Zaposleni so notranja grožnja za GDPR skladnost!
09.08.2018
Kako zagotoviti vpogled v vse lokacije zbirk osebnih podatkov, jih zaščititi in hkrati zagotoviti GDPR skladnost.
Zaposleni zaradi neznanja in nepravilne uporabe (zbirk) osebnih podatkov predstavljajo visoko tveganje in neposredno grožnjo za GDPR skladnost. Ne gre za to, da bi imeli zlonamerne namene, po navadi se to zgodi nevede in nenamerno, po nesrečnem naključju, kot posledica neustrezne varnostne politike.
Obvladovanje tveganj znotraj organizacije
Prav zato je posebno skrb treba nameniti notranjim tveganjem za GDPR skladnost, jih znati identificirati (ločiti resnično grožnjo od lažnega alarma), se ustrezno odzvati ter jih omiliti oz. preprečiti. Pri tem moramo biti še posebej pozorni na:
- Kako preprečiti zaposlenim izbris podatkov, klasificiranih kot občutljivi.
- Spremljati in omejiti prekomerno širjenje podatkov v oblačne aplikacije.
Vsem nam so poznani primeri, ki predstavljajo potencialno, a realno grožnjo varnosti in GDPR skladnost; na primer prenos podatkov o plačilnih listah zaposlenih na USB ključek, prenos podatkov o strankah na osebni oblačni račun in še bi lahko naštevali… Nobeno dejanje v osnovi ni zlonamerno, ampak vsako tako ravnanje prispeva k možnosti zlorabe osebnih podatkov. To ni pomembno le zaradi določil GDPR, ampak tudi zaradi negativne publicitete ki škoduje ugledu podjetja, zlasti v primeru uspešno izvedenega hekerskega napada in odtujitve podatkov. Organizacije so dolžne osebne podatke zaščititi pred prekomerno izpostavitvijo, izgubo in krajo. Kako zaščititi datoteke z osebnimi podatki, ki jih zaposleni skušajo (ne)namerno izbrisati ali jih delijo v neavtorizirane oblačne aplikacije? Z uveljavitvijo GDPR moramo tovrstnim varnostnim dilemam posvetiti še večjo pozornost.
Izzivi v dobi vse večje uporabe oblaka
Ali veste, katere aplikacije v oblaku uporabljajo vaši zaposleni in kateri poslovni (osebni) podatki se nahajajo v njih? Storitve in aplikacije v oblaku omogočajo organizaciji, da je bolj odzivna, izboljša sodelovanje in učinkovitost ob nižjih stroških. Prav zaradi takojšnjega izboljšanja produktivnosti, jih zaposleni oz. določeni oddelki pričnejo uporabljati neposredno, mimo vednosti IT oddelka (‘Shadow IT’).
Poleg številnih koristi pa njihova uporaba prinaša dodatne varnostne izzive:
- Kako zagotoviti nadzor/vpogled v oblačne aplikacije, ki se uporabljajo in ob tem biti prepričan, da so varne?
- Kako zagotoviti, da se občutljivi podatki ne izmenjujejo na neustrezen način?
- Kako upoštevati skladnost z GDPR določili?
- Kako preprečiti zlonamerne aktivnosti?
Organizacije uporabljajo 40-krat več oblačnih aplikacij, kot mislijo.
Uporaba oblačnih aplikacij poenostavlja poslovanje, predstavlja pa tudi nevarnost odtekanja informacij
Narava oblačnih aplikacij je takšna, da so te dovzetne za nenamerno izmenjavo občutljive vsebine. Poenostavljeno nastavljanje pravic deljenja datotek po posameznih uporabnikih predstavlja prednost, ko gre za produktivnost, po drugi strani pa izpostavi organizacijo varnostnim grožnjam. Izziv je zajeziti prekomerno deljenje/širjenje, ki je še posebej tvegano, ko gre za občutljive podatke.
Pri tem je potrebno poskrbeti za zaščito podatkov, in sicer:
- Preprečiti, da bi se podatkovne zbirke v skladu z GDPR določili posredovale iz organizacije (slediti zaupni vsebini shranjeni v oblaku).
- Preprečiti, da bi se občutljivi podatki prenesli na naprave, ki niso upravljane (npr. na zasebne lokacije).
- Preveriti, ali so občutljivi podatki izpostavljeni tveganju in identificirati uporabnike, ki so povezani z grožnjami občutljivih podatkov.
13 % dokumentov v oblaku se prekomerno izmenjuje, 1 % od njih vsebuje podatke, ki jih moramo varovati z določili za GDPR skladnost.
Skladen in varen prehod v oblačne aplikacije
S tem, ko organizacije občutljive podatke selijo v oblak, bodo sledili hekerski napadi in vdori na oblačne storitve. Izobraževanje uporabnikov/zaposlenih o varni (upo)rabi oblačnih aplikacij je ključnega pomena prav tako tehnološke rešitve, ki so že na voljo.
