odoserwis.pl: Jakie zmiany w sferze technologicznej/informatycznej niesie za sobą Rozporządzenie GDPR?

Florian Malecki: Rozporządzenie ogólne o ochronie danych (GDPR) z perspektywy dostosowania systemów informatycznych ROZPORZĄDZENIE UE RODO - AKTUALNOŚCI Ogólne Rozporządzenie O Ochronie Danych, Dane Osobowe Przedsiębiorców, Unijne Rozporządzenie O Ochronie Danych Osobowych, Zabezpieczenie Danych W Systemach Informatycznych. Rozmowa na temat zmian jakie w zakresie bezpieczeństwa i zarządzania systemami informatycznymi wprowadza ogólne rozporządzenie o ochronie danych (General Data Protection Regulation - GDPR), które zacznie obowiązywać w 2018 roku; a także odpowiedź na pytanie jakie działania podjąć powinni przedsiębiorcy w tym zakresie aby dostosować się do nowych wymogów.

odoserwis.pl: Czy Rozporządzenie GDPR, które zacznie obowiązywać od maja 2018 roku będzie miało wpływ na zarządzanie systemami informatycznymi?

Florian Malecki: Przedsiębiorstwa muszą wziąć pod uwagę pewną kluczową kwestię: nie da się chronić czegoś, czego się nie zna. Jednym z najtrudniejszych, lecz istotnych zadań do wykonania, jest więc określenie dokładnej lokalizacji najistotniejszych danych oraz wskazanie technologii i procedur, które będzie trzeba wdrożyć przed wejściem w życie nowych przepisów General Data Protection Regulation. Przejrzystość i znajomość lokalizacji oraz zabezpieczeń danych są kluczowe, ich zapewnienie jest jednak prawdziwym wyzwaniem, zwłaszcza dla przedsiębiorstw, które korzystają ze zróżnicowanych usług przetwarzania w chmurze. Wiele firm nie zdaje sobie sprawy z faktu, że odpowiedzialność leży po ich stronie, a nie po stronie dostawców rozwiązań chmurowych. Dlatego dyrektorzy ds. IT powinni domagać się przejrzystości co do miejsca zapisu danych o znaczeniu krytycznym. Do jej uzyskania niezbędne są solidne strategie i narzędzia do zarządzania systemami informatycznymi. Będą one kluczowym aspektem przygotowań na wejście w życie rozporządzenia GDPR.

odoserwis.pl: Jakie przygotowania w sferze informatycznej powinni podjąć przedsiębiorcy aby dostosować się do wymogów Rozporządzenia GDPR?

Florian Malecki: Firmy przygotowujące się na wejście w życie przepisów GDPR mają do dyspozycji szeroką gamę narzędzi. W przypadku przedsiębiorstw, które nie rozpoczęły jeszcze przygotowań, pierwszym krokiem powinna być analiza aktualnej strategii bezpieczeństwa w celu wykrycia potencjalnych luk. Dopiero po uzyskaniu pełniejszych informacji i lepszym zorientowaniu się we własnym środowisku zabezpieczeń powinny mądrze zainwestować w niezbędną technologię.

Po pierwsze, aby spełnić wymagania GDPR, pracownicy i wykonawcy usług muszą dysponować właściwymi uprawnieniami dostępu, pozwalającymi realizować zlecone im zadania — i nic więcej. Odpowiednie technologie do zarządzania tożsamością i dostępem, które umożliwiają kontrolę na tym poziomie, to uwierzytelnianie wieloskładnikowe, bezpieczny dostęp mobilny, zabezpieczenia adaptacyjne, precyzyjne zarządzanie hasłami oraz pełna kontrola nad danymi uwierzytelniającymi i aktywnością użytkowników uprzywilejowanych. Rozwiązania do zarządzania dostępem uprzywilejowanym oraz narzędzia do zarządzania tożsamością i dostępem eliminują złożoność i czasochłonne procesy stosowane często do kontrolowania dostępu. Zapewniają też niezbędną przejrzystość i możliwość kontroli dostępu do aplikacji, które zezwalają na korzystanie z danych osobowych obywateli UE — to ważny element w dziedzinie zgodności z przepisami GDPR.

Przedsiębiorstwa, w myśl nowej regulacji General Data Protection Regulation, muszą też zmniejszyć podatność sieci na cyberzagrożenia i zniwelować ryzyko naruszeń bezpieczeństwa danych (które mogą prowadzić do surowych kar nakładanych na mocy GDPR). Należy również zadbać o informacje na potrzeby ewentualnych dochodzeń, niezbędne do udowodnienia zgodności z przepisami i wdrożenia stosownych korekt po naruszeniu. Przydatne mogą się tu okazać zapory nowej generacji, które chronią przed nowymi rodzajami zagrożeń i są wyposażone w takie funkcje jak głęboka inspekcja pakietów, odszyfrowywanie i inspekcja sesji SSL w czasie rzeczywistym, adaptacyjne wydzielone środowisko uruchamiania aplikacji oraz pełna kontrola i wizualizacja aplikacji. W celu spełnienia wymagań przepisów GDPR należy też zapewnić bezpieczeństwo poczty elektronicznej. Przez uzyskanie pełnej kontroli i przejrzystości aktywności w tym obszarze firmy mogą zniwelować zagrożenie w postaci phishingu i innych opartych na wiadomościach e-mail ataków na informacje chronione, a zarazem umożliwić bezpieczną, zgodną z przepisami wymianę poufnych i zastrzeżonych danych. Skuteczne narzędzie do blokowania wirusów, infekcji typu zombie, phishingu i spamu może chronić firmy przed zagrożeniami zewnętrznymi i ułatwić spełnienie wymogów rozporządzenia.

Przedsiębiorstwa powinny ponadto zadbać o bezpieczny dostęp mobilny, aby wspierać właściwy przepływ chronionych danych, umożliwiając jednocześnie pracownikom dostęp do potrzebnych im aplikacji biznesowych i danych w preferowany przez nich sposób i za pomocą wybranych przez nich urządzeń. Bezpieczeństwo danych można zwiększyć (przy jednoczesnej eliminacji przeszkód dostępowych) przez połączenie komponentów związanych z tożsamością, zmiennych reprezentujących urządzenia i czynników czasowych (czas, lokalizacja itp.), aby stworzyć elastyczne, oparte na ryzyku metody, które zawsze i nieprzerwanie zapewniają właściwy dostęp, a zarazem poprawiają ochronę danych i zgodność z przepisami GDPR.

Florian Malecki, International Product Marketing Director, SonicWall