I stało się. Ostateczny deadline RODO nastąpił. Poprzednio pisałem o kilku kwestiach związanych z IT, które często wychodzą podczas audytów. Szczerze przyznam, iż audytów związanych z RODO jest ostatnio bardzo dużo, a listę problemów, które udaje się wychwycić jest tak dużo, iż materiału starczyłoby na odrębny ebook. Swoją drogą, ostatnio opracowałem wewnętrzną procedurę nazwaną „RODO audyt informatyczny”. Służy do jako wewnętrzna checklista dla mojego zespołu. Nie widzę jednak problemu, by się z nią podzielić. Jeżeli będzie zainteresowanie to dajcie znać w komentarzach. Opublikuję ją wtedy na blogu.
Chcesz bym wykonał audyt infrastruktury informatycznej? Zgłoś się do mnie 🙂
Sprawdź, czego nauczysz się dzięki kursowi Grafany!
Udostępniamy darmowo ponad godzinny materiał z kursu. Przekonaj się, że jest idealny dla Ciebie!
Chcesz wziąć udział w kursie? Kliknij w link i obejrzyj co Cię czeka: https://asdevops.pl/demo-grafana/
Zachęcam do lektury poprzedniego artykułu:
RODO audyt informatyczny
W skrócie zdradzę, iż procedura ta opisuje przegląd całości infrastruktury IT w firmie z wyszczególnieniem tego czy dany zasób jest używany wewnętrznie czy zewnętrznie. Kluczowe jest, by zlokalizować wszystkie magazyny zawierające dane osobowe, a następnie weryfikacja w jaki sposób są one chronione oraz jak duże istnieje ryzyko wycieku tych informacji.
Koniecznie należy zweryfikować czy zastosowano konieczne środki ostrożności. Często, bez dodatkowego podnoszenia kosztów można znacząco zwiększyć poziom ochrony danych. Przykładowo, szyfrując dyski twarde lub zmieniając protokół połączenia VPN lub transmisji poczty elektronicznej.
Wydruki
Ważne jest również zabezpieczenie, z pozoru nieistotnych urządzeń. Przykładowo, konfigurując drukarkę tak, by wydruk nie wychodził automatycznie z podajnika. Gdy drukowane dokumenty są poufne to po kliknięciu „Drukuj” na komputerze, pracownik po podejściu do urządzenia powinien jeszcze potwierdzić swoją tożsamość poprzez wprowadzenie jednego ze sposobów identyfikacji. Jednym z nich jest standardowe wpisanie pinu. Inną opcją jest przyłożenie karty zbliżeniowej, która potwierdzi tożsamość pracownika. Jako, że w firmach coraz częściej pracownicy są uzbrojeni w karty odblokowujące dostęp do poszczególnych pomieszczeń to wystarczy taką kartę zintegrować z drukarkami.
Oczywiście, tego typu konfiguracja jest wymagana w przypadku pomieszczeń gdy jedna drukarka przysługuje wielu pracownikom, a ten po kliknięciu zadania drukowania musi się do niej przejść. Jeżeli użytkownik ma swoją własną drukarkę w pokoju i przeznaczoną do użytkowania tylko dla niego to nie ma wielkiej potrzeby, by takie zabezpieczenie stosować. Chyba, że pracownik ten często pracuje z domu i zadanie drukowania często wysyła zdalnie, by po przyjściu do biura mieć już wydruki gotowe. Wtedy warto się zastanowić czy leżące na drukarce dokumenty są zagrożone przechwyceniem przez osobę z zewnątrz. Np. przez panią sprzątaczkę. I może jednak warto wtedy wykonać drukowanie z opcją potwierdzenia przy urządzeniu?
Dyski sieciowe
Innym, ciekawym przykładem są dyski sieciowe. Stosowane są one niemal w każdej firmie. Czasami jest to zasób utrzymywany na wewnętrznym serwerze, a innym razem na popularnych chmurach w stylu Gdrive lub Dropbox. Bez względu jednak na rodzaj zastosowanego rozwiązania, konieczne jest odpowiednie zabezpieczenie.
Przyznam, iż szokująca jest dla mnie liczba firm, w których działy IT decydują się na mapowanie dysków sieciowych do komputerów użytkowników bez zastosowania jakichkolwiek haseł. Mamy więc do czynienia z folderami udostępniony na serwerze, do których dostępu nie chroni żadne hasło. Tak więc, każda osoba w firmie bez żadnej kontroli może odczytać, zmienić, a nawet usunąć dowolne dane. I to jest niedopuszczalnie i koniecznie wymaga poprawy!
Szyfrowanie komputera
Pozostając w temacie dysków z danymi to ciekawe pytanie ostatnio zadała jedna klientka. Otóż, w jej laptopie przestała działać klawiatura. Pisała na nim za pomocą zewnętrznej, podłączanej pod USB klawiatury. Informatyk nie potrafił tego naprawić i konieczne było oddanie komputera do serwisu.
Jak jednak zabezpieczyć sprzęt, by dane z niego nie zostały przejęte przez serwisanta. Potencjalnie, taka sytuacja może się wydarzyć. W pierwszej chwili przyszły mi do głowy dwa rozwiązania.
Pierwsze polegające na tym, iż lokalny informatyk mógłby wykonać tzw. „obraz dysku”. Potocznie nazywanym w IT, image dysku umożliwiłby wykonanie pełnej kopii systemu wraz z danymi. Następnie konieczne byłoby w pełni wyczyszczenie komputera i oddanie go bez zawartości do serwisu. W momencie gdy by już wrócił z naprawy to wystarczyłoby odtworzenie obrazu, a klientka bez żadnej straty mogłaby wrócić do pracy. To jest jednak bardziej złożone rozwiązanie.
Wygodniejszym, szybszym i lepiej przystosowanym pod RODO pomysłem jest zaszyfrowanie dysku komputera. By była jasność – nie mówię tu o haśle do Windows. To można w bardzo prosty sposób obejść.
Mam na myśli zaszyfrowanie dysku twardego odpowiednio złożonym kluczem, które nawet w przypadku kradzieży sprzętu chroni nas przed wyciekiem danych. Odpowiednio skonstruowane hasło sprawi, iż potencjalny złodziej musiałby spędzić tygodnie, a nawet miesiące na próbach łamania hasła.
RODO audyt informatyczny – to jeszcze nie koniec
Tego typu kwestii jest cała masa i nie sposób ich wymienić. Podczas samego audytu, który razem z zespołem często przeprowadzamy w firmach poruszanych jest ponad 100 zagadnień dotyczących ochrony danych osobowych. Należy pamiętać, iż RODO nie dotyczy tylko informatyki. To również przepisy dotyczące choćby tego jak należy przechowywać dokumenty papierowe, by nie wpadły w niepowołane ręce, Nie bez powodu w firmach zatrudnia się osobę na stanowisku Administratora Bezpieczeństwa Informacji. Tzw. ABI, który obecnie przekształca się w rolę Inspektora Ochrony Danych Osobowych. Człowiek ten powinien mieć pełne kompetencji, by sprawnie wdrożyć i zabezpieczyć firmę przed wyciekami danych.
Jeżeli potrzebujesz pomocy w tym temacie to zachęcam do kontaktu ze mną. Jak zawsze, namawiam do pozostawienia komentarz bym miał pewność, iż nie tworzę tych treści tylko dla siebie 😉
