Pentru a veni in spijinul acestor eforturi, GDPR Complet a pregatit un set de recomandari cu privire la principalele amenintari la securitatea datelor, modul lor de adresare, cat si maniera de implementare a diferitelor forme de prelucare automatizata a datelor.
Mai jos se regaseste o lista de aspecte GDPR legate de securitatea IT care ar trebui cunoscute de catre responsabilul de protectia datelor, de echipele care implementeaza conformarea GDPR si bineinteles de catre managerii IT.
Statisticile spun ca 91% dintre atacurile cibernetice isi au inceputul pe email. Prin accesarea unui link sau a unui atasament primit pe email se poate declansa un intreg lant de evenimente nefericite pentru reteaua si compania dvs.
Din punct de vedere GDPR, email-ul poate insemna o bresa de securitate majora, deoarece prin intermediul email-ului se pot trimite / primi mesaje care pot contine date cu caracter personal. De exemplu, nu se foloseste corect functia de CC/BCC atunci cand se trimite un email catre un grup de persoane (sugestie, folositi BCC). Alt exemplu: se greseste destinatarul si astfel putem ajunge in situatia de a trimite un email care ar putea contine date cu caracter personal la un alt destinatar. Aici functia de auto complete ne incurca de multe ori. Sugestie: folositi confirmarea de trimitere / citire a email-ului care ne poate ajuta sa ne dam seama mai repede ca am trimis un mesaj catre un destinatar gresit. Un al treilea exemplu, atasamentele nu sunt criptate sau protejate de parola si astfel in cazul in care emailul este interceptat prin diverse mijloace, continutul lui si al atasamentului este facil de citit. Sugestie: parolati, arhivati si criptati toate documentele care contin date cu caracter personal, care se trimit pe email.
O parte din solutiile sugerate de GDPR Complet sunt:
- Filtrarea traficului de email pentru a reduce spam-ul si tentativele de Phishing. Mentionam aici unelte similare SpamAssassin pentru a reduce mesajele nesolicitate, folosirea unui antivirus pentru serverul de email, implementarea DMARC “ Domain-based Message Authentication, Reporting & Conformance ” care asigura conformitatea celui care trimite un email.
- Training pentru personalul care foloseste email-ul si politici clare de folosire a email-ului. Mentionati ce este permis si ce nu este permis, ce trebuie raportat ca si incident catre departamentul IT.
- Politici clare legate de folosirea email-ului personal la locul de munca.
Retelele WiFi
Orice retea Wifi poate fi utilizata pentru a colecta anumite informatii despre echipamentele conectate la ea. O retea prea putin securizata poate expune multe date. Majoritatea companiilor pun la dispozitia partenerilor / clientilor / vizitatorilor o retea WiFi care poate fi folosita. Este esential ca acesta retea sa fie izolata de reteaua principala in care sunt operate si procesate date cu caracter personal.
Nici un dispozitiv pe care nu-l controlati, la nivel de inventar hardware / software si politici de acces, nu ar trebui sa poata vizualiza, procesa sau stoca date cu caracter personal si nu ar trebui sa primeasca acces in reteaua principala a firmei / institutiei.
Inventarul hardware si software
Este esential din punct de vedere GDPR sa existe o inventariere hardware si software pentru a identifica aplicatiile si sistemele care sunt folosite pentru vizualizarea, procesarea sau stocarea datelor cu caracter personal. Sugestia GDPR Complet este sa se inceapa cu inventarierea echipamentelor din reteaua interna si apoi sa se continue cu cele externe (cloud, VPS, FTP, etc.).
Practic fiecare echipament: computer desktop sau laptop, server, telefon mobil, router, switch sau imprimanta trebuie inventariat si trebuie sa existe o politica clara legata de modul de folosire a aplicatiilor si raportare a posibilelor probleme.
Angajatii
Angajatii pot fi veriga slaba cand vine vorba de securitate si conformare GDPR. De aceea sunt recomandate instruiri periodice prin care sa se prezinte politicile de securitate care se aplica in companie, care trebuie sa contina:
- modul de autentificare pe sistemele de operare / aplicatiile software,
- modul in care aplicatiile pot fi folosite,
- daca este monitorizata activitatea pe calculator si motivele acestei monitorizari,
- daca sunt monitorizate imprimantele si motivele aceste monitorizari,
- daca exista forme de monitorizare a convorbirilor telefonice sau a discutiilor pe chat ale angajatilor cu clientii,
- daca dispozitivele lor mobile sunt criptate si modul in care acestea pot fi folosite in afara programului, acces VPN in retea, etc.
- politica de lock a statiilor de lucru,
- politica de folosire a USB-urilor,
- politica de folosire Bluetooth,
- politica de parole,
- politica de backup.
Este bine de stiut ca aceleasi politici de securitate ar trebui sa se aplice si angajatilor externi sau freelancerilor cu care compania dvs. colaboreaza daca ei acceseaza / proceseaza sau stocheaza date cu caracter personal.
Infrastructura
Pentru conformarea GDPR (si nu numai) trebuie luate un set de masuri tehnice incepand de la website-uri, care trebuie securizate si pana la securizarea retelei interne. Asigurati-va ca reteaua interna nu este accesibila din exterior, ca toate sistemele de operare sunt actualizate, evitati folosirea unor sisteme de operare depasite, folositi antivirus actualizat pentru a minimiza riscurile si folositi software de backup pentru toate datele importante.
Aplicatiile
Daca sunteti dezvoltatori de aplicatii sau simpli administratori ai aplicatiilor este foarte important de stiut ce aplicatii se folosesc pentru procesarea datelor cu caracter personal si sa va asigurati ca ele sunt conforme GDPR. In sensul acesta noi recomandam contactarea producatorilor aplicatiilor respective pentru detalii legate de conformitate cum ar fi: ce date si unde le stocheaza fiecare aplicatie in parte.
Dupa cum vedeti, masurile tehnice care trebuie luate in vederea obtinerii conformitatii la GDPR sunt numeroase iar gradul de complexitate a lor este destul de ridicat, astfel ca se recomanda apelarea la servicii de consultanta GDPR oferite de echipe specializate sau chiar externalizarea acestor servicii catre un DPO externalizat.
Cine e GDPR Complet si cum te putem ajuta? Suntem o echipa de specialisti cu experienta de peste 10 ani in domeniul managerial, juridic si IT. La baza suntem o companie IT si activam de peste 18 ani in domeniul dezvoltarii software, solutiile software proprii avand recunoastere atat interna cat si internationala. Vrem sa schimbam mentalitatea despre conformarea GDPR in Romania, sa ridicam nivelul de profesionalism si sa-l aliniem standardelor europene.
Daca ai intrebari referitoare la conformarea GDPR, contacteaza-ne la contact@gdprcomplet.ro sau pe www.gdprcomplet.ro.
FOTO: gdprcomplet.ro
Advertorial
