Što su podaci u sjeni i kako možete umanjiti štetu?

Ne možete biti sigurni da su podaci vaše organizacije skriveni od znatiželjnih očiju čak i nakon implementacije najnovijih rješenja za sigurnost podataka. Akteri prijetnji mogu ciljati podatke u sjeni u vašoj tvrtki kako bi uzrokovali povrede podataka, uzrokujući kaos po ugledu i financijama vaše tvrtke.

Ali što su točno podaci u sjeni i kako možete minimizirati njihove rizike? Hajde da vidimo.

Što su podaci u sjeni?

Podaci u sjeni (poznati i kao "sjena podataka") odnose se na podatke koji nisu vidljivi vama ili centraliziranom okviru za upravljanje podacima vaše organizacije.

Organizacije koriste razne rješenja za sigurnost podataka za otkrivanje, klasificiranje i zaštitu podataka. Podaci u sjeni, budući da su izvan vidokruga alata koje koristite za praćenje i evidentiranje pristupa podacima, predstavljaju mnoge ozbiljne probleme usklađenosti i sigurnosti.

Primjeri podataka u sjeni uključuju:

• Razvojni timovi često koriste stvarne korisničke podatke za testiranje, što može biti riskantno jer neodgovarajuća sigurnost može dovesti do curenja ili zlouporabe.
  instagram viewer
• Tvrtka može imati stari softver koji više ne koristi, vjerojatno čuva važne podatke kojima se ne upravlja (i stoga rizik izloženosti).
• Aplikacije stvaraju datoteke dnevnika koje mogu sadržavati osjetljive informacije koje bi mogle biti izložene ako se ne nadziru ili ne provjeravaju.
• Tvrtke često koriste usluge trećih strana za različite zadatke, a dijeljenje podataka s tim uslugama može biti rizično ako nemaju jake sigurnosne mjere.

Dakle, raspravimo o načinima na koje se podaci u sjeni razlikuju od IT-a u sjeni.

Kako se podaci u sjeni razlikuju od IT-a u sjeni?

Shadow IT odnosi se na neovlašteni hardver i softver koji se koristi unutar organizacije. To može biti zaposlenik koji koristi neodobrenu aplikaciju za razmjenu poruka ili projektni tim koji koristi softver treće strane bez znanja vašeg IT odjela.

Podaci u sjeni, s druge strane, podaci su koji nisu vidljivi vašim alatima za sigurnost podataka ili podaci koji su izvan politike sigurnosti podataka vaše tvrtke.

Kao što vaš IT tim ne zna kakva je to sjenka, podaci koji se obrađuju na neovlaštenom hardveru i softveru bit će nepoznati vašim rješenjima za sigurnost podataka. Kao rezultat toga, podaci spremljeni ili podijeljeni na IT-u u sjeni postaju podaci u sjeni.

Dakle, ako zaposlenik sprema datoteke tvrtke u osobnu pohranu u oblaku, to su podaci u sjeni.

Iako oba predstavljaju rizike, priroda takvih rizika varira. Shadow IT izlaže organizaciju potencijalnim mrežnim ranjivostima i problemima usklađenosti. Podaci u sjeni posebno ugrožavaju neovlašteni pristup osjetljivim datotekama i informacijama.

Shadow IT je sredstvo za rizik, dok su podaci u sjeni stvarni korisni teret koji bi mogao biti ugrožen.

Kako se podaci u sjeni razlikuju od tamnih podataka?

Tamni podaci su informacije koje vaša tvrtka prikuplja tijekom normalnog poslovanja, ali se ne koriste u druge svrhe. Tvrtka će zadržati takve informacije iz pravnih razloga, a pohranjuju se u različitim odjelima. Ovi neaktivni podaci mogu biti sigurnosni rizik.

Primjeri tamnih podataka mogu uključivati ​​informacije o vašim bivšim zaposlenicima, interne prezentacije, stare ankete kupaca, arhive e-pošte itd.

Glavna razlika između mračnih podataka i podataka u sjeni je u tome što vaša tvrtka generira mračne podatke unutar svoje IT infrastrukture tijekom redovnog poslovanja. Ove podatke ne koristite u druge svrhe. I možete ga smatrati zastarjelim, suvišnim ili nedovoljnim da bi s vremenom bio vrijedan.

Nasuprot tome, podaci u sjeni stvaraju se na dva načina:

• Namjerno generiran od strane IT-a u sjeni izvan vaše IT infrastrukture.
• Nesvjesno uzrokovano prekomjernim dijeljenjem u vašoj tvrtki.

Tamni podaci mogu biti podskup podataka u sjeni. Na primjer, nevažan izlaz iz aplikacije su i tamni podaci i podaci u sjeni.

Kako nastaju podaci u sjeni?

Postoje neki ključni razlozi zašto se podaci u sjeni pojavljuju.

Prvo, vaš DevOps tim, pod pritiskom da radi brzo, može preskočiti sigurnosne korake. To može dovesti do rizika podataka u sjeni. Tim bi mogao brzo aktivirati i deaktivirati instance oblaka, ostavljajući nezapažene podatke kojih IT ili timovi za zaštitu podataka nisu svjesni.

