GDPR

Czy jesteśmy gotowi na GDPR?

Zgodnie z przyjętym przez instytucje Unii Europejskiej kalendarzem, w maju 2018 roku zaczną funkcjonować nowe przepisy dotyczące ochrony danych osobowych. Ogólny ich zakres jest określony rozporządzeniem o nazwie General Data Protection Regulation (GDPR). Rozporządzenie to precyzuje nie tylko zasady administrowania danymi osobowymi, ale także określa konsekwencje wynikające z niezastosowania się do nich. Ich wprowadzenie spowoduje, że firmy będą musiały gruntownie zweryfikować wewnętrzne procesy dotyczące bezpieczeństwa przetwarzanych przez nie danych osobowych, przez co GDPR określane jest przez wielu regulacją dekady.

Co wprowadza GDPR?

Rozporządzenie przewiduje bardziej restrykcyjne niż dotychczas wymagania, dotyczące uzyskania zgody na gromadzenie informacji personalnych i indywidualne profilowanie.

Co wprowadza GDPR?

Rozporządzenie przewiduje bardziej restrykcyjne niż dotychczas wymagania, dotyczące uzyskania zgody na gromadzenie informacji personalnych i indywidualne profilowanie.

Rozpocznij przygotowania już teraz!

Wszystkie organizacje przetwarzające dane osobowe w sposób automatyczny podlegać będą GDPR – zarówno niewielkie sklepy online, jak i międzynarodowi giganci rynku internetowego w tym serwisy społecznościowe. Nowe przepisy w zakresie ochrony danych osobowych będą obowiązywały każdą firmę, która przetwarza dane osób jak: apteki, uczelnie, towarzystwa ubezpieczeniowe czy banki. Od organizacji będzie wymagana wiedza o tym, gdzie dane są przechowywane, dokąd migrują, komu są udostępniane, jakie zgody zostały udzielone oraz kiedy dane powinny zostać trwale usunięte.

Wszystkie organizacje mają czas do maja 2018 roku, na zweryfikowanie wszystkich procesów biznesowych i dostosowanie się do nowej dyrektywy. Im wcześniej przedsiębiorstwa rozpoczną wdrażanie nowych przepisów, tym większa pewność, że zapewnią bezpieczeństwo danych swoim kontrahentom, a tym samym zachowają wizerunek profesjonalnej firmy oraz unikną wysokich kar finansowych za niedopatrzenia w tej kwestii.

Analiza i korelacja zdarzeń bezpieczeństwa

Zbieranie i analiza zdarzeń z kluczowych elementów sieci wspomaga rozwiązywanie problemów dotyczących bezpieczeństwa informacji, zarządzania operacjami oraz monitorowania aplikacji i systemów. Zdarzenia i informacje o przepływach sieciowych gromadzone w jednej, scentralizowanej bazie, mogą być w łatwy sposób przeszukiwanie, filtrowane i korelowane. Dzięki takiej funkcjonalności możliwe jest szybkie reagowanie na incydenty i łatwiejsze zarządzanie bezpieczeństwem przedsiębiorstwa.

McAfee Enterprise Security Manager (McAfee ESM/SIEM) wykorzystuje opatentowaną, wyjątkową na rynku architekturę szybkiego przetwarzania i zarządzania danymi. Architektura ta umożliwia efektywne połączenie wielu funkcjonalności w jednym rozwiązaniu i kontrolowanie całości z jednej konsoli.

System ten charakteryzuje się zaawansowanymi mechanizmami logiki zarządzania bezpieczeństwem, szybkim czasem reakcji na incydenty, bezproblemowym zarządzaniem logami oraz rozbudowanymi raportami dotyczącymi zgodności z regulacjami. Pozwala też na zaawansowaną korelację danych – wyszukiwanie wzorców i odchyleń od linii bazowych w zgromadzonych zdarzeniach, aktywnościach sieciowych i bazach danych, a nawet w treściach przenoszonych przez rozmaite aplikacje działające w sieci. Funkcjonalność ta zapewnia lepsze i szybsze wyszukiwanie śladów zagrożeń, ataków, utraty danych oraz oszustw związanych z chronionymi zasobami organizacji.

