wprowadzić procedurę wydawania nowym pracownikom szyfrowanych pamięci USB wraz z identyfikatorem lub służbowym laptopem podczas wstępnego przeszkolenia.
  • Należy również stworzyć plan na wypadek konieczności odzyskania zgubionych pamięci.

UWAGA: Brak wdrożonych zasad stosowania szyfrowanych pamięci USB i odpowiednich instrukcji oznacza, że prace należy zacząć od zera, a każdy poziom organizacji jest zagrożony do chwili ich zakończenia. Taka sytuacja może także doprowadzić do powstania konsekwencji związanych z nieprzestrzeganiem przepisów. Wystarczy poszukać w Google informacji na temat zagrożenia utratą danych w wyniku stosowania nieszyfrowanych pamięci USB, aby przekonać się, jak wiele organizacji poniosło straty w konsekwencji nieopracowania odpowiednich zasad. Więcej informacji podaliśmy w naszym ostatnim opracowaniu.

Wybór pamięci flash USB najlepiej dopasowanych do potrzeb organizacji

Pamięć flash USB musi być odpowiednio dopasowana do wymagań każdej organizacji. Zalecana procedura wyboru pamięci jest następująca:

  • Należy ustalić niezawodność i integralność pamięci USB poprzez sprawdzenie ich zgodności z podstawowymi normami bezpieczeństwa, takimi jak: szyfrowanie AES 256, certyfikaty FIPS 197 lub FIPS 140-2 Level 3 oraz sprawdzić dostępność wersji z opcją zarządzania zdalnego. Firma Kingston ma możliwość dostosowania pamięci do konkretnych potrzeb firmy.
  • Konieczne jest przeanalizowanie dostępnych opcji i ich ocena pod kątem potrzeb organizacji w kontekście kosztów, bezpieczeństwa i wydajności. Należy zadbać o odpowiedni stosunek ceny do poziomu gwarantowanej ochrony danych. Na przykład jeśli nie istnieje wymóg szyfrowania lub zastosowania obudowy klasy wojskowej, nie ma sensu płacić za takie opcje.
  • W proces należy zaangażować dział zaopatrzenia i uzyskać wsparcie kadry kierowniczej.

Szyfrowane pamięci USB w pełni zgodne z nowymi przepisami

Prostota i łatwość użycia, niewymagane żadne sterowniki ani oprogramowanie

Gwarancja szybkiego i skutecznego wdrożenia

UWAGA: Nieodpowiednie przygotowanie może doprowadzić do niepotrzebnych komplikacji w realizacji podejmowanych inicjatyw oraz utrudniać ich uzasadnienie. Wielkim ułatwieniem w objaśnianiu tych zagadnień w organizacji oraz przekonywaniu docelowych użytkowników urządzeń jest prosta analiza potrzeb organizacji oraz upowszechnienie informacji o dostępności łatwych w użyciu, niedrogich szyfrowanych pamięci flash USB pozwalających zapobiegać większości zagrożeń i unikać ich ewentualnych kosztów.

Szkolenia i edukacja

Dobrym pomysłem jest wdrożenie programu szkoleń, podczas których pracownicy dowiedzą się o dopuszczalnych i niedopuszczalnych sposobach wykorzystania pamięci flash USB oraz zasadach użytkowania prywatnych urządzeń w pracy.

  • W trakcie szkoleń warto zaprezentować wzięte z życia przykłady utraty danych i innych negatywnych konsekwencji związanych ze stosowaniem nieszyfrowanych pamięci USB.
  • W takich działaniach nacelowanych na podniesienie bezpieczeństwa danych przechowywanych w pamięciach USB pomocne będą dział kadr i zaangażowanie wyższej kadry kierowniczej. W ramach szkoleń wprowadzających adresowanych do nowych pracowników oraz utrwalających przeznaczonych dla już zatrudnionych powinny być prezentowane wszystkie zasady dotyczące pamięci USB.
  • Kolejnym działaniem może być opracowanie programu wymiany starych urządzeń. Można stworzyć program umożliwiający pracownikom wymianę prywatnych pamięci USB lub pamięci USB wykorzystywanych w celach służbowych i do przechowywania danych, a otrzymanych podczas targów branżowych i podobnych imprez na pamięci USB zatwierdzone do stosowania w firmie.

