Asigurarea faptului că toate datele cu caracter personal pe care le dețineți este sigură poate fi o activitate importantă, dar ce înseamnă de fapt securitatea conform legislației GDPR?
In Regulamentul GDPR se precizeaza că datele cu caracter personal trebuie: „prelucrate într-un mod care să asigure adecvat securitatea datelor cu caracter personal, inclusiv protecția împotriva persoanelor neautorizate sau prelucrarea ilegală și împotriva pierderii, distrugerii sau deteriorării accidentale, folosind măsuri tehnice sau organizaționale adecvate ”
Acest lucru echivalează cu asigurarea confidențialității, integrității și disponibilității fișierelor de date cu caracter personal, precum și reziliența sistemelor sau serviciilor și capacitatea de a restabiliți datele după un incident.
Pentru a realiza acest lucru, există șapte aspecte de bază pe care fiecare dintre întreprinderile mici trebuie să le ia in calcul:
• Antivirus
• Gestionarea patch-urilor
• Filtrare e-mail
• Filtrare web
• Administrarea privilegiilor de administrator
• Controlul accesului
• Backup-uri
În mod ideal, sunt si două zone suplimentare pe care ați dori să le acoperiți, în funcție de riscurile și bugetul dumneavoastră:
• Monitorizare
• Forensinc
Fiecare zonă reduce riscurile cu care vă puteți confrunta pentru a vă proteja datele, fie că sunt personale sau date comerciale. Nu aveți nevoie de soluții costisitoare de securitate pentru a fi conform, GDPR se bazează pe risc și vorbește despre măsuri adecvate.
Începeți prin a pune ceva în loc pentru a acoperi fiecare zonă si pentru a nu lăsa goluri, concentrându-vă bugetul unde sunt cele mai mari riscuri identificate (rating mediu sau ridicat). Aceasta va varia foarte mult la micile afaceri, dar pentru mulți, e-mailul este un risc ridicat, spre exemplu.
Primul pe listă este antivirusul, care, în ciuda faptului că este încorporat gratuit de Microsoft in sistemul de operare Windows, nu l-as recomanda pentru o afacere, deoarece soluțiile antivirus platite se află într-o altă ligă. Acestea sunt adesea bazate pe cloud, deci acolo nu este un software de gestionare de instalat, cu un tablou de bord care arată starea fiecăruia dintre computerele tale. Dacă s-ar produce o încălcare a datelor, si aceasta ar fi putut fi oprită cu o soluție antivirus de afaceri platita, ar fi greu să susții că ai avut-o securitate adecvată avand solutia gratuita, având în vedere că poate costa mai puțin de 100 lei pe an pe computer.
Urmează gestionarea patch-urilor sau gestionarea actualizărilor de software. Software-ul este incredibil de complex și, ca urmare, departe de a fi perfect, plin de bug-uri și alte probleme. În fiecare săptămână, problemele majore de software și problemele de securitate sunt remediate prin intermediul actualizarilor software,
Pentru aceste probleme, bug-uri, este posibil ca infractorii cibernetici să fi început deja să fi programat virusi care sa le exploateze. In multe cazuri în care aceste vulnerabilități vă pot ocoli o mare parte din securitate, dacă aveți ghinion suficient pentru a întâlni malware creat pentru a viza aceste vulnerabilități, deja datele sunt puse in pericol de a fi compromise. Așa ca este important pentru a rămâne la curent cu actualizările software. De asemenea, este o idee bună să identificați toate aplicatiile software pe care le aveți instalate, iar pentru cele care nu mai au suport de la dezvoltator (ex: Windows 7) , să decideti dacă riscurile de păstrare a acestora instalate pe calculator, sunt mai mici decât înlăturarea și înlocuirea lor cu alternative noi, cu suport de la dezvoltator.
E-mailul este principala formă de comunicare pentru multe întreprinderi mici și de departe cea mai nesigură și problematică piesă de tehnologie pe care cu toții tindem să o luăm de buna si sigura. E-mailul nu a fost niciodată conceput având în prim plan securitatea, ceea ce explica într-un fel de ce peste jumătate din toate e-mailurile trimise la nivel global sunt spam nedorit.
Este foarte ușor pentru ca un criminal cibernetic să falsifice un e-mail de la cineva de încredere, pentru a încerca sa va compromita computerele și sistemele cu scopul de a comite extorcare de bani (ramsomware), fraudă, furt sau folosire in scopuri malicioase.
