Bezpečnost dokumentů: Obchod s důvěrou

Všechny informace vycházejí z výzkumu společnosti ICM, která pro Canon Europe zjišťovala informace o únicích dat mezi evropskými firmami.

Začneme zajištěním fyzické bezpečnosti. Téměř všechny firmy mají hlasitý alarm, kódem chráněné dveře, hlásič požáru a pojistku. Stejně důležitá jako ochrana fyzického majetku je ale ochrana intelektuálního vlastnictví každé firmy. A ten je často uložen ve formě dokumentů – faktur, smluv, výplatních pásek či obchodních strategií.

Firmy ale ochraně svých dokumentů nevěnují zdaleka takovou pozornost, jako bezpečnostním dveřím. Proč firmy zanedbávají ochranu svých dokumentů, a jak se mohou bránit úniku dat? Na to se podíváme v následujících řádcích.

Značná část firem chrání citlivé informace zabezpečením IT systémů proti hrozbám, jako jsou viry, hackeři a phishingové útoky. Firewally a antiviry je ale neochrání proti interním útokům a únikům informací. Pokud zvážíme, že čtyři z deseti zaměstnanců už někdy viděli citlivé firemní dokumenty a třetina zaměstnanců má k těmto informacím pravidelný přístup, je zřejmé, že by této problematice mělo vedení firem věnovat větší pozornost. A pokud tato čísla poměříme se skutečností, že 82 % evropských manažerů pokládá důvěru v zaměstnance za nejlepší způsob prevence úniku interních informací, je zřejmé, že jde o závažný problém.

Bezpečnost dokumentů nemůže záviset na pouhé důvěře. Důvěra zaměstnancům nenabízí žádná vodítka, neříká jim, co si pod narušením důvěrnosti a únikem dat mají představit. A pokud zaměstnanci neví, co se od nich očekává, mohou snadno nevědomky uvolnit informace, které jsou pro firmu důležité a citlivé.

Pozornost s ohledem na zajištění informační bezpečnosti si zaslouží i dočasní pracovníci, které spousta firem využívá. Vždyť jen čtvrtina evropských firem "vždy" provádí bezpečnostní kontrolu svých brigádníků. Brigádníci a dočasné pracovní síly do firmy přicházejí často narychlo, bez podepsané smlouvy či odpovídajícího zaškolení. Brigádníci přitom mají často přístup k firemním tiskárnám a kopírkám, byť se toto číslo mezi jednotlivými státy výrazně liší – od 46 % ve Velké Británii po 20 % v Rakousku.

Z výše uvedeného vyplývá, že prvním krokem k informační bezpečnosti v rámci firmy je stanovení jasných pravidel, která odpovídají platným legislativním normám, jako je Zákon o ochraně osobních údajů. Tato pravidla by měli vedoucí pracovníci vysvětlit všem zaměstnancům a trvat na jejich dodržování.

Dalším krokem v zajištění firmy před vnitřními i vnějšími hrozbami v oblasti dokumentů je efektivní implementace bezpečnostních nástrojů pro IT i tiskárny a multifunkční zařízení. Téměř všechny firmy využívají ochranu přístupu k počítačům a podnikové síti heslem pro konkrétní zaměstnance. Ochrana přístupu k počítači je však jen poloviční, pokud nebudeme chránit také přístup k tiskárnám, a právě tuto oblast značná část firem zanedbává. Právě na tiskárně viděla více než třetina zaměstnanců citlivé informace. Šlo například o detaily o finančním ohodnocení zaměstnanců, osobní údaje kolegů, finanční informace o firmě, strategické materiály či předpoklady dalšího vývoje, které spatřilo až 88 % zaměstnanců. Navíc 21 % zaměstnanců věří, že je čtení cizích dokumentů u sdílené tiskárny či kopírky v pořádku. Dalších 38 % zaměstnanců mělo přístup k informacím, které ležely u tiskárny, nebo pracují s někým, kdo tuto příležitost měl.

Existuje řada způsobů, jak firemní tiskárnu zabezpečit. Ochrana heslem nebo používání čipových karet je efektivní a často používaný způsob pro zajištění kontroly nad tím, kdo, co a kdy tiskne. Na trhu jsou již dnes dostupné i biometrické možnosti ověření identity uživatele – a firmy je využívají. Se snímáním otisků prstu či skenování sítnice se nejčastěji setkáme v bankách a podobných institucích, kde je zajištění bezpečnosti informací skutečně důležité.

Hesla vhodně doplňují dostupná softwarová řešení, která nabízejí úplnou kontrolu nad tiskem a dalším využitím multifunkčních zařízení. Tyto softwarové systémy lze instalovat na firemní server a sledovat, kdo a kdy přistoupil ke konkrétnímu dokumentu, co s ním dělal, a komu jej případně odeslal. Některá řešení navíc nabízejí podporu šifrování dokumentů prostřednictvím standardu DES, které dále chrání dokumenty před neoprávněným přístupem. Další výhodou těchto systémů je možnost přesně sledovat pohyb dokumentů ve firemní síti prostřednictvím digitálního podpisu přiděleného každému archivovanému dokumentu.

Softwarová řešení navíc přinášejí podporu autorizace elektronických dokumentů, která umožní zajistit důvěrnost dokumentů a určit zodpovědnost konkrétních zaměstnanců. Firma tak například může nastavit různé úrovně práv pro přístup k PDF dokumentům. Například sekretářka má u smluv s klienty pouze právo dokument otevřít a přečíst z něj potřebné údaje. Podnikový právník však smlouvy může také tisknout a editovat.

Bez ohledu na to, jaké firma zvolí metody pro zabezpečení citlivých dokumentů, měla by také zajistit omezení práva takové dokumenty tisknout. Důvod je prostý – i když dokument vytiskne osoba, která k němu má mít přístup, může takový dokument zůstat ve fyzické kopii přístupný ve výstupním zásobníku tiskárny a někdo cizí si jej může přečíst. Přitom stačí zavést jednoduché pravidlo čistých stolů, podle nějž musí být každý fyzický dokument uklizen do patřičného pořadače, mimo nepovolaných osob. Alespoň na konci každého pracovního dne.

Tyto jednoduché kroky sice nejsou 100% neprůstřelné, ale přesto dokáží značně snížit riziko spojené se ztrátou citlivých dat, rozhodně více, než spoléhání se na zaměstnance. Jasně definovaná pravidla a jejich dodržování pomohou vytvořit bezpečnější pracovní prostředí. Zavedení kontroly přístupu k tisku pak zabrání zbytečnému okounění a špehování cizích dokumentů. A omezení přístupu k síťovému multifunkčnímu zařízení spolu se sledováním přístupu k elektronickým dokumentům dokáže zabránit tomu, aby informace, na nichž stojí budoucnost vaší firmy, padly do špatných rukou.

Zdroj: Canon