10 начина да запазите своите ИТ системи безопасни и сигурни

Съгласно Регламент (ЕС) 2016/697 и Закона за защита на личните данни вие (администраторът на лични данни, АЛД) имате отговорностите за защита на личната информация, която вие и вашият персонал събирате и използвате. Това изисква да има подходяща сигурност на информационните технологии и системи (ИТ) за предотвратяване на случайно или умишлено компрометиране или злоупотреба с лични данни.

Нарушаването на законодателството за защита на данните би могло да доведе до:

•наказания с глоба - до 10 или 20 млн. евро в зависимост от сериозността на нарушението;

•загуба на репутация - репутацията на вашия бизнес може също да бъде силно увредена, ако се установят недостатъчна сигурност и инциденти с високи обеми на загуба или кражба на лични данни.

Поддържането на ИТ системите ви в безопасност и сигурност може да бъде сложна задача и изисква време, ресурси и специализирани знания. Ако обработвате лични данни, вие сте длъжни да осигурите подходящо ниво на сигурност и защита на личните данни, които обработвате.

Трябва да сте убедени, че съществуват рискове за вашата ИТ система и трябва да предприемете подходящи технически мерки за осигуряване на съответната защита. Мерките, които въведете, трябва да отговарят на нуждите на вашия конкретен бизнес. Не е задължително да бъдат скъпи или обременяващи. Те дори могат да бъдат безплатни или вече налични във вашите компютърни системи в момента. Следните практически стъпки ще ви помогнат да решите как да управлявате сигурността на личните данни, които обработвате:

1. Оценете заплахите и рисковете за вашия бизнес

Преди да можете да установите каква степен на сигурност е необходима точно за вашия бизнес, ще трябва да прегледате личните данни, които държите, и да оценявате рисковете за тези данни. Трябва да анализирате всички процеси, които изискват от вас да събирате, съхранявате, използвате и унищожавате лични данни. Помислете колко ценна, чувствителна или поверителна е информацията и каква щета или дискомфорт може да бъде причинено на физически лица, ако има нарушение на сигурността. С ясна представа за рисковете можете да започнете да избирате мерките за сигурност, които са подходящи за вашия бизнес. Следващата стъпка е да ги реализирате в действие.

2. Поддържайте основните компоненти за ИТ сигурност

Какъв е проблемът?

Няма нито един продукт, който да осигурява пълна гаранция за сигурността на вашия бизнес. Препоръчваният подход е да се използва набор от мерки за сигурност и контроли, които се допълват, но ще изискват постоянна поддръжка, за да се осигури подходящо ниво на сигурност.

Какво мога да направя?

Многослойният подход при изграждане на системата за сигурност може да осигури определени гаранции за сигурността и защитата на личните данни във вашите ИТ системи.

Многослойният подход на системата за сигурност обхваща:

•Защитни стени, маршрутизатори и интернет портали;

•Защитена конфигурация;

•Контрол на достъпа;

•Защита от вируси и зловреден софтуер

•Управление на поправките и актуализацията на софтуера;

•Тестване на компютърната сигурност.

Защитни стени

Защитната стена ще бъде първата ви линия на защита срещу навлизане от Интернет. Персоналната защитна стена е онази клапа между офиса и Интернет, която предотвратява достъпа от Интернет до мрежата. В същото време защитната стена маскира всички информационни и други активи, намиращи се от вътрешната страна на стената. Защитната стена алармира, когато някой се опитва неразрешено да премине стената и да получи достъп до ресурсите на компютъра. Добре конфигурирана защитна стена може да спре нарушенията, които се случват, преди да проникнат дълбоко във вашата мрежа.

Маршрутизатори

Съществува множество от добри устройства за маршрутизация на пазара и изборът на едно от тях зависи от следните основни фактори:

•Възможности;

•Брой потребители;

•Поддръжка;

•Гаранция;

•Документация;

•Простота на инсталиране и конфигуриране;

•Сигурност (важно е поддържането на много нива на сигурността);

•Цена.

