GDPR — Πρακτικός οδηγός στην προστασία δεδομένων — 10 τρόποι για να διατηρήσετε ασφαλή τα συστήματα ΙΤ σας

Η προστασία των συστημάτων IT σας μπορεί να γίνει περίπλοκη και απαιτεί χρόνο, πόρους και εξειδικευμένη γνώση. Αν έχετε προσωπικά δεδομένα στο σύστημά σας πρέπει να γνωρίζετε πως αυτά τα δεδομένα μπορεί να βρίσκονται σε κίνδυνο και πρέπει να πάρετε τα αντίστοιχα μέτρα για να τα προστατέψετε. Τα μέτρα που θα εφαρμόσετε πρέπει να ικανοποιούν συγκεκριμένα τις ανάγκες του συστήματός σας. Δεν χρειάζεται να είναι ιδιαίτερα ακριβά, μπορούν να είναι δωρεάν ή ήδη διαθέσιμα στο σύστημά σας.


Τα ακόλουθα πρακτικά βήματα θα σας βοηθήσουν να αποφασίσετε πως θα διαχειριστείτε την ασφάλεια των προσωπικών δεδομένων που επεξεργάζεστε.

1)Εκτιμήστε τις απειλές και τους κινδύνους στην εταιρεία σας.

Προτού καθιερώσετε τι επίπεδο ασφάλειας είναι κατάλληλο για την εταιρεία σας, θα χρειαστεί να αναθεωρήσετε τα προσωπικά δεδομένα που διατηρείτε και να εκτιμήσετε τους κινδύνους που διατρέχουν αυτά τα δεδομένα. Θα πρέπει να εξετάσετε όλες τις συμπεριλαμβανόμενες διαδικασίες στις οποίες συλλέγετε, αποθηκεύετε, χρησιμοποιείτε και διαγράφετε δεδομένα. Εξετάστε πόσο πολύτιμα, ευαίσθητα ή εμπιστευτικά είναι τα δεδομένα και τι ζημιά θα προκαλούσε σε άτομα η διαρροή αυτών. Γνωρίζοντας τους κινδύνους, μπορείτε να ξεκινήσετε να επιλέγετε τα μέτρα ασφαλείας που ικανοποιούν τις ανάγκες σας.

2)Συνδεθείτε με τις βασικές αρχές ασφάλειας

Δεν υπάρχει κάποιο προϊόν που θα παρέχει πλήρη εγγύηση της ασφάλειας στην επιχείρηση σας. Η προτεινόμενη προσέγγιση είναι να χρησιμοποιήσετε ένα σύνολο από ελέγχους ασφαλείας που αλληλοσυμπληρώνονται αλλά απαιτούν συνεχόμενη υποστήριξη, προκειμένου να διατηρηθεί το κατάλληλο επίπεδο ασφάλειας.

Τοίχος προστασίας & πύλη διαδικτύου (Firewall & Internet Gateway)
Αυτή είναι η πρώτη γραμμή άμυνας εναντίον μιας εισβολής από το διαδίκτυο. Ένα καλά διαμορφωμένο τείχος προστασίας μπορεί να σταματήσει τις παραβιάσεις που συμβαίνουν προτού διεισδύσουν στο εσωτερικό δίκτυο. Ενώ η πύλη διαδικτύου μπορεί να αποτρέψει την πρόσβαση των χρηστών της επιχείρησης σε ιστοσελίδες ή άλλες υπηρεσίες, οι οποίες δεν είναι έμπιστες ή είναι απειλές.

Ασφαλής Διαμόρφωση (Secure Configuration)
Το λογισμικό και το υλικό απαιτούν ρυθμίσεις και διαμόρφωση για αποτελεσματική προστασία. Πχ βεβαιωθείτε ότι έχετε αλλάξει τυχόν προεπιλεγμένους κωδικούς πρόσβασης που χρησιμοποιούνται από το λογισμικό ή το υλικό (αυτά είναι γνωστά στους εισβολείς).

