Jeszcze nie tak dawno temu, aby zadbać o bezpieczeństwo informatyczne firmy, wystarczyło odpowiednio zabezpieczyć komputery oraz sieć w siedzibie przedsiębiorstwa. Dziś, gdy dane są w chmurze, wyzwania są inne – i większe.
Utrata urządzenia pracownika to nie tylko ryzyko dostępu do lokalnych dysków, ale także do danych, których na urządzeniu nie ma – ale są w chmurze, do której użytkownik też ma dostęp. Wyobraź sobie sytuację, w której Twojemu dyrektorowi finansowemu ktoś ukradnie laptopa. Albo taką, w której Twoja kadrowa zostawi na sklepowej ladzie telefon, w którym będzie zalogowana do firmowego konta. Jeśli urządzenia te nie będą odpowiednio zabezpieczone, w Twojej firmie szybko może zrobić się bardzo gorąco. Zobacz, jakich narzędzi można (a nawet trzeba) użyć, by temu zapobiec.
Bezpieczeństwo firmowych danych w chmurze
Oczywiście w teorii wszystko wygląda pięknie. Przecież firma wdrożyła politykę bezpieczeństwa. Regularnie przeprowadzacie też wśród pracowników szkolenia zwiększające świadomość na temat zagrożeń w sieci.
Prawda jest jednak brutalna, a statystyki nieubłagane. Kiedy spojrzymy na przykład na dane dotyczące chmury, to okaże się, że aż za 95% incydentów dotyczących bezpieczeństwa odpowiadają użytkownicy.
Dlatego też dostawcy rozwiązań chmurowych zatrudniają szereg specjalistów odpowiedzialnych za odpowiednie zabezpieczenie danych swoich klientów. Standardem stały się też niezależne certyfikaty, takie jak ISO 27018, SOC 3 czy FedRAMP. Do tego dochodzą udostępniane administratorom narzędzia, dzięki którym mogą oni kontrolować siłę haseł czy wymuszać weryfikację dwuskładnikową (m.in. za pomocą tokenów U2F).
Często jest jednak tak, że im większa firma, tym większe wyzwania w kwestii odpowiedniego zabezpieczenia danych. Duże przedsiębiorstwa potrzebują zaawansowanych mechanizmów zabezpieczeń, zarządzania i zgodności. A producenci na te potrzeby odpowiadają. Przykładem może być tu Google Workspace w wersji Enterprise, które wkłada w ręce administratorów szereg dodatkowych narzędzi, chroniących konta użytkowników przed wyciekami danych.
Trzy narzędzia w konsoli administratora, które robią różnicę
Jako trzy najważniejsze narzędzia w wersji Enterprise pakietu Google Workspace wymieniane są najczęściej Centrum Bezpieczeństwa, reguły DLP dla Dysku oraz dostęp zależny od kontekstu. Możliwości, jakie dają te narzędzia, zostaną szeroko omówione podczas darmowego webinaru Bezpieczeństwo i automatyzacja pracy w chmurze, o którym więcej informacji znajdziesz na końcu artykułu.
Dostęp zależny od kontekstu
Dostęp zależny od kontekstu to narzędzie, dzięki któremu administrator może stworzyć szczegółowe zasady dostępu do wybranych aplikacji albo całego pakietu Google Workspace. Warunki te może oprzeć na takich atrybutach, jak tożsamość użytkownika, stan zabezpieczeń urządzenia, adres IP czy nawet lokalizacja.
Pamiętasz telefon z pierwszego akapitu, który teraz leży na sklepowej ladzie? A co, jeśli pani kadrowa nie zabezpieczyła swojego smartfona PIN-em? Dzięki omawianemu narzędziu administrator może zezwalać na dostęp do aplikacji tylko na firmowych komputerach, jedynie w ramach firmowej sieci czy wyłącznie z poziomu urządzeń chronionych silnym hasłem. Może też na przykład nie zezwolić na logowanie się do konta osobom, które przebywają w jakimś konkretnym kraju.
Kiedy dostęp zostanie już przyznany, będzie on cały czas poddawany weryfikacji. Wyjątek stanowią aplikacje SAML, gdzie ocena dokonywana jest każdorazowo podczas logowania.
Reguły DLP dla Dysku
Google Workspace w planie Enterprise udostępnia swoim klientom możliwość tworzenia reguł ochrony przed utratą danych. Są to zasady, za pomocą których można zwiększyć kontrolę nad przechowywanymi na Dysku Google treściami, które użytkownicy chcą udostępnić poza organizację. Jak to działa w praktyce?
- Administrator tworzy regułę DLP – określa, jakie treści powinny być chronione (np. numery kart kredytowych, pliki z umowami czy dane osobowe pracowników); jakie zdarzenia mają zostać uznane za niepożądane (np. udostępnienie pliku użytkownikowi spoza domeny lub danego działu firmy) oraz jakie działanie ma zostać podjęte po wykryciu incydentu (np. blokada dostępu oraz wysłanie alertu administratorowi).
- Narzędzie DLP skanuje Dysk (zarówno indywidualne dyski użytkowników, jak i dyski współdzielone) w poszukiwaniu przypadków naruszenia zdefiniowanych reguł.
- Jeśli dojdzie do wykrycia incydentów DLP, narzędzie podejmuje określone w regule działania.
