Wykorzystanie i popularyzacja szyfrowanych pamięci flash USB w organizacji
Wskazówki dotyczące sposobów zachowania zgodności z nowymi przepisami o poufności danych w organizacji – unijnym ogólnym rozporządzeniem o ochronie danych osobowych oraz regulacjami Departamentu Obsługi Finansowej Stanu Nowy Jork
Opracowanie zasad stosowania szyfrowanych pamięci USB: Ochrona i zgodność z przepisami

- Zasady dotyczące stosowania szyfrowanych pamięci USB najlepiej opracować na długo przed tym, jak pojawi się konieczność udowodnienia ich wdrożenia. W tym celu najlepiej uwzględnić szyfrowane pamięci USB i dotyczące ich polityki w ogólnej strategii zachowania bezpieczeństwa organizacji.
- Warto wprowadzić procedurę wydawania nowym pracownikom szyfrowanych pamięci USB wraz z identyfikatorem lub służbowym laptopem podczas wstępnego przeszkolenia.
- Należy również stworzyć plan na wypadek konieczności odzyskania zgubionych pamięci.
UWAGA: Brak wdrożonych zasad stosowania szyfrowanych pamięci USB i odpowiednich instrukcji oznacza, że prace należy zacząć od zera, a każdy poziom organizacji jest zagrożony do chwili ich zakończenia. Taka sytuacja może także doprowadzić do powstania konsekwencji związanych z nieprzestrzeganiem przepisów. Wystarczy poszukać w Google informacji na temat zagrożenia utratą danych w wyniku stosowania nieszyfrowanych pamięci USB, aby przekonać się, jak wiele organizacji poniosło straty w konsekwencji nieopracowania odpowiednich zasad. Więcej informacji podaliśmy w naszym ostatnim opracowaniu.
Wybór pamięci flash USB najlepiej dopasowanych do potrzeb organizacji
Pamięć flash USB musi być odpowiednio dopasowana do wymagań każdej organizacji. Zalecana procedura wyboru pamięci jest następująca:
- Należy ustalić niezawodność i integralność pamięci USB poprzez sprawdzenie ich zgodności z podstawowymi normami bezpieczeństwa, takimi jak: szyfrowanie AES 256, certyfikaty FIPS 197 lub FIPS 140-2 Level 3 oraz sprawdzić dostępność wersji z opcją zarządzania zdalnego. Firma Kingston ma możliwość dostosowania pamięci do konkretnych potrzeb firmy.
- Konieczne jest przeanalizowanie dostępnych opcji i ich ocena pod kątem potrzeb organizacji w kontekście kosztów, bezpieczeństwa i wydajności. Należy zadbać o odpowiedni stosunek ceny do poziomu gwarantowanej ochrony danych. Na przykład jeśli nie istnieje wymóg szyfrowania lub zastosowania obudowy klasy wojskowej, nie ma sensu płacić za takie opcje.
- W proces należy zaangażować dział zaopatrzenia i uzyskać wsparcie kadry kierowniczej.
Szyfrowane pamięci USB w pełni zgodne z nowymi przepisami
Prostota i łatwość użycia, niewymagane żadne sterowniki ani oprogramowanie
Gwarancja szybkiego i skutecznego wdrożenia
UWAGA: Nieodpowiednie przygotowanie może doprowadzić do niepotrzebnych komplikacji w realizacji podejmowanych inicjatyw oraz utrudniać ich uzasadnienie. Wielkim ułatwieniem w objaśnianiu tych zagadnień w organizacji oraz przekonywaniu docelowych użytkowników urządzeń jest prosta analiza potrzeb organizacji oraz upowszechnienie informacji o dostępności łatwych w użyciu, niedrogich szyfrowanych pamięci flash USB pozwalających zapobiegać większości zagrożeń i unikać ich ewentualnych kosztów.
Szkolenia i edukacja
Dobrym pomysłem jest wdrożenie programu szkoleń, podczas których pracownicy dowiedzą się o dopuszczalnych i niedopuszczalnych sposobach wykorzystania pamięci flash USB oraz zasadach użytkowania prywatnych urządzeń w pracy.
- W trakcie szkoleń warto zaprezentować wzięte z życia przykłady utraty danych i innych negatywnych konsekwencji związanych ze stosowaniem nieszyfrowanych pamięci USB.
- W takich działaniach nacelowanych na podniesienie bezpieczeństwa danych przechowywanych w pamięciach USB pomocne będą dział kadr i zaangażowanie wyższej kadry kierowniczej. W ramach szkoleń wprowadzających adresowanych do nowych pracowników oraz utrwalających przeznaczonych dla już zatrudnionych powinny być prezentowane wszystkie zasady dotyczące pamięci USB.
- Kolejnym działaniem może być opracowanie programu wymiany starych urządzeń. Można stworzyć program umożliwiający pracownikom wymianę prywatnych pamięci USB lub pamięci USB wykorzystywanych w celach służbowych i do przechowywania danych, a otrzymanych podczas targów branżowych i podobnych imprez na pamięci USB zatwierdzone do stosowania w firmie.
UWAGA: Brak wiedzy i przeszkolenia użytkowników końcowych powoduje bezużyteczność strategii zapobiegania wyciekom danych oraz podnosi poziom zagrożenia naruszeniem integralności informacji. Niedawno przeprowadzone przez instytut Ponemon badanie* wskazuje, że 72% pracowników używa darmowych pamięci przywiezionych z konferencji, targów, spotkań biznesowych itp. – nawet w organizacjach, które oferują „zatwierdzone” pamięci USB.
Opracowanie i wdrożenie zasad
Należy ustalić zasady właściwego wykorzystania elektronicznych nośników przenośnych, a w tym pamięci flash USB. Podstawowe działania obejmują:
- identyfikację tych osób i grup, które muszą posiadać dostęp do danych wrażliwych i poufnych oraz mogą pobierać je na szyfrowane pamięci USB oraz ustalenie zasad uzyskiwania przez tych pracowników dostępu do tego typu danych;
- opracowanie tych zasad w formie pisemnej i przekazanie ich zespołom IT i użytkownikom końcowym;
- zobowiązanie wszystkich pracowników do udziału w szkoleniu oraz potwierdzeniu podpisem zrozumienia zasad dopuszczalnego użytkowania oraz konsekwencji nieprzestrzegania wytycznych.