Έλεγχος Πρόσβασης (Access Control)
Περιορίστε την πρόσβαση στο σύστημα σας σε χρήστες και πηγές που εμπιστεύεστε.
Κάθε χρήστης πρέπει να έχει και να χρησιμοποιεί δικό του όνομα χρήστη και κωδικό πρόσβασης.
Κάθε χρήστης πρέπει να χρησιμοποιεί έναν λογαριασμό που έχει τα κατάλληλα δικαιώματα σύμφωνα με τις αρμοδιότητες του.
Οι λογαριασμοί πρόσβασης θα πρέπει να ακυρώνονται αμέσως όταν ο χρήστης εγκαταλείψει την επιχείρηση ή απουσιάζει για μεγάλο χρονικό διάστημα.

Προστασία Κακόβουλου Λογισμικού (Malware Protection)
Πρέπει να διαθέτετε προϊόντα προστασίας από ιούς ή κακόβουλα προγράμματα και να γίνεται τακτικά σάρωση του δικτύου ώστε να αποτρέψετε ή να εντοπίσετε απειλές. Επίσης, να είναι ενημερωμένα (update) και ενεργοποιημένα για την παρακολούθηση των αρχείων.

Διαχείριση ενημερώσεων και ενημερώσεις λογισμικού (Patch management and software updates)
Όλος ο υπολογιστικός εξοπλισμός και το λογισμικό απαιτούν την συντήρηση και την τακτική ενημέρωση τους ώστε να διατηρηθεί η ομαλή λειτουργία τους και να διορθώνονται τυχόν ευπάθειες στην ασφάλεια. Τα Anti-Virus, Anti-malware χρειάζονται τακτικές ενημερώσεις προκειμένου να εξακολουθήσουν να παρέχουν επαρκή προστασία. Το μεγαλύτερο μέρος του λογισμικού μπορεί να ρυθμιστεί να ενημερώνετε αυτόματα. Επίσης, τα συστήματα αρκετών ετών πρέπει να ελεγχθούν ότι εξακολουθούν να παρέχουν επαρκή προστασία.

3)Ασφαλίστε τα δεδομένα εν κινήσει και στο γραφείο

Είναι σημαντικό να εξεταστεί η φυσική προστασία των δεδομένων, αφού τα δεδομένα μπορεί να κλαπούν σε περίπτωση διάρρηξης ή να χαθούν όσο είστε μακριά από το γραφείο. Θα πρέπει να σιγουρευτείτε πως τα προσωπικά δεδομένα στο σύστημά σας είναι προστατευμένα από κινδύνους αυτού του τύπου.

Μπορείτε επίσης να εμποδίσετε ή να περιορίσετε την διαρροή δεδομένων χωρίζοντας ή περιορίζοντας την πρόσβαση δεδομένων μεταξύ των στοιχείων του δικτύου σας. Για παράδειγμα, αν μπορέσετε να περιορίσετε την επεξεργασία δεδομένων, μπορείτε να μειώσετε το εύρος των απαραίτητων μέτρων ασφαλείας.
Επίσης, πρέπει να σιγουρευτείτε πως το ίδιο επίπεδο ασφαλείας εφαρμόζεται σε προσωπικά δεδομένα σε συσκευές που χρησιμοποιούνται εκτός γραφείου. Πολλές διαρροές δεδομένων ξεκινούν από την κλοπή ή απώλεια μιας συσκευής( π.χ. ένα laptop, ένα κινητό τηλέφωνο κλπ), ενώ θα έπρεπε επίσης να εξετάσετε την ασφάλεια των δεδομένων κατά την αποστολή μέσω email.

Ένα άλλο πιθανό ρίσκο είναι να επιτρέπετε σε μη έμπιστες συσκευές να συνδέονται στο δίκτυό σας, το οποίο μπορεί να οδηγήσει σε διαρροή δεδομένων.