Drugo, porast kulture rada na daljinu potaknuo je upotrebu specijaliziranih alata za zadatke poput komunikacije i dijeljenja zaslona. Vaši zaposlenici mogu koristiti usluge trećih strana za to, nesvjesno stvarajući podatke u sjeni.

Povrh toga, IT u sjeni uključuje korištenje neovlaštenih tehničkih alata od strane zaposlenika. Kada pohranjuju ili dijele podatke pomoću ovih alata, oni postaju podaci u sjeni, koji postoje izvan odobrenih sustava i nadzora vaše tvrtke.

Ako vaša tvrtka radi u okruženjima s više oblaka, učinkovito praćenje podataka u različitim okruženjima u oblaku može biti izazovno. To također može dovesti do nakupljanja podataka u sjeni.

Na kraju, vaši zaposlenici mogu spremati osjetljive datoteke na svoje tvrde diskove ili osobnu pohranu podataka u oblaku (kao što je Google Drive ili OneDrive) račune bez autorizacije, čuvajući te datoteke izvan vašeg upravljanja podacima sustav.

Kako minimizirati rizike podataka u sjeni

Pojava podataka u sjeni ne može se u potpunosti zaustaviti, budući da je često nusprodukt redovitog poslovanja organizacije.

Međutim, sljedeće metode mogu ublažiti sigurnosne rizike koje podaci u sjeni predstavljaju za vašu tvrtku.

1. Otkrijte i zaštitite svoje podatke

Vaši timovi za sigurnost i usklađenost moraju provjeriti sva spremišta podataka, podatkovna jezera, okruženja kojima upravlja oblak i SaaS (softver kao usluga) aplikacije koje mogu imati vrijedne podatke.

Nakon što ste identificirali podatke u svim svojim spremištima podataka, morate klasificirati podatke kako biste implementirali odgovarajuće sigurnosne kontrole. Prilikom otkrivanja i klasificiranja vaših podataka, osigurajte da možete uključiti polustrukturirane i nestrukturirane podatke u sustav upravljanja sigurnošću podataka osim strukturiranih podataka.

U idealnom slučaju, trebali biste koristiti alat koji može prebaciti vaše repozitorije podataka u jedan izvor i omogućiti vam pristup nadzornoj ploči. To će vam pomoći da brzo otkrijete nenormalno ponašanje.

Također pomaže u ograničavanju dopuštenja podataka i pristupa kako bi se izbjeglo da podaci u sjeni padnu u pogrešne ruke. Samo potrebno osoblje treba imati pristup određenim informacijama, posebice onima koje su osjetljive prirode. Omogućavanje barijera pristupa osigurava da samo traženi pojedinci mogu vidjeti ili koristiti određene podatke.

2. Upravljajte pojavom i akumulacijom IT-a u sjeni

Učinkovito upravljanje IT-om u sjeni može smanjiti rizike povezane s podacima u sjeni. Kada imate kontrolu nad softverom i platformama koje koristite, lakše je zaštititi podatke unutar tih sustava.

Omogućite svojim zaposlenicima prave alate za učinkovito obavljanje posla, pojednostavljujući provjeru i odobrenje proces usvajanja novog tehnološkog alata i osvješćivanje vaših zaposlenika o rizicima u sjeni IT može vam pomoći u upravljanju u sjeni TO.

Kao rezultat toga, možete kontrolirati količinu podataka u sjeni koje generira IT u sjeni u vašoj tvrtki.

3. Implementirajte pravila sigurnosti na prvom mjestu

Osigurajte da je kibernetička sigurnost temeljna komponenta životnog ciklusa razvoja softvera (SDLC) vaše tvrtke. Timovi za usklađenost i sigurnost trebali bi imati potpunu vidljivost DevOpsa i radnji programera u odnosu na podatke.

Prava pravila sigurnosti i usklađenosti koja su uspostavljena od početka SDLC-a mogu pomoći u smanjenju količine podataka u sjeni koje su stvorili DevOps timovi i programeri.

Također, trebali biste izraditi pravila za redovito brisanje podataka u sjeni.

4. Obučite svoje zaposlenike

Vaši su zaposlenici prva obrana od bilo kakvih podataka u sjeni ili rizika kibernetičke sigurnosti. Smatrati stvaranje solidnog programa obuke zaposlenika za kibernetičku sigurnost kako biste educirali svoje zaposlenike o rizicima podataka u sjeni i kako mogu izbjeći stvaranje podataka u sjeni.

Također, osigurajte da programi kibernetičke sigurnosti ne budu godišnja stvar vaše tvrtke. Pokušajte planirati više malih obuka tijekom godine, pokrivajući kako identificirati podatke u sjeni, sigurno pohraniti podatke i zaštititi imovinu osjetljivih podataka.

Podaci u sjeni veliki su sigurnosni rizik

Minimiziranje rizika povezanih s podacima u sjeni ključno je za zaštitu osjetljivih informacija. Podaci izvan kontrole tvrtke osjetljivi su na neovlašteni pristup, povrede podataka i curenje podataka. To može dovesti do pravnih posljedica, štete ugledu i gubitka povjerenja kupaca.

Stoga je upravljanje podacima u sjeni ključno za cjelokupnu kibernetičku sigurnost.