Varujete osebne podatke po novih pravilih?

25. 5. 2018 je pričela veljati Splošna uredba o varstvu podatkov (GDPR), ki določa nova pravila igre varovanja osebnih podatkov. Predstavlja prelomnico, začetek procesa zagotavljanja skladnosti organizacij z novimi pravili.

Pripravili smo pregled tehnoloških rešitev za zagotovitev skladnosti z GDPR, ki hkrati okrepijo tudi kibernetsko varnost organizacije.

Kaj prinaša GDPR?

Uredba krepi oz. širi pravice posamezniku glede pridobivanja informacij in nadzora nad obdelavo njegovih podatkov ter ureja zahteve za zagotavljanje varnosti njihove obdelave.

Posledično zavezancem, obdelovalcem in upravljavcem podatkov nalaga širše obveznosti in zahteve. Kako zagotoviti skladnost z razširjeno pravno ureditvijo? »Z uporabo ustreznih metodologij ter organizacijskih, tehnoloških in normativnih ukrepov, kot tudi z novo kadrovsko postavitvijo in ustreznim ozaveščanjem«, odgovarja Marjan Antončič iz Ainigme.

Več v videu

Ključni izzivi

Ste že skladni z GDPR? Če ne, niste edini.
Kar 96 % organizacij ne razume popolnoma GDPR določil. Kateri so največji izzivi, s katerimi se podjetja srečujejo v procesu zagotovitve skladnosti?

Koraki do skladnosti

Zahteve uredbe GDPR se dotaknejo praktično celotne organizacije, od zaposlenih do procesov in tehnoloških rešitev informacijskega sistema.

Vsaka tehnološka rešitev, ki jo boste vpeljali za zagotovitev skladnosti z uredbo GDPR, bo okrepila kibernetsko varnost organizacije in vplivala na izboljšanje poslovnih procesov organizacije.

1. PRIPRAVA

Katera so največja tveganja za zagotovitev skladnosti zakonodaje z vidika podatkovnih zbirk in informacijskega sistema? Ali imate popoln vpogled in nadzor nad zbirkami osebnih podatkov, ne glede na to, kje se nahajajo?

Če ne veste, kje se podatkovne zbirke nahajajo, jih ne morete analizirati in posledično obdelovati skladno z zakonodajo.

Analiza in odkrivanje podatkovnih zbirk

Za zagotovitev skladnosti je potrebno pripraviti predhodno analizo in identificirati kateri podatki, ki jih organizacija poseduje, upravlja in obdeluje v lokalnem informacijskem sistemu ali v oblaku, so osebni podatki. V tem procesu morajo, poleg informacijskega oddelka, sodelovati vsi oddelki organizacije, s čimer pridobite celosten vpogled v podatke, ki jih organizacija uporablja, hrani in obdeluje.

Pri izvedbi analize se poslužujte tehnoloških rešitev, ki vam omogočajo:

  • identificiranje lokacij kompleksnih in občutljivih podatkovnih zbirk v strukturiranih in nestrukturiranih okoljih,
  • lociranje nepoznanih podatkovnih zbirk s pomočjo pregledovanja poslovnih omrežij,
  • identificiranje in klasificiranje podatkov, ki jih podatkovne zbirke vključujejo,
  • avtomatsko, načrtovano pregledovanje in celovito prepoznavanje občutljivih podatkov,
  • ustvarjanje in vzdrževanje podrobnega popisa podatkovnih zbirk v realnem času, razpršene v organizaciji in informacijskem sistemu.

Trajni izbris osebnih podatkov

Omogočiti in izvesti morate trajni izbris osebnih podatkov, bodisi ko se ti več ne potrebujejo, bodisi na zahtevo uporabnika (pravica do izbrisa oz. pravica do pozabe). S popisom in identificiranjem podatkovnih zbirk lahko opredelite lokacijo osebnih podatkov in le-te tudi trajno izbrišete.

Izziv predstavljajo predvsem naprave, ki se jih v informacijskem sistemu ne uporablja več: prenosni računalniki, zunanji diski, USB naprave, pametni telefoni ipd. in lahko vsebujejo osebne podatke ali vsaj njihove sledi. V primeru, če takšna naprava zapusti organizacijo (odpis, se pošlje v popravilo ali na odpad, donacija ipd.), predstavlja varnostno tveganje.

S tega vidika morate za trajno brisanje osebnih podatkov uporabiti tehnološko rešitev, ki omogoča certificiran in kvaliteten izbris podatkov, deluje na različnih napravah (USB naprave, prenosni diski, prenosni računalniki ipd.) ter nadzor in pregled nad izvedenimi izbrisi.

Ocena tveganja

Pred pričetkom zbiranja, hrambe, upravljanja ali obdelovanja osebnih podatkov morate za zagotovitev skladnosti z Uredbo izvesti oceno tveganja. Pri procesu priprave ocene tveganja pridobite razumevanje, v katerih situacijah bi lahko prišlo do kršitve oz. zlorabe podatkov.

Vprašajte nas

2. ZAŠČITA

So vaši podatki primerno zaščiteni pred zunanjimi napadi in zlorabami?

Če podatke pustite izpostavljene na nezavarovanih sistemih, niste skladni z GDPR. Izguba podatkov lahko privede do denarnih kazni, oškodovanja ugleda blagovne znamke in poslovne škode.