UWAGA: Brak wiedzy i przeszkolenia użytkowników końcowych powoduje bezużyteczność strategii zapobiegania wyciekom danych oraz podnosi poziom zagrożenia naruszeniem integralności informacji. Niedawno przeprowadzone przez instytut Ponemon badanie* wskazuje, że 72% pracowników używa darmowych pamięci przywiezionych z konferencji, targów, spotkań biznesowych itp. – nawet w organizacjach, które oferują „zatwierdzone” pamięci USB.

*Badanie instytutu Ponemon

Opracowanie i wdrożenie zasad

Należy ustalić zasady właściwego wykorzystania elektronicznych nośników przenośnych, a w tym pamięci flash USB. Podstawowe działania obejmują:

  • identyfikację tych osób i grup, które muszą posiadać dostęp do danych wrażliwych i poufnych oraz mogą pobierać je na szyfrowane pamięci USB oraz ustalenie zasad uzyskiwania przez tych pracowników dostępu do tego typu danych;
  • opracowanie tych zasad w formie pisemnej i przekazanie ich zespołom IT i użytkownikom końcowym;
  • zobowiązanie wszystkich pracowników do udziału w szkoleniu oraz potwierdzeniu podpisem zrozumienia zasad dopuszczalnego użytkowania oraz konsekwencji nieprzestrzegania wytycznych.

UWAGA: Nieopracowanie odpowiednich zasad, do przestrzegania których zobowiązani są wszyscy pracownicy może spowodować osłabienie strategii zabezpieczenia danych w wyniku niewłaściwego korzystania z pamięci USB. Ustalenie zasad jest zaledwie pierwszym krokiem, jednak ma on niezwykle duże znaczenie. Wnioski z badania instytutu Ponemon podkreślają konieczność opracowania i wdrożenia zasad wykorzystania pamięci USB. Ujawniono, że w ciągu ostatnich dwóch lat w niemal 50% organizacji dochodziło do zagubienia nośników zawierających wrażliwe lub poufne informacje.

Dostępność pamięci USB zatwierdzonych do stosowania w firmie

Pracownikom należy zapewnić dostęp do zatwierdzonych szyfrowanych pamięci flash USB do użytku w miejscu pracy. Zatwierdzone pamięci flash USB powinny posiadać następujące cechy:

  • sprawdzone 256-bitowe szyfrowanie sprzętowe AES. Zabezpieczenia sprzętowe zapewniają przenośność i zaawansowane szyfrowanie przewyższające rozwiązania bazujące na oprogramowaniu urządzenia hostującego;
  • przestrzeń przeznaczona na dane użytkownika powinna być w całości zaszyfrowana, nie może być dostępna możliwość zapisania danych bez zabezpieczenia;
  • sprzętowe uwierzytelnianie z wymogiem podania hasła i blokowaniem dostępu do danych w wyniku określonej liczby nieudanych prób logowania;
  • zgodność z normami FIPS określonymi dla danej branży lub zgodnymi z potrzebami firmy: FIPS 197 lub FIPS 140-2 Level 3.
FIPS logo   TAA logo

UWAGA: Nieudostępnienie pracownikom szyfrowanych pamięci USB i brak odpowiednich zasad zapewniających użytkownikom zachowanie produktywności prowadzi zazwyczaj do sytuacji, w której pracownicy obchodzą zabezpieczenia zmuszeni okolicznościami.

