Securitatea datelor pentru conformarea la GDPR. Proceduri și politici de securitate IT

Miercuri, 23 Februarie 2022, ora 16:07
634 citiri
Securitatea datelor pentru conformarea la GDPR. Proceduri și politici de securitate IT
FOTO: gdprcomplet.ro

Un capitol important în procesul de conformare la GDPR îl reprezintă măsurile tehnice care trebuie aplicate atât în vederea securității datelor cât și pentru conformarea diferitelor forme de prelucrare la cerințele Regulamentului General privind Protecția Datelor. De cele mai multe ori, punerea în practică a acestor măsuri cade în sarcina departamentului IT, care face parte integrantă din echipa responsabilă cu implementarea GDPR.

Pentru a veni în spijinul acestor eforturi, GDPR Complet a pregătit un set de recomandări cu privire la principalele amenințări la securitatea datelor, modul lor de adresare, cât și maniera de implementare a diferitelor forme de prelucare automatizată a datelor.

Mai jos se regăsește o listă de aspecte GDPR legate de securitatea IT care ar trebui cunoscute de către responsabilul de protecția datelor, de echipele care implementează conformarea GDPR și bineînțeles de către managerii IT.

Statisticile spun ca 91% dintre atacurile cibernetice își au începutul pe email. Prin accesarea unui link sau a unui atașament primit pe email se poate declanșa un întreg lanț de evenimente nefericite pentru rețeaua și compania dvs.

Din punct de vedere GDPR, email-ul poate însemna o breșă de securitate majoră, deoarece prin intermediul email-ului se pot trimite / primi mesaje care pot conține date cu caracter personal. De exemplu, nu se folosește corect funcția de CC/BCC atunci când se trimite un email către un grup de persoane (sugestie, folosiți BCC). Alt exemplu: se greșește destinatarul și astfel putem ajunge în situația de a trimite un email care ar putea conține date cu caracter personal la un alt destinatar. Aici funcția de auto complete ne încurcă de multe ori. Sugestie: folosiți confirmarea de trimitere / citire a email-ului care ne poate ajuta să ne dăm seama mai repede că am trimis un mesaj către un destinatar greșit. Un al treilea exemplu, atașamentele nu sunt criptate sau protejate de parolă și astfel în cazul în care emailul este interceptat prin diverse mijloace, conținutul lui și al atașamentului este facil de citit. Sugestie: parolați, arhivați și criptați toate documentele care conțin date cu caracter personal, care se trimit pe email.

O parte din soluțiile sugerate de GDPR Complet sunt:

  • Filtrarea traficului de email pentru a reduce spam-ul și tentativele de Phishing. Menționăm aici unelte similare SpamAssassin pentru a reduce mesajele nesolicitate, folosirea unui antivirus pentru serverul de email, implementarea DMARC “ Domain-based Message Authentication, Reporting & Conformance ” care asigură conformitatea celui care trimite un email.
  • Training pentru personalul care folosește email-ul și politici clare de folosire a email-ului. Menționați ce este permis si ce nu este permis, ce trebuie raportat ca și incident către departamentul IT.
  • Politici clare legate de folosirea email-ului personal la locul de muncă.

Rețelele WiFi

Orice rețea Wifi poate fi utilizată pentru a colecta anumite informații despre echipamentele conectate la ea. O rețea prea puțin securizată poate expune multe date. Majoritatea companiilor pun la dispoziția partenerilor / clienților / vizitatorilor o rețea WiFi care poate fi folosită. Este esențial ca acestă rețea să fie izolată de rețeaua principală în care sunt operate și procesate date cu caracter personal.

Nici un dispozitiv pe care nu-l controlați, la nivel de inventar hardware / software și politici de acces, nu ar trebui să poată vizualiza, procesa sau stoca date cu caracter personal și nu ar trebui să primească acces în rețeaua principală a firmei / instituției.

Inventarul hardware și software

Este esențial din punct de vedere GDPR să existe o inventariere hardware și software pentru a identifica aplicațiile și sistemele care sunt folosite pentru vizualizarea, procesarea sau stocarea datelor cu caracter personal. Sugestia GDPR Complet este să se înceapă cu inventarierea echipamentelor din rețeaua internă și apoi să se continue cu cele externe (cloud, VPS, FTP, etc.).