Analizo identifikacije podatkovnih zbirk in oceno tveganja je treba nadgraditi z oceno tehnoloških rešitev in procesov za nadzor dostopa do podatkovnih zbirk in sistemov.

Varen dostop in vpogled v podatkovne zbirke

Zahteve po zagotovitvi varnega, kvalitetnega, natančnega dostopa in vpogleda uporabnikov v podatkovne zbirke, rešujemo s sistemi za upravljanje z identitetami. Le ob vpeljavi tovrstnih rešitev in izvedbi integracije z drugimi varnostnimi sistemi, lahko dobite kvaliteten vpogled v izvedene aktivnosti na posameznem podatku.

Nadzor in sledenje aktivnostim na podatkovnih zbirkah

Za zagotovitev kvalitetnega in varnega nadzora in sledenja nad zbiranjem, hranjenjem, upravljanjem in obdelovanjem podatkovnih zbirk uporabljajte tehnološke rešitve, ki omogočajo enovito spremljanje in obveščanje o dogodkih iz vseh IKT sistemov organizacije ter poročanje in oblikovanje poročil v skladu z zakonodajo in drugimi zahtevami.

Zaščita pred zlonamerno programsko opremo

Z naprednimi tehnološkimi rešitvami zaščitite končne postaje (‘end point’), strežnike, poslovna omrežja in preprečimo zlonamerni programski opremi, da dostopa do podatkovnih sistemov in zbirk.

Vprašajte nas

3. ODKRIVANJE

Ste usposobljeni za odkritje prikritih naprednih groženj, ki so prisotne in aktivne v vašem informacijskem okolju? Ali lahko odkrijete in ocenite obseg kršitev varstva osebnih podatkov oz. varnostnega incidenta?

Kršitev varstva osebnih podatkov morate pristojnemu organu sporočiti najpozneje v 72 urah.

V kolikor kršitve ne prijavite v roku, vas lahko pristojni organ oglobi v višini do 20 milijonov EUR oz. s 4 % vašega letnega prometa.

Ocenite trenutno stanje vašega nivoja zaščite. Predvsem morajo tehnološke rešitve omogočati:

  • zaznavanje poskusov vdora in obramba pred naprednimi škodljivimi kodami, ki jih standardni varnostni sistemi ne zaznajo, zajemanje in obogatitev podatkov o varnostnih incidentih,
  • preprečevanje in zaznavanje groženj ničelnega dne,
  • analiziranje omrežja in spremljanje varnostnih incidentov na osnovi zaznavanja netipičnih vzorcev prometnih tokov,
  • optimizirano strojno učenje glede vzorcev širjenja zlonamerne kode,
  • upravljanje z identitetami in dostopi uporabnikov,
  • šifriranje podatkov, kadar se ti prenašajo,
  • nadzor in beleženje dostopov do zbirk podatkov.

Vprašajte nas

4. ODZIVANJE

Ali se lahko hitro odzovete na varnostne incidente in omejite njegove posledice? Kako hitro lahko ustavite varnostni incident, po njegovem odkritju?

Odziv na varnostni incident

Tehnološke rešitve, ki jih vpeljemo v informacijski sistem, morajo zaustaviti varnostni incident, omejiti obseg delovanja in pripraviti poročilo o varnostnem incidentu. Poročilo pristojnemu organu mora vključevati tudi možne posledice varnostnega incidenta in ukrepe za omilitev posledic na podatkovne zbirke.

Za pripravo odziva v primeru varnostnega incidenta, morate vpeljati tehnološke rešitve, ki omogočajo:

  • avtomatično zaznavo in omejevanje vira varnostnega incidenta oz. programske škodljive kode v informacijskem sistemu oz. podatkovnih zbirkah,
  • zajemanje informacij, ki jih potrebujemo za razumevanje ozadja varnostnega incidenta preden se zgodi, ko je v teku in po incidentu,
  • forenzične informacije za razumevanje, na kakšen način je prišlo do varnostnega incidenta, kateri podatki so bili vključeni v varnostni incident in katere ukrepe moramo sprejeti za rešitev situacije.

Vprašajte nas

STE PRIPRAVLJENI?

Z veseljem preučimo vaš primer in vam svetujemo pri izbiri in izvedbi optimalne tehnološke rešitve, ki bo prijazna, funkcionalno dovršena in skladna z uredbo GDPR.

Izbrane vsebine o varovanju osebnih podatkov

gdpr-butterfly-net-thumbnail

Čas ni zaveznik lovilcev skladnosti

Informacijska-varnost-pleza-po-lestvici-prioritet-thumbnail

Informacijska varnost pleza po lestvici prioritet

varni-z-gdpr-thumb-3

Varni z GDPR

Spremljajte dobre prakse in trende pri zagotavljanju kibernetske varnosti, ki jih naši varnostni strokovnjaki mesečno pripravljajo v obliki digitalnega Varnostnega novičnika!

Zakaj Smart Com?

Sodelujemo z mednarodnimi tehnološkimi partnerji

Certificirani smo za ravnanje z občutljivimi podatki

Nudimo tehnično podporo (24/7)

Kako naprej?

Z veseljem preučimo vaš izziv pri zagotovitvi skladnosti z GDPR ter vam svetujemo pri izbiri in izvedbi optimalne tehnološke rešitve, ki bo prijazna in funkcionalno dovršena.