Μπορείτε να ενισχύσετε την φυσική ασφάλεια του γραφείου σας, αποθηκεύοντας τους servers σε ξεχωριστό χώρο (computer room) με επιπρόσθετη ασφάλεια, κάνοντας backup συσκευές, δίσκους και USBs, τα οποία θα πρέπει να είναι σε επιτήρηση και ασφαλισμένα όταν δεν χρησιμοποιούνται.

Μπορείτε να σιγουρευτείτε πως τα προσωπικά δεδομένα είτε δεν είναι στην συσκευή από την αρχή, είτε έχουν ασφαλιστεί κατάλληλα έτσι ώστε να μην είναι προσβάσιμα σε περίπτωση απώλειας ή κλοπής. Σε αυτή τη περίπτωση βοηθούν τα συστήματα ελέγχου πρόσβασης και κρυπτογράφησης. Η κρυπτογράφηση είναι τρόπος επιβεβαίωσης που μπορούν να ανοιχτούν μόνο από εξουσιοδοτημένα μέλη.

Η κρυπτογράφηση υπάρχει σε πολλές μορφές και προσφέρει προστασία υπό διαφορετικές περιστάσεις:

• Πλήρης κρυπτογράφηση δίσκου σημαίνει πως όλα τα δεδομένα στον υπολογιστή είναι κρυπτογραφημένα.

• Κρυπτογράφηση αρχείων σημαίνει πως συγκεκριμένα αρχεία μπορούν να κρυπτογραφηθούν.

• Κάποια λογισμικά προσφέρουν προστασία μέσω κωδικού για να εμποδίσουν τις αλλαγές στα δεδομένα, αλλά αυτό μπορεί να μην εμποδίσει έναν κλέφτη από το να τα διαβάσει.

Σιγουρευτείτε πως ξέρετε τι είδος προστασίας εφαρμόζετε.

Κάποιες κινητές συσκευές υποστηρίζουν απομακρυσμένη διαχείριση, απενεργοποίηση ή εγκατάσταση καθαρισμού. Σε περίπτωση κλοπής, αυτό μας επιτρέπει να διαγράψουμε ασφαλώς όλα τα δεδομένα.

Αν επιτρέπετε σε υπαλλήλους ή άλλους χρήστες να συνδέουν τις συσκευές τους στο δίκτυο σας, αυξάνετε το εύρος των κινδύνων ασφαλείας που πρέπει να αντιμετωπι-στούν.

4)Ασφαλίστε τα δεδομένα σας στο cloud

Υπάρχουν πολλές online υπηρεσίες, αρκετές από τις οποίες ήδη υπάρχουν στα σημερινά smartphones και tablets που ζητούν από τους χρήστες να μεταφέρουν τα δεδομένα τους σε ξεχωριστές εγκαταστάσεις αποθήκευσης, γνωστές ως cloud.

Η επεξεργασία δεδομένων στο cloud είναι ένα ρίσκο, καθώς τα προσωπικά δεδομένα για τα οποία είστε υπεύθυνοι φεύγουν από το δίκτυό σας και τα διαχειρίζεται ο cloud provider σας. Για αυτό θα πρέπει να εκτιμήσετε τα μέτρα ασφαλείας που έχει θέσει ο provider για να σιγουρευτείτε πως είναι κατάλληλα.

Σιγουρευτείτε πως γνωρίζετε ποια δεδομένα αποθηκεύονται στο cloud, καθώς πολλές σημερινές συσκευές έχουν το cloud backup ως προκαθορισμένη ρύθμιση.
Εξετάστε την χρήση πιστοποίησης ταυτότητας δύο παραγόντων, ιδιαίτερα για απομακρυσμένη πρόσβαση των δεδομένων σας στο cloud.

5)Κάντε backup στα δεδομένα σας

Αν υποστείτε μία καταστροφή απο φωτιά, πλημμύρα ή κλοπή θα χρειαστεί να ανακτήσετε τα δεδομένα σας όσο το δυνατόν γρηγορότερα για τη συνέχιση της επιχειρηματικής δραστηριότητας.

