Как украинским компаниям защитить данные клиентов от утечек?
После вступления в силу в мае этого года Генерального регламента о защите персональных данных (GDPR) наши компании все чаще начали задумываться о том, как защитить данные своих клиентов. Хоть Украина и не является частью ЕС, нашему бизнесу все равно в ближайшее время придется внедрять стандарты регламента.
Как же защитить информацию о своих клиентах от утечки, какие технологии использовать для этого и чего компаниям требовать от своих служб ИТ-безопасности? Согласно принципам GDPR, главными факторами обработки персональных данных клиентов являются конфиденциальность, целостность, доступность, наблюдаемость. Каким же образом компаниям обеспечить все эти ключевые факторы? Хорошая новость заключается в том, что в большинстве компаний уже работают системы защиты информации, которые можно просто правильно настроить для выполнения требований GDPR.
Читайте также: Самый ценный актив будущего – наши личные данные. Почему?
Для начала давайте разберемся в том, где именно и в каком виде сохраняются персональные клиентские данные? Неактивные, то есть архивные данные, как правило, хранятся в резервных копиях, базах данных, архивах. Доступ к ним имеют администраторы информационных систем и баз данных компаний. С точки зрения вероятности утечки данных, самый большой риск — это резервные копии документов. Для минимизации угроз в этом направлении компаниям нужно обязательно покупать лицензии на шифрование резервных копий при их создании.
Для защиты от хищения данных инсайдерами нужно использовать фаейрвол для внутренней сети. Еще одно средство — "маскировка" части информации о клиенте. Если сотруднику, например, администратору базы клиентов, не нужно видеть для работы, например, номер банковской карты, для него он будет скрыт.
Что касается данных, которые используются и обновляются, то это, как правило, – изменяемая и дополняемая информация о клиентах в базах данных и приложениях. Работают с ними в основном, администраторы и аналитики, но доступ к ним могут иметь также другие сотрудники компании и даже потребители услуг или продуктов компании. Главная угроза здесь – авторизованный или неавторизованный доступ. То есть, масштабную утечку могут спровоцировать как инсайдеры, так и внешние хакеры, имитирующие администраторов или сотрудников вашего бизнеса.
Минимизировать угрозу здесь позволяют такие классы приложений, как Database Firewall или Web Application Firewalls, а также маскировка данных. Например, можно использовать такое средство как псевдоанонимизация — замена ID физлица и его имени генерируемым кодом, к которому привязываются данные.
Читайте также: Как будет работать новый Регламент о защите персональных данных
Что касается данных в движении — это информация в момент, когда она передается по локальным или глобальным сетям. Доступ к ним имеют администраторы, сотрудники компании, потребители и провайдеры. Утечку в этом случае может предотвратить шифрование сессий при работе с данными. Компаниям также нужно использовать
правильные сертификаты сайтов удостоверяющие подлинность организации или компании. В случае с данными в движении также обязательно нужно блокировать съемные носители информации (флешки или внешние диски) и контролировать доступ сотрудников к копиям документов и архивам.
В целом же, руководителям служб ИТ-безопасности и безопасности, как и топ-менеджерам компаний нужно понимать, что информационная безопасность вашего бизнеса — это не столько продукт, сколько процесс, причем системный. Компании, причем не только крупные, но и средние, должны постоянно выделять ресурсы на организацию процессов информационной безопасности, обучение специалистов, учиться оперативного реагировать на инциденты, использовать мировую практику и международные стандарты защиты. Только в этом случае данные ваших клиентов будут защищены.
Підписуйся на сторінки UAINFO у Facebook, Twitter і Telegram
Повідомити про помилку - Виділіть орфографічну помилку мишею і натисніть Ctrl + Enter
Сподобався матеріал? Сміливо поділися
ним в соцмережах через ці кнопки