Голяма част от устройствата не изискват актуализация всяка година  поради специфичните си функции. Добра практика е да се проверява за актуализация на фърмуера на тези устройства. Всички тези устройства не поддържат всички функции за защитните стени и много често единствената функция е преобразуването на мрежовите адреси (NAT). Ако често се свързвате с други мрежи и системи (интернет), възможността за изграждане на виртуални частни мрежи (VPN) е много препоръчителна.

Интернет портали

Един интернет портал може да предотврати достъпа на потребители до уебсайтове или други онлайн услуги, които предоставяте в организацията ви и които представляват някаква заплаха или нямат кредит на доверие.

Защитена конфигурация

Почти целият хардуер и софтуер ще изискват някои настройки в нивата за сигурност и на конфигурацията, за да се осигури най-ефективната защита. Трябва да премахнете неизползваните софтуер и услуги от вашите устройства с цел намаляване броя на потенциалните уязвимости. За по-старите версии на някои широко разпространени софтуерни продукти са добре документирани уязвимостите в сигурността. Ако не ги използвате, то е много по-лесно да ги премахнете, отколкото да се опитате да поддържате актуални средствата за отстраняването им. 

Уверете се, че сте променили паролите по подразбиране използвани от софтуер или хардуер - те са добре известни от производителите и на нападателите.

Контрол на достъпа

Ограничавайте достъпа до вашата система от потребителите и източниците, на които гласувате доверие, като спазвате следните основни принципи:

•„Необходимост да се знае“;

•„Необходимост да се сподели“;

•„Задължен да сподели“.

Всеки потребител трябва да има и да използва собствено потребителско име и парола. Всеки потребител трябва да използва профил, който има разрешения подходящи за работата, която той извършва по това време.

Трябва също така да използвате само администраторски акаунти, когато е абсолютно необходимо (напр. за инсталиране на софтуер).

Една груба атака срещу паролата е общоприет метод атака, може би дори от случайни потребители, които се опитват да получат достъп до вашата безжична мрежа (Wi-Fi), така че трябва да наложите политика за:

•Силни пароли;

•Ограничаване на броя неуспешни опити за влизане;

•Прилагане на политика за регулярни промени на паролата (време на валидност).

Паролите или другият достъп трябва да бъдат анулирани незабавно, ако член на персонала напусне организацията или липсва за дълги периоди от време.

Защита от зловреден софтуер

Трябва да имате антивирусни средства или продукти против злонамерен софтуер за редовно сканиране на мрежата и за предотвратяване или откриване на заплахи. Също така ще трябва да сте сигурни, че те се пазят в актуално състояние. Вие също трябва да сте сигурни, че получавате, реагирате и действате въз основа на всички сигнали, издадени от защитата от вируси и злонамерен софтуер.

Една добра антивирусна софтуерна програма, правилно конфигурирана и своевременно актуализирана, стартирана върху всички компютри и сървъри в офиса е основна стъпка за изграждането на компютърната сигурност. Първият въпрос е свързан с избора на добра антивирусна софтуерна програма. Четири са основните фактори, които трябва да бъдат оценени:

•Възможности;

•Реална производителност;

•Цена (целесъобразно да се вземе предвид не само цената на придобиване, а цената през целия жизнен цикъл на използване на програмата, включително и актуализациите);

•Придобити сертификати.

За осигуряване на информацията по-съществена роля имат възможностите и реалната производителност. 

Честота на актуализация

Честотата на актуализация на антивирусния софтуер е променлива, зависи от много фактори, но основният фактор е времето и честотата на използването на персоналния компютър. Най-общо честотата на обновяване може да бъде:

•Седмично – ако вие използвате интернет един час на ден или по-малко;

•Дневно – ако вие използвате интернет поне един час всеки ден;

•Постоянно – ако използвате интернет интензивно или сте свързан с компютърната сигурност и ако това е възможно и се поддържа от производителя на антивирусния софтуер.

Препоръчва се смяната на режимите на сканиране от сканиране в реално време към ръчно сканиране когато се проверяват всички файлове. Натоварването на системата ще бъде незначително в сравнение със загубата, изтриването или разрушаването на данни или времето, което е необходимо за възстановяване на системата или финансовите загуби.

