Навчання з класифікації даних для співробітників

Менеджер по роботі з клієнтами в медичній компанії потребувала поділитися даними результатів пацієнтів з потенційним партнером. Вона відкрила аналітичну панель компанії, експортувала CSV та надіслала його на Gmail партнера. Експорт включав імена пацієнтів, дати лікування та коди рахунків. Вона не усвідомлювала, що все це було у файлі. Вона хотіла лише агреговані числа.

Компанія виявила інцидент через два тижні під час рутинного огляду DLP. На той час лист було переправлено всередині організації партнера. Потребувалося повідомлення про витік згідно з HIPAA. Юридичні витрати, усунення наслідків та штрафи склали понад $200 000. Все тому, що одна співробітниця не могла відрізнити агреговану статистику від захищеної медичної інформації в електронній таблиці.

Цей тип інцидентів відбувається постійно. Не тому, що співробітники недбалі, а тому, що ніхто не навчив їх дивитися на дані та запитувати: “Що я насправді тримаю?”

Навчання з класифікації даних вчить співробітників категоризувати інформацію за рівнем конфіденційності та застосовувати правильні процедури обробки для кожної категорії. Типова рамка класифікації використовує чотири рівні: Публічні, Внутрішні, Конфіденційні та Обмежені. Кожен рівень відображається на конкретні правила про те, хто може мати доступ до даних, як ними можна ділитися, де їх можна зберігати та що відбувається, якщо вони витікають. Звіт IBM Cost of a Data Breach 2024 виявив, що зломи, пов’язані з неправильно ідентифікованими або класифікованими даними, коштують організаціям в середньому на $223 000 більше.

Більшість організацій мають політику класифікації даних десь на інтранеті. Навчання повинно перекласти мову політики в конкретні приклади. “Адреси електронної пошти клієнтів це Внутрішні. Номери соціального страхування це Обмежені. Опубліковані блог-пости це Публічні.”

Одна електронна таблиця може містити публічні агреговані числа поряд з персонально ідентифікуючою інформацією. Елемент найвищої конфіденційності в будь-якому файлі визначає класифікацію всього файлу. Наша вправа з основ класифікації даних формує цей інстинкт сканування через реалістичні сценарії.

Деякі організації бачать протилежну проблему: співробітники класифікують все як Конфіденційне або Обмежене, щоб уникнути неприємностей. Коли все позначено Конфіденційним, нічого не трактується як Конфіденційне.

Зберігання. Обмежені дані ніколи не повинні зберігатися в особистих папках пошти, файлах робочого столу або незатверджених хмарних сервісах. Ось де тіньовий IT створює реальний ризик. Наша вправа з контролів хмарного обміну охоплює цей сценарій.

Обмін. Внутрішніми даними можна ділитися вільно. Конфіденційні дані вимагають верифікації бізнес-потреби отримувача. Обмежені дані зазвичай потребують затвердження менеджмента та повинні надсилатися через зашифровані канали.

Реагування на інциденти. Якщо співробітник знаходить Обмежені дані в публічному Slack-каналі, він повинен знати, до кого звернутися. Наша вправа з витоку даних симулює саме цей момент.

Хтось додає зовнішнього партнера до внутрішнього Slack-каналу з Конфіденційними даними проєкту. Хтось ділиться папкою Google Drive з “будь-хто з посиланням”. Тренування безпечних практик обміну допомагає.

Виявлення інсайдерських загроз частково залежить від класифікації. Без класифікації інструменти DLP не можуть розрізнити нормальну та підозрілу активність. Наші вправи з інсайдерських загроз та мінімальних привілеїв навчають, як класифікація з’єднується з контролем доступу.

Регуляторні рамки не зважають на те, чи співробітник “мав на увазі” розкрити дані. Класифікація даних це те, як організації перекладають регуляторні вимоги на поведінку співробітників. Навчання з GDPR стає дієвим, коли співробітники можуть ідентифікувати, що становить особисті дані. Вимоги комплаєнсу стають виконуваними, коли співробітники знають, до якого рівня належать їхні дані.

Представте співробітникам 20 зразків даних і попросіть класифікувати кожен. Більшість організацій виявляють, що співробітники добре справляються з крайностями (Публічні та Обмежені), але мають труднощі з межею Внутрішні/Конфіденційні.

Відстежуйте кількість порушень політики DLP на квартал. Тенденція до зниження після навчання свідчить, що навчання працює.

Сформуйте інстинкти класифікації даних у вашій команді. Почніть з нашої вправи з основ класифікації даних та вправи з запобігання витоку даних, потім перегляньте наші каталоги кібербезпеки та конфіденційності та комплаєнсу для комплексного навчання захисту даних.