Η απώλεια δεδομένων είναι επίσης παραβίαση DPA. Τα κακόβουλα λογισμικά μπορούν να απαγορεύσουν την πρόσβαση στα δεδομένα σας και σε περίπτωση μόλυνσης από ransomware να επιτραπεί η πρόσβαση μόνο μετά από την πληρωμή λύτρων.

Πρέπει να έχετε ένα ενημερωμένο σχέδιο για να προστατευτείτε από καταστροφές και κακόβουλα λογισμικά.

Πρέπει να υπάρχει μια ισχυρή στρατηγική δημιουργίας αντιγράφων ασφαλείας δεδομένων. Τα backup πρέπει να αποθηκεύονται έτσι ώστε να μην είναι ορατά στο υπόλοιπο δίκτυο. Αν είναι προσβάσιμα θα μπορούν να κρυπτογραφηθούν από malware ή να διαγραφούν κατά λάθος.

Τουλάχιστον ένα αντίγραφο πρέπει να είναι σε άλλο χώρο (off-site backup).

6)Εκπαιδεύστε το προσωπικό σας

Οι υπάλληλοί σας μπορεί να έχουν περιορισμένη γνώση περί της προστασίας δεδομένων αλλά είναι η τελευταία γραμμή άμυνας ενάντια σε μία επίθεση. Τα ανθρώπινα λάθη είναι μία από τις κύριες αιτίες παραβίασης των προσωπικών δεδομένων. Αυτό μπορεί να συμβεί απλά στέλνοντας ένα mail στο λάθος άτομο ή ανοίγοντας mail που περιέχει κακόβουλο λογισμικό. Για αυτό είναι σημαντικό οι υπάλληλοι όλων των επιπέδων να γνωρίζουν τον ρόλο και τις ευθύνες τους. Εκπαιδεύστε το προσωπικό σας ώστε να αναγνωρίζουν τους κινδύνους και τις απειλές. Το προσωπικό πρέπει να γνωρίζει από τι πρέπει να προστατευτεί. Θα πρέπει να ενθαρρύνετε την ευαισθητοποίηση σχετικά με ασφαλείας μέσα στη εταιρεία σας και να ενημερώνετε το προσωπικό μέσω επιμορφωτικών σεμιναρίων.

7)Προσέξτε για πιθανά προβλήματα

Μια κυβερνοεπίθεση μπορεί να περάσει απαρατήρητη για πολύ καιρό. Αρκετά θύματα κυβερνοεπιθέσεων ανακαλύπτουν πως έχουν δεχτεί επίθεση όταν είναι ήδη πολύ αργά, ενώ υπήρχαν ήδη τα σημάδια.

Ελέγξτε τα μηνύματα του λογισμικού ασφαλείας, αποκτήστε πρόσβαση στις καταγραφές ελέγχου και άλλα συστήματα προειδοποίησης που μπορεί να έχετε σε συχνή βάση. Επίσης θα πρέπει να δράσετε από την στιγμή που υπάρχει προειδοποίηση κινδύνου στα συστήματα αυτά.

Σιγουρευτείτε πως μπορείτε να ελέγξετε το λογισμικό ή τις υπηρεσίες που τρέχουν στο σύστημά σας.

Σιγουρευτείτε πως μπορείτε να αναγνωρίσετε αν τρέχει κάποιο πρόγραμμα που δεν θα έπρεπε. Ολοκληρώστε τακτικές σαρώσεις ευπάθειας και τεστ διείσδυσης για λύσετε όποια προβλήματα ασφαλείας μπορεί να υπάρχουν.

8)Μάθετε τι πρέπει να κάνετε

Μια καλή πολιτική θα σας ενθαρρύνει να επιλύσετε όποια προβλήματα υπάρχουν με σταθερό τρόπο. Οι πολιτικές ασφαλείας θα πρέπει να ενσωματώνονται στις επιχειρηματικές διαδικασίες. Κάποιοι οργανισμοί δεν έχουν επαρκές επίπεδο προστασίας επειδή δεν χρησιμοποιούν σωστά τα μέσα ασφαλείας που έχουν στην διάθεσή τους, και δεν έχουν πάντα την ικανότητα να εντοπίσουν μια απειλή όταν αυτή υπάρχει.

