Ustawa o ochronie danych osobowych z 1997 roku nakłada na każdego Administratora Danych Osobowych obowiązek ochrony tych danych. Wiele przedsiębiorstw przechowuje jednak inne dane, które są ściśle chronione, zatem ich zabezpieczanie nie dotyczy wyłącznie ustawowo chronionych informacji.
Obecnie utrzymanie należytego bezpieczeństwa przechowywanych i przetwarzanych informacji dotyczy głównie systemów informatycznych. Stąd też ważna obecność ASI – Administratora Systemów Informatycznych, w każdym systemie ochrony wewnętrznej oraz uwzględnienie go w polityce bezpieczeństwa firmy. Nie oznacza to, iż bezpieczeństwo danych bez ASI jest skrajnie zagrożone, gdyż nierzadko zastąpić może go ABI, aczkolwiek istnienie Administratora Systemów Informatycznych w organizacji jest wielce wskazane, gdyż to właśnie ASI na bieżąco – co jest niezwykle istotne – codziennie monitoruje systemy informatyczne.
Formalne warunki zapewnienia wysokiego bezpieczeństwa danych
ABI natomiast, jeśli nie został zatrudniony na etacie, zazwyczaj nie jest w stanie zapewnić odpowiedniego bezpieczeństwa, gdyż odwiedza siedzibę klienta cyklicznie. Wymusza to jego współpracę z pracownikiem etatowym, którym najczęściej jest ASI. Jest to jednak wierzchołek góry lodowej. Bezpieczeństwo danych zależy od wielu więcej czynników, a wśród formalnych, czyli wynikających z podejmowanych przez ADO decyzji skojarzonych z planowaniem zabezpieczeń, wymienić należy omawiany, czyli zatrudnienie ASI, oraz wiele innych, na przykład:
- wybór odpowiedniego, oryginalnego i najnowszego oprogramowania do systemów informatycznych,
- szkolenie pracowników w zakresie bezpieczeństwa danych oraz właściwego korzystania z systemów informatycznych,
- stworzenie zaplecza bezpieczeństwa w postaci ograniczania dostępu do informacji i jego kontroli – m. in. poprzez tworzenie indywidualnych haseł dostępu,
- zmaksymalizowanie ochrony danych przed złośliwym oprogramowaniem (dotyczy stacji roboczych – komputerów, z których korzystają pracownicy),
- i wiele innych (poruszanych w naszych pozostałych artykułach blogowych).
Bezpieczeństwo danych w chmurze
Oddzielną, sprecyzowaną już kategorię bezpieczeństwa danych stanowi ich przetwarzanie w chmurze. Chmura jest oczywiście przestrzenią wirtualną, natomiast chronione dane znajdują się na serwerach. Stąd właśnie wynika szczególna waga związana z konserwacją i zabezpieczaniem serwerów, a ma to szczególne znaczenie, gdy pracownicy korzystają z firmowych urządzeń mobilnych.
Skupiając jednak uwagę na serwerach, bezpieczeństwo danych na nich zgromadzonych zależne jest od wielu czynników oraz od tego, czy są one własnością firmy, czy też są najmowane. W drugim przypadku bezpieczeństwo danych zależy głównie od certyfikatów, jakie udostępnia usługodawca, a najważniejszym z nich jest norma ISO 27018, wskazująca na brak zagrożenia wykorzystywania danych w celach marketingowych i zapewniająca całkowitą poufność ze strony pracowników usługodawcy.
W przypadku gdy serwery są prywatne i znajdują się w siedzibie firmy, zwiększanie bezpieczeństwa przechowywanych na nich danych polega już na wdrożeniu procedur bezpieczeństwa, bo choć teoretycznie dane w chmurze są bezpieczne przed atakiem hakerskim (nie do końca), to pozostaje zagrożenie fizyczne, które eliminuje się m. in. poprzez:
- kontrolę dostępu do serwerów (karty dostępu, czytniki, częsta zmiana kodów etc.),
- zapewnienie awaryjnego zasilania,
- instalację systemu przeciwpożarowego (gaszenie gazem),
- stosowanie dysków twardych, zapewniających redundancję danych,
- stosowanie macierzy dyskowej,
- oraz posiadanie nadmiarowych serwerów.
Bezpieczeństwo stron internetowych
Jako że trudno już dzisiaj sobie wyobrazić funkcjonowanie jakiegokolwiek podmiotu bez witryny internetowej, należy zwrócić uwagę, że informacje na stronach www również są zagrożone. Szczególnie wrażliwe na ataki są portale transakcyjne, wymagające najwyższej jakości zabezpieczeń. Tematykę tę omawialiśmy jednak w innych artykułach. Czytelników zainteresowanych tematyką bezpieczeństwa stron internetowych zachęcamy do ich przeczytania:
Dwa linki do art.. ofertowego pod tytułem:
Ocena bezpieczeństwa stron internetowych
i blogowego pt.:
Jak zwiększyć bezpieczeństwo stron internetowych
Bezpieczeństwo kopii zapasowych
W zależności od infrastruktury przedsiębiorstwa, kopie zapasowe tworzone są i chronione w serwerowni lub na stacjach roboczych. W pierwszym przypadku rzecz została już częściowo omówiona. Warto jedynie dodać, iż poza regularnym backupem kopie zapasowe powinno się tworzyć przed każdą aktualizacją serwerów (dotyczy to również stron internetowych).
W przypadku tworzenia kopii zapasowych bezpośrednio na komputerach, pomijając jednak kwestię danych, które trzeba zabezpieczyć, należy wskazać kilka ważnych czynności, a właściwie obszarów backupu:
- podczas tworzenia kopii zapasowych trzeba uwzględnić pracowników pracujących w domu i wykonać również kopię zapisów z ich komputerów,
- powyższe dotyczy także wszystkich urządzeń mobilnych, z jakich korzystają pracownicy,
- a także należy zadbać o dobór odpowiednich nośników na kopie zapasowe.
O najważniejszym jednak nie wspomnieliśmy powyżej. Jeśli ważne dane przechowywane są w siedzibie firmy, należy zadbać o to, by ich kopia znajdowała się w innym miejscu (zwykle przechowuje je ABI, jeśli jest zatrudniony). Jest to jedyny sposób zapewnienia bezpieczeństwa danych chociażby przed pożarem i innymi czynnikami losowymi.
Przy wszystkich powyższych informacjach, które zawarliśmy w artykule, należy pamiętać, że w zapewnieniu bezpieczeństwa danych istotną rolę odgrywa tzw. czynnik ludzki. Do utraty lub nieuprawnionego dostępu do danych prowadzić mogą błędy w obsłudze sprzętu informatycznego, nieodpowiednio silne hasła dostępu i wiele innych czynników skojarzonych z pracą ludzką na różnych etapach procedur związanych z ochroną informacji. Dotyczy to nawet chmury, która zdaje się bezpieczna, lecz słabe hasło jest w stanie tę pewność rozwiać.
Nasz zespół uznaje za najważniejsze w zapewnieniu bezpieczeństwa danych szkolenie pracowników, mających dostęp do newralgicznych informacji. Doświadczenie wskazuje, że znajomość celu ochrony danych oraz przestrzeganie procedur prewencyjnych ze zrozumieniem, to jedne z najważniejszych czynników wpływających na wzrost bezpieczeństwa przechowywania danych.