Nedělejte stejnou chybu jako Target a Home Depot. Chraňte svá data pomocí těchto tipů

Pokud jde o prevenci úniku dat, jste tak bezpeční, jak bezpečný je váš nejslabší článek. I po proškolení svého týmu a investici do nejnovějšího bezpečnostního softwaru má většina společností slepé místo: prodejci. Jste závislí na různých dodavatelích, kteří zajišťují vše od správy zásob po účetnictví, reklamu, zákaznickou podporu a další činnosti. Mnozí z těchto dodavatelů mají přímý přístup k vašim nejcitlivějším systémům a datům. Společnosti Target, Home Depot a nespočet dalších se tuto lekci naučily na vlastní kůži.

Většina firem ani neví, kolik dodavatelů má přístup k jejich datům, natož aby věděla, kteří zaměstnanci dodavatelů mají oprávnění k přístupu k nim. Výsledkem jsou tisíce potenciálních bodů selhání, které mohou vést k úniku dat.

Co můžete udělat pro to, abyste přiměli dodavatele k odpovědnosti? Položte každému dodavateli těchto 5 otázek, abyste zjistili, jak dobře chrání vaše data:

1. Kdy jste naposledy provedli penetrační test?

Podstoupení těchto testů je bolestivé a nákladné, často si vyžádá měsíce příprav a poplatky přesahující 15 000 USD. Dělají víc než jen to, že identifikují kritické slabiny. Signalizují, že vedení má určitou míru pokory a intelektuální poctivosti.

Každý tým, který přijímá penetrační testy, je ochoten přiznat své slabiny a aktivně pracovat na jejich zlepšení. Takový přístup k zabezpečení se z dlouhodobého hlediska ukáže jako mnohem úspěšnější.

2. Jak často procházejí zaměstnanci prodejců bezpečnostním školením?

Zabezpečení dat není statický stav. Hackeři se každý den snaží naučit nové taktiky a tým vašich dodavatelů se musí přizpůsobit, aby s nimi udržel krok. To vyžaduje průběžné školení. Doporučujeme každé čtvrtletí uspořádat sezení s výukovými programy, které rozeberou příklady z reálného světa a ukáží, jak snadno se zdánlivě malá chyba může zvrtnout ve vážný problém.

Zaměstnanci jsou zároveň vaší největší výhodou i zranitelností. Dokážou identifikovat a eliminovat pokusy o phishing, které by jinak zůstaly neodhaleny. Podle zprávy Verizon Data Breach Report 2017 však také v loňském roce podlehli sociálnímu inženýrství ve 43 % případů narušení bezpečnosti.

3. Kolik zaměstnanců sdílí hesla?

Nikdo si takové věci nepřipouští rád. Je to záměrně provokativní otázka, která odhaluje přístup vedení k bezpečnosti stejně jako jejich skutečné vnitřní kontroly.

Pokud jsou rozhořčení a tvrdí, že „zakazují“ zaměstnancům sdílet hesla, mějte obavy. To znamená, že jsou mimo a nechtějí si připustit, že skutečný svět málokdy odpovídá zásadám na papíře. Mnohem lepším znamením je, pokud hovoří o konkrétních nástrojích a taktikách, které zavedli, aby snížili pravděpodobnost, že někdo bude sdílet hesla.

4. Který z vašich zaměstnanců přistupoval k datům mé společnosti v posledních 24 hod?

Pokud dodavatel nedokáže včas odpovědět na tuto otázku, nemá zavedeno dostatečné monitorování, aby odhalil a identifikoval zdroj narušení dříve, než již došlo ke škodám.

5. Které certifikace shody jste absolvovali?

I když shoda s předpisy není totéž co bezpečnost, signalizuje, že prodejce významně investoval do standardizace bezpečnostních postupů, a zavádí úroveň přísnosti, která snižuje riziko narušení bezpečnosti.

Pokud vám váš dodavatel prodává jakoukoli formu softwaru, zeptejte se, zda splnil požadavky SOC2 nebo ISO27001. Tyto režimy dodržování předpisů vyžadují, aby dodavatelé definovali a sledovali, jakým způsobem se přistupuje k datům.

Nepřijímejte odpovědi prodejců jen jako evangelium. Pokud nesplňují vaše standardy, trvejte na nápravě do stanoveného termínu. Změna dodavatele může být nákladná, ale pořád je to levnější než následky úniku dat.