UWAGA: Nieopracowanie odpowiednich zasad, do przestrzegania których zobowiązani są wszyscy pracownicy może spowodować osłabienie strategii zabezpieczenia danych w wyniku niewłaściwego korzystania z pamięci USB. Ustalenie zasad jest zaledwie pierwszym krokiem, jednak ma on niezwykle duże znaczenie. Wnioski z badania instytutu Ponemon podkreślają konieczność opracowania i wdrożenia zasad wykorzystania pamięci USB. Ujawniono, że w ciągu ostatnich dwóch lat w niemal 50% organizacji dochodziło do zagubienia nośników zawierających wrażliwe lub poufne informacje.
Dostępność pamięci USB zatwierdzonych do stosowania w firmie
Pracownikom należy zapewnić dostęp do zatwierdzonych szyfrowanych pamięci flash USB do użytku w miejscu pracy. Zatwierdzone pamięci flash USB powinny posiadać następujące cechy:

- sprawdzone 256-bitowe szyfrowanie sprzętowe AES. Zabezpieczenia sprzętowe zapewniają przenośność i zaawansowane szyfrowanie przewyższające rozwiązania bazujące na oprogramowaniu urządzenia hostującego;
- przestrzeń przeznaczona na dane użytkownika powinna być w całości zaszyfrowana, nie może być dostępna możliwość zapisania danych bez zabezpieczenia;
- sprzętowe uwierzytelnianie z wymogiem podania hasła i blokowaniem dostępu do danych w wyniku określonej liczby nieudanych prób logowania;
- zgodność z normami FIPS określonymi dla danej branży lub zgodnymi z potrzebami firmy: FIPS 197 lub FIPS 140-2 Level 3.


UWAGA: Nieudostępnienie pracownikom szyfrowanych pamięci USB i brak odpowiednich zasad zapewniających użytkownikom zachowanie produktywności prowadzi zazwyczaj do sytuacji, w której pracownicy obchodzą zabezpieczenia zmuszeni okolicznościami.
Zarządzanie uwierzytelnionymi pamięciami USB i blokowanie urządzeń niezatwierdzonych
Do zarządzania poszczególnymi urządzeniami pamięci flash USB służy odpowiednie oprogramowanie. Oprogramowanie umożliwiające scentralizowane zarządzanie poszczególnymi urządzeniami pozwala na administrowanie pamięciami w sieci LAN i przez Internet oraz stanowi doskonałe narzędzie do:
- wprowadzania i egzekwowania zasad użycia szyfrowanych pamięci USB na poziomie poszczególnych użytkowników lub grup;
- kontrolowania operacji na plikach i lepszego nadzorowania danych trafiających do organizacji i ją opuszczających;
- zdalnego wykonywania kopii zapasowych zawartości urządzeń użytkowników przenoszących dane o znaczeniu krytycznym;
- zdalnego dezaktywowania urządzeń po ich zgubieniu lub naruszeniu zabezpieczeń oraz ustalania haseł zapomnianych przez użytkowników.
UWAGA: Niezastosowanie oprogramowania do zarządzania uwierzytelnionymi pamięciami oznacza, że na urządzenia będzie można kopiować dane wrażliwe i udostępniać je osobom postronnym, a organizacja stanie się kolejną pozycją na długiej liście podmiotów, w których utracono lub ukradziono ważne dane.
Szyfrowanie poufnych danych
- Aby zagwarantować bezpieczeństwo danych, należy je szyfrować przed wysłaniem w wiadomości e-mail lub zapisaniem na wymiennych urządzeniach magazynujących.
- W przypadku organizacji pracujących na poufnych lub wrażliwych danych (np. finansowych, zdrowotnych, urzędowych) szyfrowanie jest najbardziej godnym zaufania sposobem ochrony informacji.
- Zastosowanie powyższych wskazówek pozwoli przekształcić organizację w „bezpieczną przystań” i chronić ją przed karami lub procesami wynikającymi z nowych przepisów dotyczących ujawniania przypadków utraty danych.
UWAGA: Informacje zapisywane w pamięciach USB w postaci niezaszyfrowanej mogą paść łupem hakerów, którzy są w stanie obejść oprogramowanie antywirusowe, zapory i inne zabezpieczenia. Dodatkową warstwę ochrony zapewnia pamięciom IronKey rozwiązanie On-Device Cryptochip.
Zabezpieczenia antywirusowe we wszystkich punktach dostępowych
- Należy zagwarantować, aby każdy system komputerowy był wyposażony w aktualne oprogramowanie antywirusowe.
- Pod uwagę należy brać w szczególności oprogramowanie uniemożliwiające przeniesienia złośliwego oprogramowania na pamięci USB używane w komputerach spoza organizacji.
UWAGA: Nowe zagrożenia pojawiają się z zatrważającą szybkością, a ich źródła mogą być wszędzie – w wiadomości e-mail, witrynie internetowej lub na nośniku wymiennym, takim jak pamięć USB lub płyta CD. Aktualne oprogramowanie antywirusowe jest niezbędne dla zachowania bezpieczeństwa sieci firmy i zabezpieczenia jej przed znanymi i nieznanymi zagrożeniami.