Rozwiązanie do ochrony baz danych i aplikacji webowych

W bazach danych przechowywane są niezwykle cenne, poufne dane. Zwiększająca się liczba wytycznych dotyczących zgodności z regulacjami bezpieczeństwa zmusza organizacje do wprowadzania procesów kontroli dostępu do tych danych oraz do ochrony ich przed atakami i nadużyciami. Produkty bezpieczeństwa baz danych automatyzują procesy kontroli i natychmiastowo identyfikują ataki, działania niepożądane oraz nadużycia. W połączeniu z produktami bezpieczeństwa aplikacji webowych oraz produktami bezpieczeństwa plików stają się naturalnym wyborem w zabezpieczaniu poufnych danych biznesowych.

Dzięki zastosowaniu rozwiązań IMPERVA do ochrony aplikacji webowych i baz danych istnieje możliwość śledzenia i monitorowania wszystkich transakcji dokonywanych przez użytkowników aplikacji. Ciągła kontrola, monitorowanie i kontrolowanie w czasie rzeczywistym wszystkich operacji wykonywanych na bazach jest cennym źródłem informacji na temat tego, „Kto? Co? Kiedy? Gdzie? Oraz jak?” wykorzystuje.

Brak systemu Imperva może doprowadzić do sytuacji, że nie odnajdziemy incydentu naruszenia bezpieczeństwa, a nasze dane zostaną udostępnione w sieci. Znacznie wydłuży się również czas poszukiwania przyczyny incydentu i osób odpowiedzialnych. Należy pamiętać, że nie tylko hakerzy z zewnątrz chcą pozyskać nasze dane. Mogą to być również osoby pracujące dla przedsiębiorstwa tzw. malicious insider.

Narzędziem, które pozwoli zebrać informacje: kto i kiedy miał dostęp do danych w bazie, są najnowsze i najlepsze systemy do ochrony aplikacji i baz danych, które monitorują ruch, zapisują każdą operację oraz kiedy i przez kogo została wykonana. Mogą również blokować incydenty. Jedną z ważniejszych funkcjonalności tych systemów to możliwość jednoznacznego stwierdzenia naruszenia ochrony danych, co administrator powinien zgłosić organowi nadzorczemu bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin po ich stwierdzeniu.

Systemy zapobiegające wyciekowi danych

System ochrony przed wyciekiem danych, minimalizujący ryzyko dostępu do poufnych informacji przez osoby nieuprawnione, powinien składać się z kilku komplementarnych, zintegrowanych ze sobą rozwiązań: modułu klasyfikowania tworzonych treści, zabezpieczeń klasy DLP instalowanych na stacjach roboczych i na poziomie sieci oraz komponentów szyfrujących dyski twarde i nośniki pamięci. Dzięki takiemu podejściu możliwe jest przeciwdziałanie incydentom utraty danych, będącym działaniami umyślnymi oraz zupełnie przypadkowymi, wynikającymi z nieświadomości, czy też nieuwagi użytkownika.

McAfee Data Loss Prevention (McAfee DLP) jest kompleksowym rozwiązaniem zapobiegającym wyprowadzaniu własności intelektualnej, danych finansowych, czy też osobowych, poprzez dowolne kanały przepływu informacji. System zapewnia całkowitą kontrolę nad danymi, które są przez użytkowników drukowane, modyfikowane przy wykorzystaniu różnych aplikacji, czy też przenoszone na nośnikach pamięci. Dodatkowo monitorowane i blokowane są przypadki wysyłania danych poufnych poprzez pocztę e-mail, pocztę w przeglądarce internetowej, aplikacje peer-to-peer, komunikatory internetowe, Skype oraz protokoły sieciowe, takie jak HTTP, HTTPS i FTP.

McAfee DLP może być uruchomiony w postaci komponentów zabezpieczających poszczególne komputery organizacji, niezależnie od tego, gdzie się aktualnie znajdują, jak również w postaci modułów sieciowych, analizujących przepływ informacji w kluczowych punktach firmowej infrastruktury. Polityka ochrony danych jest spójna dla rozwiązań hostowych i sieciowych, co znacznie upraszcza obsługę i skuteczność całego rozwiązania.