Zarządzanie uwierzytelnionymi pamięciami USB i blokowanie urządzeń niezatwierdzonych

Do zarządzania poszczególnymi urządzeniami pamięci flash USB służy odpowiednie oprogramowanie. Oprogramowanie umożliwiające scentralizowane zarządzanie poszczególnymi urządzeniami pozwala na administrowanie pamięciami w sieci LAN i przez Internet oraz stanowi doskonałe narzędzie do:

  • wprowadzania i egzekwowania zasad użycia szyfrowanych pamięci USB na poziomie poszczególnych użytkowników lub grup;
  • kontrolowania operacji na plikach i lepszego nadzorowania danych trafiających do organizacji i ją opuszczających;
  • zdalnego wykonywania kopii zapasowych zawartości urządzeń użytkowników przenoszących dane o znaczeniu krytycznym;
  • zdalnego dezaktywowania urządzeń po ich zgubieniu lub naruszeniu zabezpieczeń oraz ustalania haseł zapomnianych przez użytkowników.

UWAGA: Niezastosowanie oprogramowania do zarządzania uwierzytelnionymi pamięciami oznacza, że na urządzenia będzie można kopiować dane wrażliwe i udostępniać je osobom postronnym, a organizacja stanie się kolejną pozycją na długiej liście podmiotów, w których utracono lub ukradziono ważne dane.

Szyfrowanie poufnych danych

  • Aby zagwarantować bezpieczeństwo danych, należy je szyfrować przed wysłaniem w wiadomości e-mail lub zapisaniem na wymiennych urządzeniach magazynujących.
  • W przypadku organizacji pracujących na poufnych lub wrażliwych danych (np. finansowych, zdrowotnych, urzędowych) szyfrowanie jest najbardziej godnym zaufania sposobem ochrony informacji.
  • Zastosowanie powyższych wskazówek pozwoli przekształcić organizację w „bezpieczną przystań” i chronić ją przed karami lub procesami wynikającymi z nowych przepisów dotyczących ujawniania przypadków utraty danych.

UWAGA: Informacje zapisywane w pamięciach USB w postaci niezaszyfrowanej mogą paść łupem hakerów, którzy są w stanie obejść oprogramowanie antywirusowe, zapory i inne zabezpieczenia. Dodatkową warstwę ochrony zapewnia pamięciom IronKey rozwiązanie On-Device Cryptochip.

Zabezpieczenia antywirusowe we wszystkich punktach dostępowych

  • Należy zagwarantować, aby każdy system komputerowy był wyposażony w aktualne oprogramowanie antywirusowe.
  • Pod uwagę należy brać w szczególności oprogramowanie uniemożliwiające przeniesienia złośliwego oprogramowania na pamięci USB używane w komputerach spoza organizacji.

UWAGA: Nowe zagrożenia pojawiają się z zatrważającą szybkością, a ich źródła mogą być wszędzie – w wiadomości e-mail, witrynie internetowej lub na nośniku wymiennym, takim jak pamięć USB lub płyta CD. Aktualne oprogramowanie antywirusowe jest niezbędne dla zachowania bezpieczeństwa sieci firmy i zabezpieczenia jej przed znanymi i nieznanymi zagrożeniami.

Aby dowiedzieć się, jak wirus COVID-19 wpłynął na działanie naszej firmy, kliknij tutaj.

Konto
Firma
Zgodność
Informacje prawne
Witryna internetowa

©2021 Kingston Technology Europe Co LLP e Kingston Digital Europe Co LLP, Kingston Court, Brooklands Close, Sunbury-on-Thames, Middlesex, TW16 7EP, England. Tel: +44 (0) 1932 738888 Faks: +44 (0) 1932 785469 Wszelkie prawa zastrzeżone. Wszelkie znaki towarowe i zastrzeżone znaki towarowe są własnością odpowiednich właścicieli.

Pozostańmy w kontakcie! Zapisz się do naszego newslettera i otrzymuj informacje o nowościach od firmy Kingston.

Kingston Technology Company, Inc.
Kingston Digital, Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Twoje dane osobowe będziemy przetwarzać zgodnie z naszą polityką prywatności.
Aby nie otrzymywać więcej informacji od nas, kliknij link na dole wiadomości e-mail.