После вступления в силу в мае этого года Генерального регламента о защите персональных данных (GDPR) наши компании все чаще начали задумываться о том, как защитить данные своих клиентов. Хоть Украина и не является частью ЕС, нашему бизнесу все равно в ближайшее время придется внедрять стандарты регламента.

Как же защитить информацию о своих клиентах от утечки, какие технологии использовать для этого и чего компаниям требовать от своих служб ИТ-безопасности? Согласно принципам GDPR, главными факторами обработки персональных данных клиентов являются конфиденциальность, целостность, доступность, наблюдаемость. Каким же образом компаниям обеспечить все эти ключевые факторы? Хорошая новость заключается в том, что в большинстве компаний уже работают системы защиты информации, которые можно просто правильно настроить для выполнения требований GDPR.

Читайте также: Самый ценный актив будущего – наши личные данные. Почему?

Для начала давайте разберемся в том, где именно и в каком виде сохраняются персональные клиентские данные? Неактивные, то есть архивные данные, как правило, хранятся в резервных копиях, базах данных, архивах. Доступ к ним имеют администраторы информационных систем и баз данных компаний. С точки зрения вероятности утечки данных, самый большой риск — это резервные копии документов. Для минимизации угроз в этом направлении компаниям нужно обязательно покупать лицензии на шифрование резервных копий при их создании.

Для защиты от хищения данных инсайдерами нужно использовать фаейрвол для внутренней сети. Еще одно средство — "маскировка" части информации о клиенте. Если сотруднику, например, администратору базы клиентов, не нужно видеть для работы, например, номер банковской карты, для него он будет скрыт.

Что касается данных, которые используются и обновляются, то это, как правило, –  изменяемая и дополняемая информация о клиентах в базах данных и приложениях. Работают с ними в основном, администраторы и аналитики, но доступ к ним могут иметь также другие сотрудники компании и даже потребители услуг или продуктов компании. Главная угроза здесь  – авторизованный или неавторизованный доступ. То есть, масштабную утечку могут спровоцировать как инсайдеры, так и внешние хакеры, имитирующие администраторов или сотрудников вашего бизнеса.

Минимизировать угрозу здесь позволяют такие классы приложений, как Database Firewall или Web Application Firewalls, а также маскировка данных. Например, можно использовать такое средство как псевдоанонимизация — замена ID физлица и его имени генерируемым кодом, к которому привязываются данные.

Читайте также: Как будет работать новый Регламент о защите персональных данных

Что касается данных в движении — это информация в момент, когда она передается по локальным или глобальным сетям. Доступ к ним имеют администраторы, сотрудники компании, потребители и провайдеры. Утечку в этом случае может предотвратить шифрование сессий при работе с данными. Компаниям также нужно использовать
правильные сертификаты сайтов удостоверяющие подлинность организации или компании. В случае с данными в движении также обязательно нужно блокировать съемные носители информации (флешки или внешние диски) и контролировать доступ сотрудников к копиям документов и архивам.

В целом же, руководителям служб ИТ-безопасности и безопасности, как и топ-менеджерам компаний нужно понимать, что информационная безопасность вашего бизнеса — это не столько продукт, сколько процесс, причем системный. Компании, причем не только крупные, но и средние, должны постоянно выделять ресурсы на организацию процессов информационной безопасности, обучение специалистов, учиться оперативного реагировать на инциденты, использовать мировую практику и международные стандарты защиты. Только в этом случае данные ваших клиентов будут защищены.

Підписуйся на сторінки UAINFO у Facebook, Twitter і Telegram