Wykorzystanie i popularyzacja szyfrowanych pamięci flash USB w organizacji

Wskazówki dotyczące sposobów zachowania zgodności z nowymi przepisami o poufności danych w organizacji – unijnym ogólnym rozporządzeniem o ochronie danych osobowych oraz regulacjami Departamentu Obsługi Finansowej Stanu Nowy Jork

Opracowanie zasad stosowania szyfrowanych pamięci USB: Ochrona i zgodność z przepisami

• Zasady dotyczące stosowania szyfrowanych pamięci USB najlepiej opracować na długo przed tym, jak pojawi się konieczność udowodnienia ich wdrożenia. W tym celu najlepiej uwzględnić szyfrowane pamięci USB i dotyczące ich polityki w ogólnej strategii zachowania bezpieczeństwa organizacji.
• Warto wprowadzić procedurę wydawania nowym pracownikom szyfrowanych pamięci USB wraz z identyfikatorem lub służbowym laptopem podczas wstępnego przeszkolenia.
• Należy również stworzyć plan na wypadek konieczności odzyskania zgubionych pamięci.

UWAGA: Brak wdrożonych zasad stosowania szyfrowanych pamięci USB i odpowiednich instrukcji oznacza, że prace należy zacząć od zera, a każdy poziom organizacji jest zagrożony do chwili ich zakończenia. Taka sytuacja może także doprowadzić do powstania konsekwencji związanych z nieprzestrzeganiem przepisów. Wystarczy poszukać w Google informacji na temat zagrożenia utratą danych w wyniku stosowania nieszyfrowanych pamięci USB, aby przekonać się, jak wiele organizacji poniosło straty w konsekwencji nieopracowania odpowiednich zasad. Więcej informacji podaliśmy w naszym ostatnim opracowaniu.

Wybór pamięci flash USB najlepiej dopasowanych do potrzeb organizacji

Pamięć flash USB musi być odpowiednio dopasowana do wymagań każdej organizacji. Zalecana procedura wyboru pamięci jest następująca:

• Należy ustalić niezawodność i integralność pamięci USB poprzez sprawdzenie ich zgodności z podstawowymi normami bezpieczeństwa, takimi jak: szyfrowanie AES 256, certyfikaty FIPS 197 lub FIPS 140-2 Level 3 oraz sprawdzić dostępność wersji z opcją zarządzania zdalnego. Firma Kingston ma możliwość dostosowania pamięci do konkretnych potrzeb firmy.
• Konieczne jest przeanalizowanie dostępnych opcji i ich ocena pod kątem potrzeb organizacji w kontekście kosztów, bezpieczeństwa i wydajności. Należy zadbać o odpowiedni stosunek ceny do poziomu gwarantowanej ochrony danych. Na przykład jeśli nie istnieje wymóg szyfrowania lub zastosowania obudowy klasy wojskowej, nie ma sensu płacić za takie opcje.
• W proces należy zaangażować dział zaopatrzenia i uzyskać wsparcie kadry kierowniczej.

Szyfrowane pamięci USB w pełni zgodne z nowymi przepisami

Prostota i łatwość użycia, niewymagane żadne sterowniki ani oprogramowanie

Gwarancja szybkiego i skutecznego wdrożenia

UWAGA: Nieodpowiednie przygotowanie może doprowadzić do niepotrzebnych komplikacji w realizacji podejmowanych inicjatyw oraz utrudniać ich uzasadnienie. Wielkim ułatwieniem w objaśnianiu tych zagadnień w organizacji oraz przekonywaniu docelowych użytkowników urządzeń jest prosta analiza potrzeb organizacji oraz upowszechnienie informacji o dostępności łatwych w użyciu, niedrogich szyfrowanych pamięci flash USB pozwalających zapobiegać większości zagrożeń i unikać ich ewentualnych kosztów.

Szkolenia i edukacja

Dobrym pomysłem jest wdrożenie programu szkoleń, podczas których pracownicy dowiedzą się o dopuszczalnych i niedopuszczalnych sposobach wykorzystania pamięci flash USB oraz zasadach użytkowania prywatnych urządzeń w pracy.

• W trakcie szkoleń warto zaprezentować wzięte z życia przykłady utraty danych i innych negatywnych konsekwencji związanych ze stosowaniem nieszyfrowanych pamięci USB.
• W takich działaniach nacelowanych na podniesienie bezpieczeństwa danych przechowywanych w pamięciach USB pomocne będą dział kadr i zaangażowanie wyższej kadry kierowniczej. W ramach szkoleń wprowadzających adresowanych do nowych pracowników oraz utrwalających przeznaczonych dla już zatrudnionych powinny być prezentowane wszystkie zasady dotyczące pamięci USB.
• Kolejnym działaniem może być opracowanie programu wymiany starych urządzeń. Można stworzyć program umożliwiający pracownikom wymianę prywatnych pamięci USB lub pamięci USB wykorzystywanych w celach służbowych i do przechowywania danych, a otrzymanych podczas targów branżowych i podobnych imprez na pamięci USB zatwierdzone do stosowania w firmie.

UWAGA: Brak wiedzy i przeszkolenia użytkowników końcowych powoduje bezużyteczność strategii zapobiegania wyciekom danych oraz podnosi poziom zagrożenia naruszeniem integralności informacji. Niedawno przeprowadzone przez instytut Ponemon badanie* wskazuje, że 72% pracowników używa darmowych pamięci przywiezionych z konferencji, targów, spotkań biznesowych itp. – nawet w organizacjach, które oferują „zatwierdzone” pamięci USB.

