Egzekwowanie wytycznych Unii Europejskiej odn. Ochrony Danych (General Data Protection Regulation – GDPR) zbliża się wielkimi krokami. GDPR stworzy dodatkowe obowiązki dotyczące bezpieczeństwa i prywatności, które firmy i organizacje będą musiały spełnić. Kierownictwo nie powinno czekać na wymuszanie na sobie ich zastosowania. Zamiast tego dobrze byłoby zastanowić się, jak przygotować swoich pracowników, procesy i technologie by zapewnić firmie zgodność z wymogami, które zaczną obowiązywać już w połowie 2018 roku.
W każdej organizacji rozwiązania zabezpieczające dane osobowe będą inne, ale istnieją wspólne tematy dla spełniania wymagań GDPR. Implementacja najlepszych zabezpieczeń pozwoli firmom być lepiej przygotowanymi na zmiany, zmniejszyć ryzyko i koszty.
Zalecenia dla firm i organizacji:
1. Zrozum/ustal, jakie dane są Ci potrzebne i jakie dane zbierasz. Ile danych przetwarzasz i czy potrzebujesz je zbierać lub przechowywać. Miej dostęp do mechanizmów, które pozwolą Ci bezpiecznie usunąć bezużyteczne dane.
2. Zidentyfikuj przepływ danych osobowych w organizacji/firmie i to, jak są przetwarzane, zabezpieczone, przechowywane i usuwane.
3. Oceń czy obecny poziom bezpieczeństwa jest wystarczający, aby zapewnić ochronę przed nieuprawnionym przetwarzaniem i utratą danych.
4. Przejrzyj wszystkie powiadamiania o naruszeniu, aby ocenić, czy firma posiada odpowiednie narzędzia, aby podjąć odpowiednie działania, czyli zgłosić incydent – w nieprzekraczalnym terminie 72 godzin.
PRZYGOTOWANIE
- Data Loss Prevention (DLP)
Ochrona przed wyciekiem danych. Usługa mająca za zadanie zapobiegać przed wyciekiem niepowołanych czy też wrażliwych danych – z naszej firmy do sieci zewnętrznej.
- Privileged Acces Management (PAM)
ograniczenia dostępu do danych. Tutaj pomóc mogą rozwiązania typu Privileged Acces Management (PAM). PAM to narzędzie do monitorowania uprzywilejowanych użytkowników, które: zarządza dostępem do kont uprzywilejowanych; daje możliwość śledzenia i wykrywania aktywności przy dostępie konsultantów i wsparcia z firm zewnętrznych; daje możliwość zarządzania hasłami; posiada możliwość nagrywania sesji; umożliwia śledzenie, audyt i potwierdzenie spełnienia zgodności z regulacjami i wymogami prawnymi.
OCHRONA I WYKRYWANIE
- Advanced Threat Protection (APT)
Serwis zabezpieczający naszą sieć przed nieznanymi atakami ransomware, atakami typu Zero-day oraz zaawanasowanymi malwarami, na które nie ma sygnatur. Zagrożenia najczęściej działają długofalowo, pozostając niewykryte w sieci Klienta wyciągają informację bądź czekają uśpione do czasu osiągnięcia odpowiedniego poziomu „zarażenia” sieci. Zagrożenia tego typu są praktycznie niewykrywalne standardowymi metodami.
- Szyfrowanie
Ochrona wrażliwych danych. Możliwość szyfrowania całych powierzchni dysków, nośników wymiennych, pojedynczych plików oraz wiadomości e-mail. Mamy pewność, że dane zawarte na firmowych komputerach i osobistych urządzeniach mobilnych pracowników są chronione przed niepowołanym dostępem. W przypadku przesyłania szczególnie wrażliwych danych można utworzyć zaszyfrowaną wiadomość, którą odczyta jedynie jej odbiorca posiadający ustalony klucz.
REAKCJA
Incident Response Plan (IRP) to inaczej plan zarządzania kryzysowego, który pozwoli na podjęcie odpowiednich działań, czyli zgłoszenie incydentu w nieprzekraczalnym terminie 72 godzin.
Redaktorka Net Complex Blog