Ten prosty proces pomaga trzymać pieczę nad zdarzeniami, o istnieniu których w innym wypadku administrator mógłby się w ogóle nie dowiedzieć.
Centrum Bezpieczeństwa
Centrum Bezpieczeństwa w konsoli administracyjnej Google Workspace zostało podzielone na trzy części – panel wyświetlający raporty, narzędzie do kontroli bezpieczeństwa oraz narzędzie pozwalające określić poziom bezpieczeństwa instancji.
Panel
Panel bezpieczeństwa pozwala wyświetlać zaawansowane raporty bezpieczeństwa. Administrator może tu zdefiniować domenę oraz zakres dat, których ma dotyczyć analiza. W narzędziu dostępne są informacje dotyczące m.in.:
- udostępniania plików poza domenę,
- liczby wiadomości uwierzytelnionych i zaszyfrowanych w danym czasie,
- podejrzanych załączników,
- podejrzanych działań na urządzeniach,
- nieudanych prób logowania,
- incydentów naruszenia reguł DLP.
Kiedy coś wzbudzi niepokój administratora, może on zagłębić się w raport do tego stopnia, że będzie na przykład miał dostęp do treści wysłanych lub otrzymanych wiadomości czy informacji o tym, co znajdowało się w pliku udostępnionym przez użytkownika poza organizację. Chcąc jeszcze bliżej przyjrzeć się danemu zdarzeniu, administrator będzie mógł skorzystać z narzędzia do analizy zagrożeń.
Narzędzie do analizy zagrożeń
Ta zakładka służy do identyfikowania w domenie problemów związanych z prywatnością i bezpieczeństwem. Przy jej pomocy można przeglądać dane dotyczące m.in. urządzeń, użytkowników czy wiadomości w Gmailu. Administrator może tu również wyświetlać na przykład zdarzenia z dzienników poszczególnych aplikacji (Dysku, Meet, Kalendarza, Gmaila), a także z dzienników administratorów, studia danych czy magazynu haseł. A to tylko wybrane opcje.
Poziom bezpieczeństwa
Strona określająca poziom bezpieczeństwa prezentuje stan konfiguracji konsoli administracyjnej. Można tu sprawdzić, jakie aspekty zostały ustawione w bezpieczny sposób, a jakie wymagają poprawy.
W przypadku zastosowania niewystarczających zabezpieczeń, aplikacja podpowiada administratorowi, co powinien zrobić, aby lepiej skonfigurować usługę. Na przykład przy Ustawieniach udostępniania na Dysku może pojawić się następująca rekomendacja: Włącz ostrzeżenie pokazywane za każdym razem, gdy użytkownicy próbują udostępnić plik poza domenę. Dzięki temu użytkownicy mogą zastanowić się nad tym, czy chcą wykonać daną czynność, i w razie potrzeby zmienić zdanie. Pozwala to zmniejszyć ryzyko wycieku danych.
Te zagrożenia nie zostały wymyślone
W ramach planu Enterprise konsola administracyjna Google Workspace wyposażona jest w narzędzia pozwalające na kontrolę i utrzymanie zabezpieczeń na naprawdę wysokim poziomie. W artykule wspomnieliśmy już o dwóch sytuacjach, które mogą ściągnąć na Twoją firmę niemałe kłopoty. Ale niefrasobliwość dyrektora finansowego i rozkojarzenie kadrowej to tylko wierzchołek góry lodowej.
Zastanów się, czy przy obecnym poziomie zabezpieczeń, jesteś w stanie odpowiednio zareagować, jeśli firmowa prawniczka udostępni konkurencji ostatnio wynegocjowaną umowę? I czy w ogóle kiedykolwiek się o tym dowiesz?
A co, jeśli nieuczciwy menedżer usunie ze swojej skrzynki wszystkie wiadomości świadczące o jego winie? Czy wybronisz się w sądzie, kiedy oskarży Cię o bezpodstawne zwolnienie?
Ale przecież bezpieczeństwo nie kończy się na ochronie interesów przedsiębiorstwa. Co zrobisz, kiedy okaże się, że Twoi pracownicy padli ofiarą oszustwa, ponieważ z firmowych serwerów wyciekły ich wrażliwe dane? Kto spłaci im te wszystkie – nieuczciwie zaciągnięte – kredyty?
Praktyczna wiedza na wyciągnięcie ręki
Temat zabezpieczeń w chmurze niewątpliwie wart jest zgłębienia. I właśnie nadarza się ku temu doskonała okazja. Już niedługo, bo 12 kwietnia 2022 r., odbędzie się darmowy webinar Bezpieczeństwo i automatyzacja pracy w chmurze. Meetup organizowany jest przez polskiego partnera Google Cloud – wrocławską firmę FOTC.
Podczas wydarzenia będziesz mógł dowiedzieć się, jak w praktyce wygląda konfigurowanie zaawansowanych funkcji bezpieczeństwa w konsoli administracyjnej Google Workspace. Na żywo zobaczysz też proces tworzenia aplikacji przy użyciu narzędzia AppSheet, które nie wymaga znajomości kodowania.
Szczegółowy program spotkania znajdziesz na stronie wydarzenia. Tam też można się na nie zarejestrować, do czego szczerze zachęcamy.
Dla pełnej przejrzystości – za publikację powyższego artykułu otrzymujemy wynagrodzenie.