A 21. századi vállalatok korábban soha nem látott mennyiségű adatot hoznak létre, tárolnak és kezelnek. Ezek között található kevésbé fontos és nagyon is szenzitív információkat tartalmazó. Elengedhetetlen tehát arról gondoskodni, hogy az adatvagyont saját berkein belül és biztonságban tudja azok tulajdonosa, a vonatkozó megfelelőségi szabályok betartása mellett. Mindez együtt magasszintű adatkezelést igényel, illetve számos eszköz telepítését és gyakorlat szabályozott alkalmazását. A legfontosabb feladatok egyike az adatosztályozás.

Itt az adat, de milyen az adat?

Leegyszerűsítve az adatosztályozás a szervezet birtokában levő információ szervezésének és bizonyos szempontok – például az érzékenységi és a kockázati szint vagy az adatokat védő compliance szabályok - alapján való elkülönítésének folyamata. Az adatok megvédéséhez be kell tudni azonosítani, hogy hol vannak, érzékenységük szerint osztályozni, majd adekvát módon jelölni kell. Ezt követően a szervezetnek gondoskodnia kell minden adatcsoport esetén arról, hogy csak a megfelelő jogosultságokkal rendelkezők férhetnek hozzá.

A helyesen végzett adatosztályozás könnyebbé, hatékonyabbá teszi az információ használatát és védelmét, valamint biztosítja az adatok bizalmasságát, integritását és elérhetőségét. Alapvetően három módszerrel végezhető el a feladat: a nagymértékben automatizálható tartalom- és kontextusalapú osztályozás mellett a felhasználó manuális válogatása, vagyis az emberi erővel történő besorolás ugyancsak létező gyakorlat.

Nem csupán a fenti módszerek szerint lehet megkülönböztetni az adatokat. Jellemzően a „hőmérsékletük” alapján is differenciálnak, vagyis más elbánásban részesülnek a forró és a hideg adatok. Fontosságuk és a hozzáférés gyakorisága szerint sorolják az információt ebbe a két kategóriába. A fontos és gyakran használt adatokat nevezik forrónak, értelemszerűen az inkább csak tárolt, de kevésbé használtakat hidegnek. Az elnevezés eredete az informatikai működés hőtani alapjaiból származik: előbbiek a processzorok és forgó diszkek termelte meleg közelében vannak, míg utóbbi, gyakran szalagos egységeken tárolt adatok ezektől a hőforrásoktól távolabb, hűvösebb környezetben „pihennek”.

Megfelelni a szabályozásoknak

Betett a GDPR az adatvezérelt vállalati működésnek
Az EU-ban működő cégeknél a GDPR bevezetése után átlagosan 26 százalékkal csökkent a tárolt adatok mennyisége, és 15 százalékkal kevesebb adatot dolgoznak fel, mint a hasonló amerikai cégek, azaz az uniós cégek működése kevésbé "adatintenzív". Az ok: az adatvédelmi rendelet átlagosan 20 százalékkal növelte az adatok kezelésével kapcsolatos költségeket. További részletek erre.

Többször is említettük már a megfelelőséget, érdemes kicsit körbejárni a témát, miről is van szó. A data compliance az érzékeny (és személyes) adatok szabályozói előírásokat, iparági szabványokat és belső szabályokat kielégítő módon való kezelését jelenti. Az adatok birtoklásának, tárolásának és kezelésnek megfelelően szabályozott módjával megakadályozható elvesztésük, ellopásuk, a velük elkövetett visszaélések vagy kompromittálódásuk.

Előírások és szabványok határozzák meg, hogy milyen adatokat és milyen módon kell védeni. A megfelelőség figyelmen kívül hagyásával vagy csak részleges teljesítésével komoly hátrányok érhetik a gazdálkodó szervezeteket. Az elmaradó biztonsági lépések adatvesztéssel járhatnak, a jogi feltételek be nem tartása pedig büntetést hozhat magával.

Napjaink egyik legforróbb témája ezen a téren a NIS2 (Network and Information Systems) bevezetése. Az Európai Unión belüli adatbiztonság általános növelésének céljából született szabályozás az elődjét hivatott lecserélni. 2023-as hatályba lépése számos vállalatot érint, október közepétől pedig kötelezően alkalmazni kell. Ehhez nem lesz elég néhány űrlapot helyesen kitölteni, ahhoz, hogy a regulációnak mindenben megfeleljen az adatok védelme, ezeket az első lépéseket kell végrehajtani.

Költségek

Az adatmentési és –helyreállítási rendszerekre fordított összegek mindaddig kidobott pénznek tűnnek, amíg nincsen szükség az átfogó megoldások nyújtotta biztonságra. Incidens esetén viszont sokkal nagyobb költségekkel kénytelenek szembenézni a vállalatok, mint amit a megfelelő védelem kialakítása és üzemeltetése jelentett volna. Az IBM és a Ponemon 2022-es felmérése szerint globálisan átlagosan 4,35 millió dollárba kerül egy adatszivárgás az érintett vállalat számára. Az adatvesztés általánosságban más skálán mozog a Verizon felmérésének adatai alapján: a kisebb incidensek 18-35 ezer dolláros veszteséget jelentenek, a nagyobbak viszont akár több mint 15 millió dolláros lyukat is üthetnek a pórul járt szervezetek büdzséjében (további részletek erre).

Természetesen pontos összeget csak az adott szervezet igényeinek és lehetőségeinek függvényében lehet meghatározni. Ennek behatárolásához jó tudni, hogy mely adatokat és hogyan kell védeni, valamint, hogy mekkora a megengedhető adatvesztés, illetve mennyi idő alatt kell sikeresen lezajlani a helyreállítás folyamatának (erről részletesebben itt írtunk). Általánosságban megállapítható, hogy az egyszerűbb adatmentési megoldások havonta és gigabyte-onként nagyjából 1 dollár körüli költséget jelentek, miközben egy összetettebb, nagyobb védelmet nyújtó megoldás ára 2-4 dollár között mozoghat.

Ez a cikk független szerkesztőségi tartalom, mely az EURO ONE Számítástechnikai Zrt. támogatásával készült. Részletek »