25 maja 2018 wchodzą w życie wymagania nowej regulacji o ochronie danych osobowych (ang. GDPR). Regulacja dotyczy wszystkich organizacji przetwarzających dane osobowe (DO). Skupia się na uszczelnieniu ochrony i procedurach uruchamianych w przypadku utraty poufności danych.

Zaostrzeniu uległy również kary za wyciek, wynoszące obecnie do 20 000 000 euro, lub 4% światowego obrotu. Sp. z o.o.

GDPR przyjmuje podejście adekwatności – oznacza to, że drogi do osiągnięcia zgodności mogą być różne dla każdej firmy. Wymaga analizy istniejącego poziomu ryzyka oraz uzasadnienia, dlaczego wybrane metody zabezpieczeń są wystarczające.

Wdrożenie regulacji będzie szczególnie wymagające w przypadku dużych firm posiadających własne działy IT. Mniejsze firmy, mogą znacznie ograniczyć koszty wdrożenia i utrzymania, decydując się na outsourcing. Poniżej znajdziesz kilka sugestii, które mam nadzieję ułatwią wdrożenie w Twojej organizacji.

Jakich pytań możesz oczekiwać w trakcie audytu:

  • W jaki sposób dana informacja została pozyskana? W ilu miejscach przechowywane są jej kopie?
  • W jaki sposób i w jakim celu jest przetwarzana? Kiedy zostanie usunięta?
  • Udowodnić, że klient wyraził zgodę na przetwarzanie wybranej informacji.
  • Udowodnić, że zweryfikowano zgodność wykorzystywanego oprogramowania z wymaganiami GDPR.
  • Udowodnić, że zweryfikowano dostawców usług w zakresie wymagań bezpieczeństwa.
  • Jakie narzędzia i procesy są wykorzystywane w firmie dla zapewnienia bezpieczeństwa.
  • Niech IOD uzasadni adekwatność wykorzystywanych rozwiązań. Jaka jest ich skuteczność?
  • W jaki sposób pracownicy są edukowani na temat bezpieczeństwa?


Krok 1: Określ i uzasadnij zakres działań

Inwentaryzacja danych i ich przepływów. Dowiedz się, jakie dane osobowe są przetwarzane w Twojej organizacji oraz opisz ich przepływ od momentu pozyskania, aż do usunięcia. Uwzględnij procesy, systemy informatyczne i role osób odpowiedzialnych za ich przetwarzanie. Poniższych kilka pytań pomoże Ci uprościć sposób, w jaki przetwarzasz dane i obniżyć koszty na etapie wdrożenia:

  • Jakie dane osobowe są w posiadaniu Twojej organizacji?
  • Jak i w jakim celu zostały pozyskane?
  • Kto i w jaki sposób przetwarza te dane? Czy wszystkie osoby posiadające do nich dostęp na pewno go potrzebują?
  • W jaki sposób przechowujesz dane osobowe? Czy jesteś w stanie ograniczyć ilość tych lokalizacji?
  • Czy istnieje potrzeba, aby je nadal przechowywać? Kiedy będzie można je usunąć?

Przeprowadź ocenę ryzyka utraty poufności danych (ang. PIA). Zdolność pomiaru ryzyka jest kluczowym elementem zbudowania efektywnego systemu zabezpieczeń. Zadbaj o to, aby zaprojektować proces bazujący na mierzalnych, zrozumiałych dla przedstawicieli biznesu metrykach, które Twoja firma jest w stanie monitorować.

  • Jak poważne konsekwencje dla poszkodowanych miałby wyciek danych, które przechowujesz?
  • Kto powinien, a kto ma do nich dostęp?
  • Kto i w jaki sposób przetwarza te dane?
  • Czy na jakimkolwiek etapie przetwarzania, udostępniasz je zewnętrznym dostawcom?

Wybierz rozwiązania *adekwatne* do potrzeb. Z czasem prawdopodobnie ukształtują się standardy dla poszczególnych branż. Do tego czasu najlepszym wyjściem będzie uzasadnienie swojego wyboru odniesieniem do „dobrych praktyk”. Dwa lata temu sektor finansowy stał przed podobnym wyzwaniem, wdrażając zalecenia Rekomendacji D. Szukaj wsparcia u ekspertów z doświadczeniem w tym obszarze.


Krok 2: Rozwiązania organizacyjne i oprogramowanie

Dotychczas uzyskanie zgodności regulacyjnej w obszarze bezpieczeństwa sprowadzało się do zakupu „Polityki Bezpieczeństwa Informacji” i uzupełnienia rejestru danych. Obecnie, oprócz polityki (opisu wymagań) wymagane jest udokumentowanie procesów oraz zapewnienie dowodów, że są one realizowane.