*Badanie instytutu Ponemon

Opracowanie i wdrożenie zasad

Należy ustalić zasady właściwego wykorzystania elektronicznych nośników przenośnych, a w tym pamięci flash USB. Podstawowe działania obejmują:

• identyfikację tych osób i grup, które muszą posiadać dostęp do danych wrażliwych i poufnych oraz mogą pobierać je na szyfrowane pamięci USB oraz ustalenie zasad uzyskiwania przez tych pracowników dostępu do tego typu danych;
• opracowanie tych zasad w formie pisemnej i przekazanie ich zespołom IT i użytkownikom końcowym;
• zobowiązanie wszystkich pracowników do udziału w szkoleniu oraz potwierdzeniu podpisem zrozumienia zasad dopuszczalnego użytkowania oraz konsekwencji nieprzestrzegania wytycznych.

UWAGA: Nieopracowanie odpowiednich zasad, do przestrzegania których zobowiązani są wszyscy pracownicy może spowodować osłabienie strategii zabezpieczenia danych w wyniku niewłaściwego korzystania z pamięci USB. Ustalenie zasad jest zaledwie pierwszym krokiem, jednak ma on niezwykle duże znaczenie. Wnioski z badania instytutu Ponemon podkreślają konieczność opracowania i wdrożenia zasad wykorzystania pamięci USB. Ujawniono, że w ciągu ostatnich dwóch lat w niemal 50% organizacji dochodziło do zagubienia nośników zawierających wrażliwe lub poufne informacje.

Dostępność pamięci USB zatwierdzonych do stosowania w firmie

Pracownikom należy zapewnić dostęp do zatwierdzonych szyfrowanych pamięci flash USB do użytku w miejscu pracy. Zatwierdzone pamięci flash USB powinny posiadać następujące cechy:

• sprawdzone 256-bitowe szyfrowanie sprzętowe AES. Zabezpieczenia sprzętowe zapewniają przenośność i zaawansowane szyfrowanie przewyższające rozwiązania bazujące na oprogramowaniu urządzenia hostującego;
• przestrzeń przeznaczona na dane użytkownika powinna być w całości zaszyfrowana, nie może być dostępna możliwość zapisania danych bez zabezpieczenia;
• sprzętowe uwierzytelnianie z wymogiem podania hasła i blokowaniem dostępu do danych w wyniku określonej liczby nieudanych prób logowania;
• zgodność z normami FIPS określonymi dla danej branży lub zgodnymi z potrzebami firmy: FIPS 197 lub FIPS 140-2 Level 3.

UWAGA: Nieudostępnienie pracownikom szyfrowanych pamięci USB i brak odpowiednich zasad zapewniających użytkownikom zachowanie produktywności prowadzi zazwyczaj do sytuacji, w której pracownicy obchodzą zabezpieczenia zmuszeni okolicznościami.

Zarządzanie uwierzytelnionymi pamięciami USB i blokowanie urządzeń niezatwierdzonych

Do zarządzania poszczególnymi urządzeniami pamięci flash USB służy odpowiednie oprogramowanie. Oprogramowanie umożliwiające scentralizowane zarządzanie poszczególnymi urządzeniami pozwala na administrowanie pamięciami w sieci LAN i przez Internet oraz stanowi doskonałe narzędzie do:

• wprowadzania i egzekwowania zasad użycia szyfrowanych pamięci USB na poziomie poszczególnych użytkowników lub grup;
• kontrolowania operacji na plikach i lepszego nadzorowania danych trafiających do organizacji i ją opuszczających;
• zdalnego wykonywania kopii zapasowych zawartości urządzeń użytkowników przenoszących dane o znaczeniu krytycznym;
• zdalnego dezaktywowania urządzeń po ich zgubieniu lub naruszeniu zabezpieczeń oraz ustalania haseł zapomnianych przez użytkowników.

UWAGA: Niezastosowanie oprogramowania do zarządzania uwierzytelnionymi pamięciami oznacza, że na urządzenia będzie można kopiować dane wrażliwe i udostępniać je osobom postronnym, a organizacja stanie się kolejną pozycją na długiej liście podmiotów, w których utracono lub ukradziono ważne dane.

Szyfrowanie poufnych danych

• Aby zagwarantować bezpieczeństwo danych, należy je szyfrować przed wysłaniem w wiadomości e-mail lub zapisaniem na wymiennych urządzeniach magazynujących.
• W przypadku organizacji pracujących na poufnych lub wrażliwych danych (np. finansowych, zdrowotnych, urzędowych) szyfrowanie jest najbardziej godnym zaufania sposobem ochrony informacji.
• Zastosowanie powyższych wskazówek pozwoli przekształcić organizację w „bezpieczną przystań” i chronić ją przed karami lub procesami wynikającymi z nowych przepisów dotyczących ujawniania przypadków utraty danych.

UWAGA: Informacje zapisywane w pamięciach USB w postaci niezaszyfrowanej mogą paść łupem hakerów, którzy są w stanie obejść oprogramowanie antywirusowe, zapory i inne zabezpieczenia. Dodatkową warstwę ochrony zapewnia pamięciom IronKey rozwiązanie On-Device Cryptochip.

Zabezpieczenia antywirusowe we wszystkich punktach dostępowych

• Należy zagwarantować, aby każdy system komputerowy był wyposażony w aktualne oprogramowanie antywirusowe.
• Pod uwagę należy brać w szczególności oprogramowanie uniemożliwiające przeniesienia złośliwego oprogramowania na pamięci USB używane w komputerach spoza organizacji.

UWAGA: Nowe zagrożenia pojawiają się z zatrważającą szybkością, a ich źródła mogą być wszędzie – w wiadomości e-mail, witrynie internetowej lub na nośniku wymiennym, takim jak pamięć USB lub płyta CD. Aktualne oprogramowanie antywirusowe jest niezbędne dla zachowania bezpieczeństwa sieci firmy i zabezpieczenia jej przed znanymi i nieznanymi zagrożeniami.