Practic fiecare echipament: computer desktop sau laptop, server, telefon mobil, router, switch sau imprimantă trebuie inventariat și trebuie să existe o politica clară legată de modul de folosire a aplicațiilor și raportare a posibilelor probleme.

Angajații

Angajații pot fi veriga slabă când vine vorba de securitate și conformare GDPR. De aceea sunt recomandate instruiri periodice prin care să se prezinte politicile de securitate care se aplică în companie, care trebuie să conțină:

  • modul de autentificare pe sistemele de operare / aplicațiile software,
  • modul în care aplicațiile pot fi folosite,
  • dacă este monitorizată activitatea pe calculator și motivele acestei monitorizări,
  • dacă sunt monitorizate imprimantele și motivele aceste monitorizări,
  • dacă există forme de monitorizare a convorbirilor telefonice sau a discuțiilor pe chat ale angajaților cu clientii,
  • dacă dispozitivele lor mobile sunt criptate și modul în care acestea pot fi folosite în afara programului, acces VPN în rețea, etc.
  • politica de lock a stațiilor de lucru,
  • politica de folosire a USB-urilor,
  • politica de folosire Bluetooth,
  • politica de parole,
  • politica de backup.

Este bine de știut că aceleași politici de securitate ar trebui să se aplice și angajaților externi sau freelancerilor cu care compania dvs. colaborează dacă ei accesează / procesează sau stochează date cu caracter personal.

Infrastructura

Pentru conformarea GDPR (și nu numai) trebuie luate un set de măsuri tehnice începând de la website-uri, care trebuie securizate și până la securizarea rețelei interne. Asigurați-vă că rețeaua internă nu este accesibilă din exterior, că toate sistemele de operare sunt actualizate, evitați folosirea unor sisteme de operare depășite, folosiți antivirus actualizat pentru a minimiza riscurile și folosiți software de backup pentru toate datele importante.

Aplicațiile

Dacă sunteți dezvoltatori de aplicații sau simpli administratori ai aplicațiilor este foarte important de știut ce aplicații se folosesc pentru procesarea datelor cu caracter personal și să vă asigurați că ele sunt conforme GDPR. In sensul acesta noi recomandăm contactarea producătorilor aplicațiilor respective pentru detalii legate de conformitate cum ar fi: ce date și unde le stochează fiecare aplicație în parte.

După cum vedeți, măsurile tehnice care trebuie luate în vederea obținerii conformității la GDPR sunt numeroase iar gradul de complexitate a lor este destul de ridicat, astfel că se recomandă apelarea la servicii de consultanță GDPR oferite de echipe specializate sau chiar externalizarea acestor servicii către un DPO externalizat.

Cine e GDPR Complet și cum te putem ajuta? Suntem o echipă de specialiști cu experiență de peste 10 ani în domeniul managerial, juridic și IT. La bază suntem o companie IT și activăm de peste 18 ani în domeniul dezvoltării software, soluțiile software proprii având recunoaștere atât internă cât și internațională. Vrem să schimbăm mentalitatea despre conformarea GDPR în România, să ridicăm nivelul de profesionalism și să-l aliniem standardelor europene.

Dacă ai întrebări referitoare la conformarea GDPR, contactează-ne la contact@gdprcomplet.ro sau pe www.gdprcomplet.ro.

Bugetarii din Capitală care vor avea salarii mai mari. Majorări prioritare pentru cei fără studii superioare
Bugetarii din Capitală care vor avea salarii mai mari. Majorări prioritare pentru cei fără studii superioare
Consiliul General al Capitalei a aprobat vineri majorarea salariilor de bază pentru funcţiile din cadrul aparatului de specialitate al primarului general şi din cadrul serviciilor şi...
BNR și-a dat avizul pentru a fi apărătoarea consumatorilor în relația cu băncile, Sindicat: „Măsura va duce la scăderea protecției consumatorilor”
BNR și-a dat avizul pentru a fi apărătoarea consumatorilor în relația cu băncile, Sindicat: „Măsura va duce la scăderea protecției consumatorilor”
Banca Națională a României (BNR) și-a dat avizul vineri, 29 martie, pentru o propunere legislativă care ar muta în sarcina băncii centrale protecția consumatorilor în relația cu...
#GDPR, #securitate date, #proceduri securitate , #Stiri Companii