Управление на поправките и актуализацията на софтуер

Компютърното оборудване и софтуер трябва редовно да се поддържа, за да бъде изправно и да се фиксират всички уязвимости в сигурността.

Поради непрекъснатото откриване на пропуски и уязвимости в сигурността на операционните системи трябва да актуализирате операционната система, независимо от това кой е нейният производител. Всичко това се отнася и за вашите приложения, включително и браузърите.

Поддържайте софтуера си актуален, като редовно проверявате за актуализации и тяхното прилагане. По-голямата част от софтуера може да се актуализира автоматично. Ако вашата система е на няколко години, трябва да прегледате защитата, която имате, за да се уверите, че тя все още е адекватна.

Тестване на компютърната сигурност

Съществуват много средства за тестване и анализ на компютърната сигурност. Някои от тях са базирани на Майкрософт операционна система, а други на Линукс (Linux). Най-общо тестването се извършва в две направления:

•Тестване за актуалност на актуализациите:

•На операционната система;

•На приложенията;

•Тестване за уязвимости.

3. Защитете данните си в офиса, на преносими носители и при предаване

Какъв е проблемът?

Физическата сигурност на оборудването в офиса е важен елемент от сигурността. Счита се, че преносимите носители на информация (преносими компютри и памети) съдържащи лични данни са подложени на сериозни заплахи, тъй като те могат да бъдат откраднати или загубени, когато са извън офиса и това би било сериозен пробив във сигурността.

Трябва да се уверите, че личните данни на вашите системи са защитени от тези видове заплахи. Също така можете да предотвратите или ограничите тежестта на нарушенията за защита на данните, като разделите или ограничите достъпа между вашите мрежови компоненти. Например, ако можете да ограничите обработката на лични данни в конкретен раздел от вашата мрежа, може да сте в състояние да намалите обхвата на необходимите мерки за сигурност. Също така трябва да гарантирате, че същото ниво на сигурност се прилага към личните данни на използваните устройства вън от офиса. Много нарушения на данните произтичат от кражба или загуба на устройство (например лаптоп, мобилен телефон или USB устройство), но трябва да имате предвид и сигурността на данните, които изпращате по имейл или по пощата. Разрешаване на неидентифицирани устройства да се свързват с вашата мрежа или използването на преносими устройства в неакредитирани мрежи извън вашия офис може също така да изложи на риск личните данни.

Какво мога да направя?

Можете да увеличите физическата сигурност на вашия офис включително съхраняване на сървърите ви в отделна стая с добавена защита. Резервни устройства, компактдискове и USB устройства не трябва да се оставят без наблюдение и трябва да бъдат заключени далеч, когато не се използват. Можете да се уверите, че личните данни или не са на достъпно място или че е подходящо те да бъдат съхранявани така, че да не могат да бъдат достъпни в случай на неправомерни действия.

Защитете данните си от загуба или кражба. Добрите практики са системите за контрол на достъпа и криптиране.

Криптирането е средство за гарантиране, че данните могат само да бъдат достъпни от оторизирани потребители. Обикновено ключ или парола са необходими за "отключване" на данните. Можете да намерите повече информация за избора на правилното шифроване в специализираните електронни страници. Криптирането може да се използва в много различни форми и начини на защита при различни обстоятелства, като:

•Пълното дисково криптиране означава, че всички данни са криптирани и компютърът е шифрован.

•Шифроването на файлове означава, че могат да бъдат защитени отделни файлове.

•Някои програми предлагат защита от пароли, за да спрат хората, които правят промени в данните, но това не може да спре крадец да чете данните. Уверете се, че знаете точно каква защита е необходима за вашите данни.

Някои мобилни устройства поддържат дистанционно изключване или почистване на данните. Това ви позволява да изпратите сигнал до изгубено или откраднато устройство за откриване и ако е необходимо, сигурно да изтриете всички данни. Вашите устройства обикновено трябва да бъдат предварително регистрирани да използват такава услуга.

Ако позволите на служители или други потребители да се свържат със собствените си устройства към вашата мрежа това ще увеличи обхвата на рисковете за сигурността и тези също трябва да бъдат разгледани. 

4. Защитете данните си в облака

Какъв е проблемът?