Tukan IT GREENmod wprowadza możliwość uzupełnienia mechanizmów automatycznego klasyfikowania dokumentów oraz poczty elektronicznej o nieocenioną w takich przypadkach wiedzę użytkownika, dotyczącą poufności tworzonych przez niego treści. Rozwiązanie to integruje się z aplikacjami Microsoft Office, wymuszając konieczność sklasyfikowania tworzonego dokumentu przed zapisaniem go na dysku komputera. Analogicznie GREENmod uniemożliwi wysłanie wiadomości pocztowej, jeżeli nie zostanie ona sklasyfikowana.

System ten łatwo integruje się z rozwiązaniami klasy DLP i systemami zarządzającymi dostępem do plików (ERM) różnych producentów. Podobnie możliwe jest wykorzystywanie informacji o nadawanej przez GREENmod klasyfikacji w systemach typu web-proxy i innych rozwiązaniach monitorujących treść przesyłanych plików i wiadomości.

Rozszerzeniem systemu do ochrony przed wyciekiem danych są rozwiązania do szyfrowania dysków twardych (McAfee Drive Encryption) oraz plików i pamięci przenośnych (McAfee File and Removable Media Protection). Zapewniają one bezpieczne przenoszenie danych, bez ryzyka nieuprawnionego dostępu do nich w przypadku kradzieży lub zgubienia chronionego urządzenia. Rozwiązania te są zaprojektowane do wykorzystywania w zaawansowanych środowiskach informatycznych, umożliwiając wszechstronne zarządzanie i obsługę sytuacji awaryjnych (np. zgubienie hasła).

Tylko trzy kroki aby być gotowym na GDPR

  1. Analiza posiadanych danych – audyt

W ramach obowiązywania GDPR kluczowe będzie pokazanie, że dane są chronione we właściwy sposób, biorąc pod uwagę ich wrażliwość i klasyfikację. W tym celu konieczne jest przeprowadzenie audytu zachodzących w organizacji procesów, aby ocenić stopień ochrony przetwarzanych w nich danych i sklasyfikować je do odpowiednich kategorii, Następnie należy ustalić, czyje dane są w posiadaniu firmy, kiedy zostały wprowadzone do systemu, gdzie są przechowywane oraz kto ma do nich dostęp, biorąc pod uwagę wszystkie wykorzystywane przez firmę systemy.

  1. Powołanie inspektora ochrony danych (IOD)

W każdej organizacji powinno istnieć niezależne i samodzielne stanowisko eksperckie, tak zwany IOD, któremu będzie powierzone kontrolowanie wszystkich procesów, dotyczących przetwarzania danych osobowych. Do zadań Inspektora Ochrony Danych będzie należało między innymi:

  • Monitorowanie przestrzegania rozporządzenia GDPR oraz innych przepisów Unii lub państw członkowskich o ochronie danych osobowych.
  • Monitorowanie przestrzegania wewnętrznych regulacji danej organizacji w zakresie ochrony danych osobowych.
  • Weryfikacja i nadzór realizowania wymagań regulujących podział obowiązków.
  • Prowadzenie działań zwiększających świadomość, poprzez szkolenie personelu uczestniczącego w przetwarzaniu danych osobowych.
  • Nadzór nad przeprowadzanie audytów.
  1. Wdrożenie strategi cyberbezpieczeństwa

Zastosowane w organizacjach systemy powinny zapewniać poziom bezpieczeństwa adekwatny do wymagań oraz ryzyka, dając gwarancję że ochrona przetwarzanych danych jest utrzymywana na jak najwyższym poziomie. Systemy te powinny być cyklicznie audytowane oraz dostosowywane do zmieniających się zagrożeń.

W naszej ofercie znajdą Państwo rozwiązania ochrony danych, które zapewnią między innymi:

  • Bezpieczeństwo baz danych oraz aplikacji webowych
  • Przeciwdziałanie utracie danych (tzw. Data Loss Prevention) oraz wspomaganie procesów klasyfikacji informacji
  • Analizę i korelację zdarzeń pochodzących z systemów przetwarzających dane

Jesteśmy również w stanie wesprzeć Państwa w zakresie wykonania profesjonalnej analizy przepisów wewnętrznych oraz wspomóc w dostosowaniu regulacji do wymogów rozporządzenia GDPR.