Szablonowe rozwiązania, choć tańsze, długofalowo będą generować wyższe koszty utrzymania. W skrajnych przypadkach dodatkowe obowiązki mogą sparaliżować działanie przedsiębiorstwa. Z tego względu, organizacje potrzebują opracować własny system, dostosowany zarówno do potrzeb jak i posiadanych zasobów.

Opracuj polityki i standardy zawierające wymagania obowiązujące wszystkich pracowników organizacji. W kontekście GDPR będziesz potrzebował zrewidować swoją Politykę Bezpieczeństwa Informacji (PBI) oraz dokumenty podrzędne. Zwróć uwagę na następujące obszary:

  • Uwzględnienie bezpieczeństwa i prywatności na etapie projektowania rozwiązań
  • Wytyczne dotyczące złożoności haseł, częstotliwości ich zmian i sposobów zapisywania
  • Wytyczne dotyczące konfiguracji urządzeń sieciowych i stacji roboczych
  • Konieczność zapewnienia odpowiedniego poziomu ochrony danych osobowych przez dostawców usług
  • Dopuszczalne sposoby przechowywania danych osobowych i wytyczne odnośnie ich zabezpieczeń

Oto kilka wskazówek, które mogą być Ci pomocne na tym etapie:

  • Opracuj nadrzędną politykę ze szczegółowymi standardami w formie załączników. Pomaga to uporządkować wiedzę i ograniczyć ilości informacji przekazywanych pracownikom, aby łatwiej mogli je przyswoić.
  • Wytyczne bezpieczeństwa dla zewnętrznych dostawców sformułuj w postaci załącznika do umów.
  • Opracuj przejrzysty standard klasyfikacji i ochrony informacji. Będzie to dokument przekazywany wszystkim pracownikom, zawierający wytyczne jak obchodzić się z poszczególnymi grupami informacji. Nieznajomość lub brak zrozumienia tych zasad jest bardzo częstą przyczyną wycieków.
  • Zwróć uwagę na bezpieczeństwo urządzeń mobilnych. Wszystkie mobilne nośniki pamięci, na których zapisane są dane osobowe powinny być szyfrowane. Zapewnisz w ten sposób większą ochronę swoim klientom, jak również unikniesz kary w przypadku utraty nośnika.

Posiadaj udokumentowane procesy i procedury opisujące poszczególne aktywności. Ogranicz ich poziom szczegółowości do niezbędnego minimum i stosuj ujednoliconą strukturę. Każdy proces powinien mieć wyznaczonego właściciela, odpowiedzialnego za jego utrzymanie i rozwój. Wykorzystuj kreatywność i doświadczenie swoich pracowników, aby doskonalić procedury – odstępstwa od ustalonego sposobu powinny być jednak akceptowane przez właściciela. Z perspektywy GDPR najważniejsze są następujące procesy:

  • Zarządzanie incydentami bezpieczeństwa (monitorowanie, obsługa, powiadamianie o ich wystąpieniu)
  • Obsługa zgłoszeń klientów (prośba o udostepnienie lub usunięcie danych)
  • Edukacja pracowników i budowanie kultury bezpieczeństwa
  • Udzielanie dostępu do systemów informatycznych przetwarzających DO
  • Sposoby wykorzystania i niszczenia nośników pamięci zawierających DO

GDPR kładzie największy nacisk na zarządzanie incydentami bezpieczeństwa. Upewnij się, że Twój proces uwzględni odpowiedzi na następujące pytania:

  • W jaki sposób będziesz wykrywał i klasyfikował incydenty? Które z nich wymagają publikowania?
  • W jaki sposób będziesz je badał?
  • Jakie działania podejmiesz w przypadku poszczególnych typów zagrożeń?
  • Kto będzie odpowiedzialny za publikowanie informacji o wyciekach DO?

 Oprogramowanie. Każda firma przetwarzająca DO niezależnie od skali, powinna posiadać system antywirusowy i firewall. Większe organizacje powinny rozważyć wdrożenie oprogramowania typu DLP (ochrona przed wyciekiem danych) oraz IPS (zapobieganie włamaniom). Przy zakupie oprogramowania warto skorzystać z pomocy niezależnego eksperta, który pomoże wybrać odpowiednie narzędzia i dostawcę.


