SAMSUNG_112020 SAMSUNG_112020 SAMSUNG_112020 Advertisement

Ako na ochranu dát podľa GDPR

Bezpečnosť
0

Približne rok a pol majú organizácie všetkých typov a veľkostí na to, aby sa pripravili na novú legislatívu týkajúcu sa ochrany osobných údajov. GDPR – General Data Protection Regulation – prináša množstvo požiadaviek na zaistenie bezpečnosti spracúvaných osobných údajov. Ako sa nestratiť v ich výklade a ktoré technológie použiť?

Osobné údaje sú informácie, ktoré spracúva prakticky každá firma. Či už ide o kontakty na zákazníkov, marketingové databázy, alebo informácie o zamestnancoch, všetky údaje tohto typu by mali byť už podľa aktuálnej legislatívy chránené tak, aby nedošlo k ich zneužitiu. GDPR prinesie v tomto smere sprísnenie ak­tuálnych pravidiel, ale hlavne „motivujúce“ ­sankcie. Tie vás môžu zasiahnuť v prípade, že organizácia neurobí dostatočné opatrenia na to, aby predišla možnému úniku dát. Hackerský útok, úmyselné vynesenie informácií, stratený USB flash disk alebo zverejnenie dát jednoduchým omylom môžu po novom firmu stáť až 20 miliónov eur, resp. 4 % z jej celkového medzinárodného obratu. To všetko len na pokute od Úradu na ochranu osobných údajov, ak sa preukáže, že firma neochránila dáta dostatočne.

Okrem toho zavedie GDPR takisto povinné hlásenie incidentu Úradu a dotknutým osobám, a to najneskôr 72 hodín od zistenia, že k nemu došlo. Ďalší dosah, ktorý nová regulácia prinesie, bude teda popri pokute aj negatívna medializácia. Spomeňme si napríklad na nedávny prípad úniku osobných údajov o zákazníkoch T-Mobile v susednej Českej republike. Krádež a predaj takmer 1,2 milióna dát si vyslúžil veľkú pozornosť médií a znamenal pre firmu poriadnu ujmu na reputácii.

Požiadavky GDPR

Bezpečnostné opatrenia, ktoré by mala každá organizácia spracúvajúca osobné údaje prijať, sú v nariadení uvedené v relatívne všeobecnom duchu. Je to tak preto, aby bolo GDPR aplikovateľné na akékoľvek procesy vo firmách. V kocke ide o zabezpečenie troch základných parametrov – dôvernosti, integrity a dostupnosti týchto informácií. Firmy by sa mali predovšetkým zamerať na to, aby sa k dátam nikto neoprávnený nedostal, nebol ich schopný zmeniť a aby boli dostupné vždy, keď sú potrebné. To by malo platiť bez ohľadu na použité systémy a postupy, v rámci ktorých sa s dátami manipuluje.

V niektorých prípadoch teda budú musieť firmy svoje procesy zrevidovať. Je kľúčové, aby boli osobné údaje chránené bez ohľadu na to, či ich zamestnanec posiela mimo firmy, alebo s nimi bežne pracuje vo vnútornom prostredí organizácie. To sa dá zabezpečiť podpornými technológiami, ale netreba zabúdať ani na zmluvy, smernice a ďalšiu bezpečnostnú dokumentáciu, ktorá tieto opatrenia podporí.

Na to, aby boli dáta skutočne ochránené, treba sa zamerať na bezpečnosť ako celok a s presahom do fungovania všetkých častí firmy. V praxi sa nám spravidla osvedčuje prístup, kde je prvým krokom bezpečnostný audit práce s dátami. Zo skúsenosti až v 95 % prípadov nachádzame bezpečnostné problémy už po niekoľkých dňoch od jeho začiatku – či už ide o ich presun na verejnú cloudovú službu, alebo poslanie kolegovi nezašifrovaným e-mailom. Výsledky takéhoto auditu dajú väčšinou priame priority na oblasti zabezpečenia informácií, na ktoré by sa mala firma predovšetkým zamerať.  Je dobré nezabudnúť na nasledujúce oblasti:

• Bezpečnostné školenia zamestnancov. Aby dokázali sami dáta ochrániť, musia vedieť, ako s nimi správne zaobchádzať – napríklad ako ich bezpečne preniesť mimo firmy a v akých situáciách je to vhodné.
• Šifrovanie dát. Všetky médiá obsahujúce osob­né údaje by mali byť zašifrované, ako aj pria­mo odporúča GDPR.
• Prevencia pred únikom dát (DLP). Systémy Data­ Loss Prevention sa zameriavajú na to, aby dáta neopustili firmu inak ako autorizovaným spôsobom.
• Technický audit práce s osobnými údajmi. Na prvotnú analýzu rizík, ale aj na zber informácií na forenznú analýzu je dobré mať nástroj, ktorý zbiera logy z práce s osobnými údajmi v elektronickej podobe.
• Ochrana fyzických kópií osobných údajov. Životopisy, pracovnoprávna agenda a mzdy, to všetko by sa malo nachádzať v trezoroch, pokiaľ sa s dokumentmi aktuálne nepracuje.
• Zálohy a nástroje na ich rýchle obnovenie v prípade nehody. GDPR vyžaduje možnosť včas obnoviť dostupnosť osobných dát pri výpadku techniky, takže je dobré sa na tieto situácie dopredu pripraviť.
• Sieťová bezpečnosť a ochrana pred externými hrozbami. Okrem antivírusového systému je dobré pamätať na aktualizáciu systémov, správne nastavené sieťové prvky, firewally a prípadne technológie IDS/IPS na ochranu siete.
• Pravidelné preskúmavanie bezpečnosti osobných údajov. Interné i externé audity možno podporiť technickými nástrojmi.

Ak ste ešte teda nezačali s revidovaním bezpečnosti osobných údajov, v najbližších pár mesiacoch je na to správny čas. V opačnom prípade sa vystavujete riziku úniku dát, ktorý môže byť podľa novej legislatívy pre firmu likvidačný.

Matej Zachar, Safetica Technologies, s. r. o.

Všetky autorove články
GDPR ochrana dát

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať