Problémem GDPR může být uživatel

Computerworld 7/2017 - Problematika GDPR je víc než aktuální, a přesto těch, kteří skutečně vědí oč jde, je u nás stále málo. Nenechte se napálit nabídkami firem na zaručená řešení - není to zdaleka tak jednoduché, píše o tom ve svém komentáři jednatel NEWPS.CZ, pan Martin Řehořek.

 

Po datovkách, autorizované konverzi dokumentů, základních registrech, zákonu o kybernetické bezpečnosti a nařízení eIDAS zde máme další výzvu – General Data Protection Regulation neboli Obecné nařízení o ochraně osobních údajů (GDPR). V poslední době je to velmi populární téma, díky kterému se najednou vyrojilo velké množství „zaručených“ řešení. „Nechcete se trápit s GDPR, kupte si naše řešení a máte po problémech.“ To je obvyklý marketinkový přístup firem snažících se využít GDPR jako obchodní příležitost.

Na druhé straně stojí provozovatelé IT systémů, z nichž velká část pracuje nebo nějak využívá osobní údaje. Od „obyčejného“ personálního systému, CRM, databází, rejstříků, různých registrů, evidencí (pacientů), dokumentace (zdravotnická) atd. Lze konstatovat, že GDPR se týká většiny informačních systémů. Na rozdíl od ZKB nebo eIDAS přináší GDPR i sankce, a to nemalé. Takže pozor, začíná jít skutečně do tuhého.

S čím nebo kde tedy začít? Zřejmě tou správnou cestou asi nebude „totální opevnění“ databáze nebo informačního systému obsahujícího osobní údaje. To by vedlo spíše k jeho zablokování a znemožnění praktického používání. K datům přece potřebujeme mít přístup. Často on-line, odkudkoliv, kdekoliv a kdykoliv. Co s tím? Předně je dobré si uvědomit, co nebo kdo může být tím největším nebezpečím pro naše data, data obsahující osobní údaje. Já bych řekl, že to bude člověk. Žádný virus nebo ransomware, ale uživatel informačního systému. Bez ohledu na to, v jaké roli k datům přistupuje. Zda je to zaměstnanec firmy, který systém těmi osobními údaji plní či s nimi nějak pracuje, nebo externí uživatel přistupující zvenku aplikaci, která obsahuje data včetně osobních údajů.

Začal bych tedy u uživatelů. Je načase udělat pořádek v identitách. Zavést centrální správu uživatelských účtů – identity management a kontrolu přístupu uživatelů – access management. Nezapomínejte na administrátory. I to jsou uživatelé a je třeba je rozlišovat. Neměli by mít tu výsadu přístupu k serverům a aplikacím pod jedním společným root heslem. Je třeba rozlišit, kdo co dělá. K tomu slouží například privileged user management. Pak konečně dosáhnete tzv. jednoznačné identifikace a autentizace všech uživatelů, která vám zajistí i nepopiratelnou odpovědnost uživatele za provedený úkon.

Dalším (lze realizovat i souběžně) krokem je implementace SIEM řešení. Nasazujte ale pouze tam, kde to je potřeba. Gigabajty systémových logů odevšad jsou vám k ničemu. Pokud hodláte tyto logy vyhodnocovat v on-line režimu, musíte si vybrat, co je pro vás skutečně důležité.

Takže pokud budete mít centrální správu uživatelů a kontrolu jejich přístupu, můžete si být jisti, že k datům se dostane jenom ten, kdo má odpovídající oprávnění. Navíc máte k dispozici SIEM pro logování a automatické vyhodnocování událostí. V případě potřeby auditování máte k dispozici logy o všem, co se ve vašem perimetru stalo.

Tohle by mohl být zhruba cílový stav pro dosažení shody s GDPR z pohledu správy uživatelů. Ale nemyslete si, že máte hotovo. Prakticky jste teprve začali. Ale jdete správným směrem.

 

Ing. Martin Řehořek

Jednatel NEWPS.CZ

 

 

Zpět na výpis novinek

NEWPS.CZ
Máte dotaz?
Zavolejte nám!

Naše webová stránka používá cookies

Data o tom, co vás na našem webu zajímá, sdílíme s našimi partnery pro sociální média, inzerci a analýzy.
Partneři tyto údaje mohou použít s dalšími informacemi, které jste jim poskytli nebo které získali v důsledku toho, že používáte jejich služby.

OK

Druhy cookies

1. Nutné cookies pomáhají základním funkcím této stránky, jako je navigace stránky a přístup k zabezpečeným sekcím webové stránky. Webová stránka nemůže správně fungovat bez těchto cookies.

2. Preferenční cookies umožňují, aby si webová stránka zapamatovala vaše preference. Je to například preferovaný jazyk nebo region, kde se nacházíte.

3. Statistické cookies nám pomáhají porozumět tomu, jak návštěvníci používají webové stránky. Statistické cookies anonymně sbírají informace.

4. Marketingové cookies používáme pro sledování návštěvníků na našich stránkách. Záměrem je zobrazit vám reklamu, která je pro vás relevantní a neobtěžuje vás.

5. Neklasifikované cookies máme v procesu klasifikování společně s poskytovateli jednotlivých cookies.

Co jsou cookies?

Cookies jsou malé textové soubory, které mohou být používány webovými stránkami, aby učinily uživatelský zážitek více efektivní.

Podle zákona můžeme ukládat cookies na vašem zařízení, pokud jsou nezbytně nutné pro provoz této stránky. Pro všechny ostatní typy cookies potřebujeme vaše povolení.

Tato stránka používá různé typy cookies. Některé cookies jsou umístěny službami třetích stran, které se objevují na našich stránkách.