Menü
53_clico_logo_black_580.jpg
Forrás: ITB

Az egy év múlva érvénybe lépő uniós adatvédelmi rendelet, a GDPR minden vállalatot adatkezelési és biztonsági rendszereinek, módszereinek átgondolására késztet. A feladat többrétegű, és nem lehet egyetlen megoldás bevezetésével letudni – hangzott el a Protaction 2017 konferencián.

Bár a GDPR bizonyos területeken megengedőbb, mint a ma hatályos magyar adatvédelmi szabályozás, számos tekintetben mégis új helyzet elé állítja a magyar vállalkozásokat. Minden olyan szervezetre vonatkozik, amely EU-s állampolgárok személyes adatait kezeli, azaz gyűjti, tárolja, megosztja – márpedig személyes adat lehet a biometrikus információ (a térfigyelő kamerák által rögzített arckép) vagy éppen a genetikai adatok, mondta nyitó előadásában Csinos Tamás, a konferenciát rendező Clico ügyvezető igazgatója. A GDPR számos új kötelezettséget is előír a vállalkozások számára, mint például a felejtés  jogának, az adatok hordozhatóságának vagy éppen a tárolt adatokhoz való hozzáférésnek a biztosítása.

Az előírásoknak többféle módon is meg lehet felelni. Viszonylag könnyű kibúvót jelent, ha a szervezet az összes érintett adatot titkosítva tárolja – ha megfelelően titkosított adatokat lopnak el a támadók (amelyekkel nem tudnak mit kezdeni), akkor az incidens tényét nem kell jelenteni az érintett ügyfeleknek (de a hatóságnak igen), és büntetés sem vár a szervezetre. A felelősen gondolkodó cégek azért ennél komolyabb adatvédelmet akarnak megvalósítani. A GDPR a szükséges technológiákat nem részletezi, ezért érdemes lehet megnézni a pénzügyi szektorra vonatkozó PCI-DSS előírást, amely már konkrét megoldásokat kínál a különféle adatvédelmi problémákra.

Csinos Tamás is felsorolt néhány olyan feladatot, amelyet a GDPR kapcsán célszerű megoldani. Ilyen például az adatvagyon-leltár elkészítése (ebből látja a cég, hogy mit és hol tárol); a hiányelemzés (milyen sérülékenységektől szenvednek a rendszerek és az alkalmazások); a hozzáférési jogosultságok szabályozása (felhasználótól, adattól és a felhasználás módjától függően); vagy az incidenskezelés.

 

Az adatokat használat és mozgatás közben számos szempont alapján kell védeni, nem lehet mindig ugyanazokat a szabályokat alkalmazni rájuk. Nem mindegy, hogy egy marketinges akar-e személyes adatot kitenni a magán Dropboxába, vagy ugyanazt az adatot egy HR-es akarja elküldeni mailben egy üzleti partnernek. Az első esetben tiltani kell a tevékenységet, a másodikan titkosítani az adatot – hozott egy példát az adatszivárgás elleni modern védelemre Igor Urban, a Forcepoint munkatársa. A jó rendszer figyeli a felhasználók viselkedését, és akkor is riaszt, ha a korábbiaktól gyökeresen eltérő viselkedésmintát tapasztal – könnyen lehet ugyanis, hogy ilyenkor egy kártevő használja az illető jogosultságait.

Az új kihívások az adatközponti biztonság tekintetében is új megközelítéseket kívánnak meg – vetette fel Laky István a Juniper képviseletében. Amikor olyan világcégek adatközpontjait törik fel, mint a Sony vagy a Lockheed Martin, már nem mondhatjuk azt, hogy a belső hálózatunk biztonságban van. A Juniper ezért azt ajánlja, hogy a belső hálózatot is kezeljük úgy, mint az internetet: egyetlen portját se tartsuk megbízhatónak, és titkosítsunk minden kommunikációt. A virtuális tűzfalak révén pedig már megoldható, hogy két belső céges rendszer vagy alkalmazás is központilag előírt szabályok szerint kommunikáljon egymással.

Karrierszkenner

Kíváncsi, hol dolgozik egykori kollégája, üzleti partnere?
Szeretné, ha az ön karrierjéről is hírt adnánk?

Böngésszen és regisztráljon!

Jelenleg 1976 személy szerepel adatbázisunkban.
Az utolsó regisztrált:Márton Zoltán

A legkeresettebb emberek:

Cégszkenner

Melyek az ict-iparág legfontosabb cégei?
Melyek a fontosabb felhasználók más iparágakból?

Regisztrálja cégét Ön is!

Jelenleg 4699 cég szerepel adatbázisunkban.
Az utolsó regisztrált:Clarmont I.S. Kft.

A legkeresettebb cégek: