Chroń gromadzone dane

Coraz częściej daje się zaobserwować bunt przeciwko nadmiernemu gromadzeniu danych, w tym danych osobowych. Stajemy się coraz bardziej świadomi, co i komu przekazujemy. Nie uzupełniamy już wszystkich pozycji w formularzach, kwestionujemy zasadność zbierania nadmiarowych danych. Co najważniejsze, mamy już świadomość, że ochrona naszego prywatnego maila – jego nazwa jak i dostęp – jest kluczowa dla naszego bezpieczeństwa tak samo, jak ochrona dowodu osobistego. Ale jest czynnik poza naszą kontrolą – podmiot, który pozyskał nasze dane.

Żyjemy w czasach ogromnego i intensywnego gromadzenia danych, narażając się na coraz większe ryzyko utraty kontroli nad nimi – skutecznej ochrony. Jak wiadomo, jednym z głównych obowiązków administratora danych wynikających z RODO jest zapewnienie odpowiednich środków dla bezpieczeństwa danych. Te środki powinny chronić przed nieuprawnionym i niezgodnym z prawem przetwarzaniem danych osobowych, w tym przed kradzieżą, zniszczeniem, uszkodzeniem lub ich ujawnieniem. Skąd administrator ma wiedzieć, jakie środki ma zastosować, aby dane były bezpieczne? Dokonać analizy ryzyka, czytać wytyczne organów czy zatrudnić specjalistę.

Zajmijmy się zagadnieniem transportu danych na przenośnych dyskach. W tym miejscu należy zauważyć, że dysk w laptopie jest także środkiem transportującym dane.
Jeżeli więc administrator (w tym wypadku właściciel lub użytkownik komputera lub laptopa, na którym przechowywane są dane) nie zabezpieczył urządzenia przed nieuprawnionym użyciem i nie zablokował portów USB, może dochodzić do zgrywania danych na pamięci masowe: pendrive, dyski zewnętrzne, karty SD, smartfony, tablety.
Tak więc urządzenie należy zabezpieczyć, analizując kwestie:
- możliwej kradzieży lub zgubienia,
- wgrania złośliwego oprogramowania,
- nieuprawnionego dostępu do plików.

Jak się zabezpieczyć? Wewnętrzne procedury i regulaminy na nic się nie zdadzą, jeżeli nie będą po prostu stosowane. Dokumentacja pozwala jedynie uporządkować środki, które powinny być stosowane w danym przypadku. Natomiast środki bezpieczeństwa należy zastosować, a przede wszystkim sprawdzać. O jakich środkach mowa?
Techniczne środki bezpieczeństwa:
- szyfrowanie dysku, pendrive, karty SD itp.
- wejście do plików zabezpieczone hasłem.
Dodatkowo trzeba mieć na uwadze, aby:
- pracownik usuwał dane z pamięci, gdy są już zbędne,
- robić kopię przeniesionych danych w innym miejscu, aby w przypadku zgubienia urządzenia była możliwość ich odtworzenia,
- urządzenia pochodziły od renomowanych dostawców,
- dokonywać przeglądów pamięci przenośnych w celu upewnienia się, że są przechowywane na nim jedynie dopuszczalne dokumenty (bez nielegalnych programów czy materiałów),
- pamięci masowej nie pozostawiać bez nadzoru (w szczególności podczas transportu), a nieużywana pamięć powinna być zabezpieczona (np. przechowywana w bezpiecznym pomieszczeniu lub szufladzie),
- pracownik mógł zgrywać dane na pamięci masowe tylko na krótki okres, a jeżeli to możliwe, powinien być wdrożony system, który automatycznie usuwa dane po konkretnym czasie,
- była możliwość (o ile to wykonalne) zdalnego usunięcia danych (na odległość) z pamięci pracownika.

Podsumować można jednym zdaniem: zwiększ świadomość bezpieczeństwa pracowników i szyfruj dane!
Powyższe zasady powinno się wdrożyć w firmie w postaci zasad wewnętrznej polityki i zakomunikować całemu personelowi. Gdy już dojdzie do naruszenia ochrony – bez znaczenia, czy z powodu ludzkiego błędu czy kradzieży – będziemy pewni, że technologie i, jej zabezpieczenia nas nie zawiodą. W końcu, jeżeli dane były szyfrowane, to możliwe, że nie będzie konieczności zgłaszania naruszenia do UODO.

Kontakt do autora:
tel. 501 15 11 15
email: a.majchrzycki@moment24.pl