Cel mai bine este să vă filtrați e-mailurile, în mod ideal înainte de a ajunge in casuta de email, pentru a identifica orice malware, phishing, etc. sau care încearcă să obtina credentialele dvs de autentificare (username, parola). Standarde de autentificare prin e-mail precum DMARC (care este gratuit din punct de vedere tehnic) merită implementate și pentru a preveni propriile adrese de e-mail de a fi ușor de falsificat de catre infractorii cibernetici.
Filtrarea e-mailurilor abordează doar jumătate din problemă, sunt la fel de multe malware, e-mailuri care conțin legături web către servicii legitime de partajare a fișierelor sau documente care conțin link-uri web în interiorul lor. Multe filtre de e-mail consideră aceste tipuri de e-mailuri ca fiind benign, deci filtrarea traficului web prin intermediul unei terțe părți vă va proteja în acesteascenarii, precum și când accesați internetul în general. Un layer de protectie gratuit este stratul de protecție, ușor de realizat, prin schimbarea DNS-ului dvs. de internet la 9.9.9.9 furnizat de Quad9.net atât pentru afaceri, cât și pentru consumatori.
Privilegiile de administrator inutile pe un computer sunt un factor major în multe cazuri de încălcare a securitatii datelor. Implementarea privilegiilor pentru întregul personal ca utilizator standard, vă poate reduce considerabil expunerea și riscul, la un cost efectiv zero.
Controlul accesului oferă protecție împotriva pierderilor accidentale și distrugerii rău intenționate, care pentru mulți este sub forma – nume de utilizator și parolă. Două dintre tehnologiile fundamentale care pot face o mare diferență pentru securitatea dvs., sunt criptarea și autentificarea în doi factori a accesului utilizatorului. Astfel poți fi încrezător că nimeni din afara nu poate cu ușurință accesa oricare dintre datele dvs., fie intenționat, fie accidental. Colegii pot fi pacaliti prin phishing, sau prin inginerie socială pentru a divulga numele de utilizator și parolele lor, dar fără dispozitivul cu mai mulți factori 2FA (de obicei un telefon mobil), datele sau serviciile nu pot fi accesate. Criptarea datelor dvs. înseamnă, de asemenea, că, dacă acestea cad în mâinile greșite, de exemplu, prin intermediul unui laptop furat sau a unei unități USB, datele nu pot fi accesate fără cheia de criptare.
Pseudonimizarea datelor cu caracter personal este, de asemenea menționată de câteva ori în legislația GDPR, unde datele sunt de obicei divizate și unele dintre ele sunt înlocuite cu identificatori artificiali, cum ar fi un număr de client în loc de un nume și o adresă. Cu toate acestea, pentru majoritatea întreprinderilor mici, acest lucru nu va fi probabil viabil din cauza costurilor.
Copiile de rezervă (Backup-uri) robuste oferă protecție împotriva pierderii accidentale, distrugerii sau deteriorării, mai ales dacă măsurile anterioare nu au funcționat sau nu au fost aplicabile. Fie că este vorba de erori umane, incendiu, furt sau ransomware de extorcare, copiile dvs. de rezervă vă permit să vă restaurați datele și să continuați să funcționați ca o afacere. Bun, practica este să aveți două copii de rezervă ale datelor dvs., dintre care una se află într-o altă locație (care ar putea fi in Cloud) în cazul în care locația dvs. principală este compromisă. Tot la fel, trebuie să vă asigurați că backup-urile dvs. nu prezintă un nou risc de securitate numai permițând accesul utilizatorului autorizat.
Telefoanele mobile și tabletele trebuie, de asemenea, să fie protejate. Principala prioritate este că sunt criptate și accesate numai printr-un cod PIN din 6 cifre sau biometrie, în cazul în care acestea sunt pierdute sau furate. O soluție de gestionare a dispozitivelor mobile (MDM) vă oferă opțiuni precum blocarea de la distanță sau ștergerea de la distanță dacă este furată, precum și controlul a ce aplicații pot fi utilizate. Acest lucru este important mai ales dacă utilizați aceste dispozitive pentru autentificarea cu doi factori.
Implementarea soluțiilor de securitate nu trebuie să fie costisitoare, costând la fel de puțin prețul o cafea pe săptămână, pe computer. Monitorizare și Forensinc pot fi totuși costisitoare, mai ales dacă sunt achiziționate ca sisteme independente. Ambele sunt de neprețuit în descoperirea unei brese de securitate, daca investigați cauzele profunde și amploarea daunelor, deci dacă puteți sa va permiteti sa includeti un anumit tip de monitorizare și forensinc, vă sfătuiesc safaceti acest lucru.