Има широк спектър от онлайн услуги, много от тях са включени в днешните смартфони и таблети, които изискват от потребителите да прехвърлят данните на отдалечени изчислителни съоръжения - известни като Облак.

Обработването на данни в облака представлява риск, защото личните данни, за които отговаряте, ще бъдат извън вашата мрежа и ще ги обработвате в системи, управлявани от вашия доставчик на облачни услуги. Затова се нуждаете от оценка на мерките за сигурност, които доставчикът на облака е в състояние да гарантира, че са подходящи.

Какво мога да направя?

Уверете се, че знаете какви данни се съхраняват в облака и какви услуги се използват особено тези, насочени към потребителите, и които включват облачни услуги за архивиране или синхронизирани услуги, включени по подразбиране.

Помислете за използването на удостоверяване с два фактора особено за отдалечен достъп до вашите данни в облака. Можете да намерите повече информация за използването на облачните услуги при вашия доставчик.

5. Архивирайте данните си

Какъв е проблемът?

Ако пострадате от природно бедствие като пожар, наводнение или кражба, трябва да можете да възстановите работоспособността на информационната си система възможно най-бързо. Загубата на лични данни също е нарушение на закона.

Злонамереният софтуер може също да наруши достъпа до вашите данни. Известен като "ransomware" този вид злонамерен софтуер може да шифрира всичките ви данни и да ви предоставят единствена възможност за декриптиране на данните след изплащане на откуп.

Какво мога да направя?

Трябва да имате надеждна стратегия за архивиране на данни в място за защита от бедствия, но и злонамерен софтуер, като например ransomware. Резервните копия не трябва да се съхраняват по начин, който ги прави постоянно видими за останалата част от мрежата. Ако те са видими, тогава могат да бъдат криптирани от злонамерен софтуер или файловете са случайно изтрити. Поне едно от вашите резервни копия трябва да бъде извън мрежата.

6. Обучете персонала и себе си (актуализирайте вашите умения и знания постоянно)

Какъв е проблемът?

Вашите служители може да имат ограничени познания за киберсигурност, но те могат да бъдат вашата крайна точка на защитата срещу атака. Случайно разкриване или човешка грешка също е водеща причина за нарушаване на личните данни. Това може да се дължи на просто изпращане на имейл до неправилен получател или отваряне на прикачен файл към имейл, съдържащ злонамерен софтуер.

Какво мога да направя?

Служителите на всички нива трябва да знаят какви са техните роли и отговорности. Обучете персонала си да разпознава заплахи като имейли за фишинг и друг злонамерен софтуер и ги предупредете за рисковете, свързани с публикуването на информация относно вашите бизнес дейности в социалните мрежи.

Усъвършенстването на знанията и уменията в областта на компютърната сигурност е постоянна, много важна задача и един от основните фактори за успех. Възможните начини за постигане на целта са:

•Обучение;

•Самоподготовка;

•Консултации;

•Натрупан опит.

Трябва да насърчавате общата осведоменост за сигурността във вашата организация. Една култура, която се съобразява със сигурността, вероятно ще бъде и стъпка напред за идентифициране на рисковете за сигурността.

Също така трябва да поддържате познанията си за актуалните заплахи, свързани със сигурността, като следите бюлетините за сигурност или бюлетините от организации, свързани с вашия бизнес.

7. Обърнете внимание на проблемите

Какъв е проблемът?

Киберпрестъпниците или злонамереният софтуер могат да атакуват системите ви и да останат незабелязани дълго време. Много хора намират, че те са били атакувани, когато е твърде късно, макар че е имало предупредителни знаци и сигнали.

Какво мога да направя?

Проверявайте редовно съобщенията си от софтуера за защита, контрол на достъпа, дневниците и другите системи за отчитане, които имате. Също така трябва да действате по всички сигнали, които са издадени от тези мониторингови инструменти.

Уверете се, че можете да проверите какъв софтуер или услуги са работещи във вашата мрежа. Уверете се, че можете да определите дали има нещо, което не трябва да бъде там.