Krok 3: Utrzymanie i nadzór

Utworzenie roli Inspektora Ochrony Danych. Głównymi obowiązkami tej osoby jest koordynowanie procesów odpowiadających bezpośrednio za bezpieczeństwo, oraz zarządzanie ryzykiem cybernetycznym. Inspektor powinien bardzo dobrze znać wymagania regulacyjne oraz architekturę lokalnego systemu bezpieczeństwa. Powinien być w stanie uzasadnić adekwatność wybranych rozwiązań, oraz dostarczyć dowodów poświadczających, że system działa zgodnie z założeniami.

Szkolenia i programy budowania świadomości. Duży nacisk, jaki GDPR kładzie na edukację, świadczy o strategicznym podejściu mającym zachęcić firmy do tego, aby myślały o bezpieczeństwie w bardziej kompleksowy sposób. Podstawowym narzędziem podnoszącym świadomość użytkowników, jest wdrożenie programu „security awareness” (SA) – interaktywnego szkolenia z kwestionariuszem weryfikującym wiedzę, powtarzanym cykliczne w celu zbudowania właściwych nawyków. Informacje pozyskiwane z programu SA warto uwzględnić, jako jedną z metryk bezpieczeństwa. Dodatkowo, w przypadku stanowisk szczególnie podatnych na ataki, zaleca się skierowanie pracowników na dedykowane szkolenia.

Zarządzanie ryzykiem, pomiar metryk bezpieczeństwa i gromadzenie dowodów. „Bezpieczeństwo” jest procesem, nie projektem. Rozwiązania, które zostaną opracowane na etapie wdrożenia, będzie trzeba monitorować i świadomie rozwijać. Większe projekty, nowi dostawcy usług i zakup oprogramowania będą wymagały weryfikacji, czy zapewniają zgodność z wymaganiami zawartymi w PBI. Jeżeli Twoja firma zastosuje się do zaleceń z poprzednich paragrafów, wszystkie te czynności będzie można realizować sprawnie, kierując się jasno określonymi ($) przesłankami.

Podsumowanie

Na przestrzeni najbliższych miesięcy, korzyści wynikające z efektywnego zarządzania ryzykiem cybernetycznym staną się coraz bardziej zauważalne. Obecnie szacuje się, że wydatki na bezpieczeństwo stanowią 10 – 15% budżetu IT, przy czym wartość ta stale rośnie.

W przypadku średnich i dużych organizacji działających w sektorach o dużej konkurencyjności, efektywne wdrożenie i niższe koszty utrzymania (rozwiązań obligatoryjnych dla wszystkich graczy) będą istotnym czynnikiem wpływającym na ich pozycję. Wdrożenie GDPR jest dobrą okazją dla firm poszukujących oszczędności na usystematyzowania działań w obszarze IT.

Mam nadzieję, że powyższe wskazówki będą dla Ciebie przydatne. Jeżeli szukasz wsparcia w realizacji projektu, lub po prostu chciałbyś dowiedzieć się czegoś więcej – zapraszam do kontaktu.

Karol Chwastowski

Venture Razor - www.venturerazor.com

 

comments

Wywiad gospodarczy - wybrane artykuły

Ustawa antyterrorystyczna wesprze przestępców



Obowiązek rejestracji imiennej telefonicznych kart pre-paid to największy od lat błąd w kwestii bezpieczeństwa Polski. Wszystko zostawia ślady, a źle przeszkoleni przestępcy i terroryści (czyli większość) myślący, że są anonimowi, popełniają mnóstwo błędów umożliwiających ich identyfikację. Teraz to się zmieni... 

 

Wdrożenie najważniejszych zaleceń GDPR w 3 krokach



25 maja 2018 wchodzą w życie wymagania nowej regulacji o ochronie danych osobowych (ang. GDPR). Regulacja dotyczy wszystkich organizacji przetwarzających dane osobowe (DO). Skupia się na uszczelnieniu ochrony i procedurach uruchamianych w przypadku utraty poufności danych.

 

Weszła w życie ustawa antyterrorystyczna



Weszła w życie ustawa o działaniach antyterrorystycznych. Według rządu ma ona podnieść efektywność działania polskiego systemu antyterrorystycznego, zwiększyć bezpieczeństwo obywateli i doprowadzić do lepszej koordynacji służb.

Debata PAP: fałszerze dokumentów nie mogą mieć "klawego życia"

Dokumenty sądowe i notarialne powinny być zabezpieczane tak, aby skutecznie zniechęcić przestępców do fałszerstw – zgodnie twierdzili uczestnicy zorganizowanej w piątek przez PAP debaty pt. "Oszust to ma klawe życie, czyli dokumenty publiczne poza kontrolą".

Copyright by Artefakt.edu.pl