GDPR – (meg)felel(tet)ésre felkészülni!
„Készséggel megosztjuk személyes adatainkat a vállalatokkal, hogy kényelmesebben használhassuk termékeiket.”
Rebecca MacKinnon amerikai író, kutató, a Global Voices Online egyik alapítója
2018. május 25-én életbe lép a GDPR, és a vállalatok láthatóan még mindig számos területen küzdenek az előírások értelmezésével, illetve a megfelelő feltételek biztosításával. A NetIQ szakértői most azt mutatják be, hogy a személyazonosság- és hozzáférés-kezelési eszközök hogyan segíthetik a cégeket az adatvédelmi rendelet előírásainak betartásában.
Bő fél év múlva életbe lép az új európai adatvédelmi rendelet, a GDPR. Sokan foglalkoznak a témával, a vállalatok nagy része azonban még nem tette meg a szükséges lépéseket. A Gartner jóslatai szerint a cégek fele még 2018 végére sem fogja teljes mértékben teljesíteni a követelményeket. Az IDC felmérése pedig arra mutatott rá, hogy az európai vállalatok 78 százaléka számára nem teljesen tiszták az elvárások.
Szigorúan ellenőrzött adatok
Az előírások valóban összetettek, a lényeg azonban végső soron az, hogy a szervezeteknek jobban kell védeniük az általuk kezelt személyes adatokat. Nagyobb figyelmet kell fordítaniuk a veszélyek felmérésére, az esetleges adatszivárgások megelőzésére és feltárására, valamint az adatvédelmi előírások továbbfejlesztésére.
Ügyelniük kell arra, hogy a személyes adatok kezelése során nagyobb felelősség és elszámoltathatóság terheli őket, ezért proaktívan kell fejleszteniük a kapcsolódó rendszereket és folyamatokat. Többek között az átláthatósággal és az adatok törlésével kapcsolatban is szigorúbbak a feltételek, továbbá az adatokat érintő biztonsági incidensekről is rendkívül szűk, 72 órás határidőn belül kötelező értesíteni a hatóságokat, illetve az érintetteket. Ha mulasztás történik, nagyon súlyos esetekben a bírság elérheti akár a 20 millió eurót vagy a vállalat éves forgalmának 4 százalékát is.
Hol vannak a buktatók?
A NetIQ szakértői összeállítottak egy értékelési folyamatot, amelynek segítségével a vállalatok megvizsgálhatják, mely folyamataikat szükséges fejleszteniük ahhoz, hogy teljesíteni tudják a követelményeket. A felmérés a megfelelő kérdésekkel segít elemezni a legfontosabb területeket.
Kitér többek között arra, hogy a vállalat meg tudja-e mondani pontos bizonyossággal, ki fér hozzá az általa kezelt személyes adatokhoz, illetve, hogy ezek a hozzáférések és jogosultságok naprakészek-e. A teszt emellett segít feltérképezni, hogy pontosan milyen, a szabályozás alá eső adatokat kezel a szervezet, hol tárolja őket, és milyen egyéb eszközök védik azokat a jelszavas védelmen és a felhasználói jogosultságokon kívül.
Hogyan lássunk hozzá?
A gyenge pontok feltérképezése után már könnyebben összeállítható a megfelelő stratégia az előírások teljesítéséhez. A NetIQ szakértői szerint a személyazonosságok és hozzáférések (IAM) kezelése ebben kulcsfontosságú szerepet játszik, hiszen ha ezeket hatékonyan menedzselik, az megkönnyíti az adatvédelmi rendeletben foglaltak teljesítését, illetve annak igazolását is.
A személyazonosságok kezelésén alapuló védelmi stratégia három fő pontra fókuszál. Első lépésként az Identity Governance eszközök segítségévél a vállalatok egy olyan személyazonosság-felügyeleti rendszert építhetnek ki, amellyel tökéletesen átlátják, pontosan ki mihez férhet hozzá a vállalaton belül, és ezeket a jogosultságokat mindig naprakészen is tarthatják. Így nem fordulhat elő például olyan eset, hogy egy elbocsátott alkalmazott távozása után is meg tudja nyitni a cégnél használt fájljait és adatforrásait.
A második terület a hozzáférések szabályozásának megerősítése. A megfelelő IAM eszközök abban is segíthetnek, hogy a vállalatok biztonságosabbá tegyék a hozzáféréseket, például erősebb hitelesítési folyamatokkal. Ezzel csökkenthető annak a veszélye, hogy a kiberbűnözők visszaéljenek ellopott jogosultságokkal.
Utolsóként, de nem utolsó sorban érdemes gondoskodni a felhasználói tevékenységek monitorozásáról is, különösen a kiemelt fiókok esetében. A vállalatok így megelőzhetik, hogy rendszergazdai jogosultságokkal éljenek vissza akár rosszindulatú alkalmazottak, akár szemfüles internetes csalók.