Провеждайте редовни сканирания за уязвимост и тестове за проникване. Сканирайте системите си за известни уязвимости - уверете се, че се справяте с установените уязвимости.

8. Знайте какво трябва да правите

Какъв е проблемът?

Добрата политика ще ви позволи да се уверите, че адресирате рисковете по правилен и последователен начин. Добре написаните политики трябва да се интегрират добре с бизнес процесите.

Някои организации нямат адекватни нива на защита, тъй като те не използват правилно сигурността, която вече имат и която невинаги са в състояние да използват когато има проблем. Вие също трябва да помислите какви действия да предприемете, ако установите нарушение на сигурността на данните. Доброто управление на инцидентите може да намали щетите и вредите, причинени на отделни физически лица.

Какво мога да направя?

Прегледайте какви лични данни обработвате в момента и какви са средствата за защита, които имате. Уверете се, че сте съвместими с всички индустриални изисквания или с други правни изисквания.

Документирайте контролите, които сте установили и идентифицирайте къде трябва да направите подобрения. Щом бъдат направени подобрения, продължете да следите контролите и да правите корекции където е необходимо.

Разгледайте рисковете за всеки вид лични данни, които обработвате и как ще управлявате нарушение на сигурността на данните. По този начин можете да намалите въздействието, ако се е случило най-лошото. 

Трябва също така да имате политика за приемливо използване и обучение на персонала, така че те да знаят своите отговорности за защита на данните.

9. Минимизирайте данните си

Какъв е проблемът?

Правната рамка твърди, че личните данни трябва да бъдат точни, актуални и съхранявани за не повече от необходимото време. С течение на времето може да сте събрали големи количества от лични данни. Някои от тези данни може да не са актуални и неточни или вече не са полезни.

Какво мога да направя?

Решете дали все още се нуждаете от данните. Ако го направите, уверете се, че те се съхраняват на правилното място и че то е защитено.

Ако имате данни, които трябва да съхранявате за архивни цели, но не е необходимо да имате редовен достъп, целесъобразно е да ги преместите на по-сигурно място. Това ще ви помогне да предотвратите неразрешен достъп до тези данни.

Ако имате данни, които наистина не са ви необходими, трябва да ги изтриете. Това трябва да съответства на политиките ви за запазването на данните и политиките за унищожаване. Може да се нуждаете от специализиран софтуер или специални устройства за това.

10. Уверете се, че вашият ИТ изпълнител прави това, което трябва да прави

Какъв е проблемът?

Много малки предприятия изнасят някои или всичките си ИТ системи към външна страна (доставчик на ИТ услуги). Трябва да сте сигурни че доставчиците обработват вашите данни най-малко на едно и също ниво на сигурност, каквото бихте направили вие.

Какво мога да направя?

Поискайте одит за сигурността на системите, съдържащи вашите данни. Това може да помогне да се идентифицират уязвимости, които трябва да бъдат разгледани.

Прегледайте копията на оценките за сигурността на вашия ИТ доставчик. Ако е уместно, посетете офисите на вашия ИТ доставчик, уверете се, че те са такива, каквито очаквате.

Проверете договорите, които имате. Трябва да са в писмена форма и трябва да изиска от вашия изпълнител да действа само по ваши указания и да спазвате определени задължения от закона.

Не пренебрегвайте изхвърлянето на активи - ако използвате изпълнител да изтриете данни и да се разпореждате или да рециклирате ИТ оборудване, уверете се, че го прави адекватно. Може да бъдете отговорен, ако събраните от вас лични данни са извлечени от старото ви ИТ оборудване, когато бъде препродадено.

В представения материал са отразени вижданията и дългогодишният опит на автора по прилагане на правната рамка за защита на личните данни. Обобщени са и добрите практики на Националната агенция за сигурност на Съединените американски щати и  Надзорния орган за защита на данните на Великобритания. Авторът е убеден, че прилагането на стъпките за гарантиране на сигурността на ИТ системите ще бъде в помощ на администраторите на лични данни (най-вече за средния и малък бизнес) и ще способства за еднаквото разбиране и тълкуване на изискванията на Регламента за постигане на обща убеденост и практически действия за защита на правата и неприкосновеността на гражданите.