Compatibilitatea cu GDPR și securitatea informatică

Este inevitabilă, dar și benefică  în timp: nu mai există scuze pentru a NU crește maturitatea cibernetică și pentru a depăși abordările de securitate depășite.

Aplicarea pseudonimatizării datelor personale poate reduce riscurile pentru persoanele vizate în cauză și poate ajuta controlorii și prelucrătorii să își îndeplinească obligațiile de protecție a datelor (GDPR)

Așa cum am spus mai devreme, securitatea nu poate fi o idee ulterioară într-o epocă în care datele sunt importante, datele personale  și transformarea digitală necesită pur și simplu o mai bună securitate.

Fără scufundări prea adânci în detalii (deocamdată) acest lucru înseamnă, printre altele:

  • Îmbunătățiți securitatea prin design , la fel cum GDPR necesită confidențialitate prin design. Securitatea prin design înseamnă securitatea ca omniprezent dat, încă de la începuturile produselor (imaginați-vă câți producători de pe Internetul obiectelor de consum ar trebui să se schimbe), procesele și activitățile oamenilor.
  • Au o abordare proactivă și integrată de securitate , inclusiv toate aspectele din realitatea perimetrului de securitate omniprezent (perimetrul nu este plecat, este peste tot) în care toate aspectele contează (marginea, rețeaua, cloud-ul, sistemele informatice, stocarea datelor, bazele de date și aplicații).
  • Luați o abordare holistică a securității cibernetice , pornind de la conștientizarea și educația angajaților (parte a perimetrului dvs. mobil la margine) și trecând tot parcursul sistemelor, proceselor și apropierii de unde sunt generate și prelucrate datele personale.
  • Foarte probabil veți avea nevoie să vă reproiectați infrastructura globală de securitate digitală, concentrându-vă asupra caracteristicilor menționate și în contextul GDPR, evident asupra fluxurilor de date și asupra oricărui proces și factor de risc în care pot fi implicate confidențialitatea și datele personale doar unul din mai multe dimensiuni).
  • Găsiți posibilități de securitate în timp real , printre altele, în ceea ce privește aplicarea politicilor de securitate în domenii precum gestionarea dispozitivelor, accesul la date, activitățile utilizatorilor și așa mai departe. Criptarea datelor personale este, de asemenea, subliniată de GDPR.
  • Aveți nevoie de o viziune unificată asupra a ceea ce se întâmplă cu datele, procesele de date, mediile de date mari , indiferent de formă și structură, și vizibilitate unică pentru responsabilul șef de securitate (informație), managerul IT sau oricine are nevoie de el în toate operațiile , volumul de lucru și infrastructura IT ca atare.
  • Desfășurați teste regulate . Pe lângă o abordare proactivă a securității cibernetice cu capabilități de predicție care nu vor fi posibile pentru toată lumea, proactivitatea înseamnă, de asemenea, o testare regulată și, dacă este posibil, continuă. De la hackeri etici la teste de penetrare și dincolo. Testarea de penetrare, printre altele, la nivelul aplicațiilor web și al serviciilor web, utilizează un scanner de vulnerabilitate pe dispozitive individuale și o organizare completă, gestionați vulnerabilitatea și abordarea integrată.
  • Uită-te la mecanisme și soluții pentru a preveni frauda de identitate (există soluții specifice în unele țări, de exemplu pentru a vă asigura că cardurile de identitate furate sau licențele conducătorilor auto nu pot fi abuzate).
  • Desfășurați testele de inginerie socială . Phishingul este în continuare un mod important de obținere a datelor cu caracter personal. Lucrătorii trebuie să fie instruiți cu privire la aceste tactici, inginerie socială și securitate în general. De asemenea, testați modul în care angajații sensibili sunt în ingineria socială, folosind unul dintre multele simulatoare de phishing.

Nu în ultimul rând: lucrurile rele se întâmplă și, bineînțeles, nu ar trebui să uităm obligația de notificare a încălcării.

În practică, acest lucru înseamnă că trebuie să creați mecanismele necesare de monitorizare, audit și alertare, pentru a face acest lucru. Aceasta este, de asemenea, o sarcină inter-funcțională și există soluții legale pentru rezolvarea acesteia. Aveți nevoie de procese de gestionare a incidentelor și de o viziune clară asupra a ceea ce trebuie să facă ceea ce și unde se întâmplă în cazul unei încălcări.