Επίσης, θα πρέπει να εξετάσετε πως θα δράσετε σε περίπτωση απώλειας δεδομένων. Η καλή διαχείριση περιστατικών μπορεί να μειώσει την ζημιά και τον κίνδυνο.

Εξετάστε τα προσωπικά δεδομένα που ήδη διαχειρίζεστε και τα μέσα προστασίας που έχετε ήδη εφαρμόσει.

Ενημερωθείτε για τις νομικές υποχρεώσεις και κρατήστε ενήμερο το προσωπικό για τις ευθύνες που έχουν για τα προσωπικά δεδομένα που διαχειρίζονται.

9)Ελαχιστοποιήστε τα δεδομένα σας

Τα προσωπικά δεδομένα πρέπει να είναι ακριβή, ενημερωμένα και να μην κρατούνται για παραπάνω από όσο χρειάζεται. Εν καιρώ μπορεί να έχετε συλλέξει μεγάλη ποσότητα δεδομένων. Κάποια από αυτά μπορεί να είναι ανακριβή, μη ενημερωμένα ή μη χρήσιμα. Αποφασίστε αν χρειάζεστε τα δεδομένα. Αν τα χρειάζεστε, σιγουρευτείτε πως είναι αποθηκευμένα στο σωστό μέρος. Αν χρειάζεστε δεδομένα για κάποιο αρχείο αλλά δεν τα χρησιμοποιείτε συχνά, μεταφέρετε τα σε ασφαλή τοποθεσία. Αν έχετε δεδομένα που δεν χρειάζεστε, διαγράψτε τα. Αυτό θα πρέπει να ακολουθεί τις πολιτικές διατήρησης ή διαγραφής που μπορεί να έχετε.

10)Σιγουρευτείτε ότι ο ΙΤ πάροχος σας, κάνει αυτό που πρέπει

Πολλές εταιρίες μεταφέρουν όλες τις ΙΤ ανάγκες τους σε κάποια τρίτη εταιρία. Θα πρέπει να είστε ικανοποιημένοι όταν διαχειρίζονται τα δεδομένα σας με το ίδιο επίπεδο ασφάλειας όπως εσείς. Ζητήστε έναν έλεγχο ασφάλειας των συστημάτων σας από έναν τρίτο. Αυτό θα βοηθήσει στον εντοπισμό τρωτών σημείων που πρέπει να εντοπιστούν.

Επισκεφθείτε τις εγκαταστάσεις του ΙΤ παρόχου σας και βεβαιωθείτε ότι είναι όπως περιμένατε και χρησιμοποιεί αντίστοιχα τους κανόνες ασφαλείας. Στη περίπτωση όπου ο πάροχος ανακυκλώνει τον εξοπλισμό σας, βεβαιωθείτε ότι το κάνει με τον ασφαλέστερο για εσάς τρόπο. Ελέγξτε τα συμβόλαια και απαιτήστε γραπτώς ότι ενεργεί σύμφωνα με τον νέο Κανονισμό προστασίας προσωπικών δεδομένων.

Διαβάστε σχετικά άρθρα:

25 Μαΐου 2018 σε ισχύ ο Γενικός Κανονισμός για την Προστασία των Δεδομένων

Υπηρεσίες και Τεχνικές Λύσεις από την Uniplus

Γράφτηκε από:

avatar

Σχεδιασμός, υλοποίηση ολοκληρωμένων λύσεων, εγκαταστάσεις, υποστήριξη συστημάτων πληροφορικής και δικτύων για παροχή λύσεων υψηλού επιπέδου προς τους τελικούς πελάτες σε εξαιρετικά ανταγωνιστικές τιμές.