RODO Informatyka, czyli artykuł o tym jakie poprawki warto jeszcze wdrożyć w Twoim IT? Zdaję sobie sprawę, iż do tej pory temat ochrony danych osobowych był już mocno drążony na tym blogu, jednak dalej nie wyczerpaliśmy wszystkich aspektów. Dziś zajmiemy się trochę mniej oczywistymi aspektami.
W drugiej części „RODO Informatyka” omówimy kwestię wydruków i współdzielonych dysków sieciowych. A także, wyjaśnimy kwestię tego co należy zrobić z komputerem, który oddajesz do serwisu w celu naprawy. Jak zabezpieczyć dane osobowe, by nie wpadły w ręce nielojalnego serwisanta? Te aspekty omówimy w drugiej części, która już na dniach pojawi się na blogu. Tymczasem, przejdźmy do dzisiejszych porad.
Zapraszamy na darmowe szkolenie "Grafana dla początkujących".
Widzimy się 17 października o 13:00! . Zapisz się: https://asdevops.pl/s43/
Finisz maratonu
Jesteśmy już przed metą maratonu zwanego „RODO”. Na blogu od dłuższego czasu przypominamy o zmianach.
Jeżeli nie przespałeś tego okresu to teraz masz wieczorami lekki sen. Jeżeli jednak w Twojej organizacji jeszcze jest daleka droga do wdrożenia koniecznych poprawek to zachęcam Cię do przeczytania tego oraz wcześniejszych poradników. Znajdziesz je wszystkie w tym miejscu:
https://blog.askomputer.pl/category/rodo/
Na początek warto przypomnieć, iż kluczowe jest, by postarać się o odpowiednią ochronę pomieszczenia z danymi. Przede wszystkim, warto zadbać o odpowiednie ukrycie pomieszczenia. Plakietka na drzwiach z napisem „Serwerownia” wygląda dosyć dumnie, jednak nie warto tak się z tym afiszować przed przechadzającymi po naszej firmie wizytatorami. Ponadto, dostęp do pomieszczenia powinny mieć tylko osoby wyznaczone, a ich liczbę ograniczyć do minimum. Dodatkowo, każda wizyta w serwerowni powinna być w jakiś sposób rejestrowana. Albo przez odpowiednią kartę elektroniczną i system, który zapisuje każde wejście i przypisuje je do właściciela karty, albo za pomocą prostego wydawania kluczy. Wystarczy ochroniarzowi nakazać kontrolę dostępu do pomieszczeń oraz zapisywać nazwisko osoby wchodzącej. Dzięki temu zawsze będziemy mieć wiedzę na temat tego kto wchodził do pomieszczenia i w razie krytycznego wydarzenia łatwo znajdziemy przyczynę.
Poza tym, w kwestii samej serwerowni warto również pozamykać wszelkie urządzenia w specjalnych szafach rakowych. Oczywiście, również zamykanych na klucz. Do tego odpowiednie rozplanowanie ułożenia, klimatyzacja i… ech, zaczynam odpływać teraz. Klimatyzacja nie ma żadnego znaczenia w odniesieniu do RODO, jednak z punktu widzenia IT, warto czuwać nad takimi aspektami.
Balansując na granicy…
Szaleństwa? No nie. Aż tak źle nie będzie. Zanim przejdziemy do bardziej zagmatwanych spraw to jednak w tym momencie wspomnę o dwóch kwestiach, które wywołują zawsze mocne poruszenie gdy się o nich wspomina.
Pierwsza to ułożenie monitorów. Czy są one ustawione tak, że mogą je podejrzeć osoby postronne? Przykładowo, wchodząc do pokoju gdzie stoi komputer z dostępem do danych osobowych, osoba zewnętrzna dokładnie widzi co jest wyświetlane na ekranie monitora. Może w tym momencie podejrzeć wyświetlane na nim dane. I z perspektywy RODO jest to już naruszenie. Wydawać by się to mogło absurdalne, jednak dla własnego bezpieczeństwa zawsze warto mieć wykręcony monitor w taki sposób, by nikt inny nie mógł go podejrzeć. Dla przykładu weźmy kamery. Są one teraz wszędzie. Jeżeli pracujesz na lotnisku na laptopie to niemal możesz być pewny, iż pracownik monitoringu może wykonać zbliżenie na Twój ekran. I co wtedy zobaczy? Otwartego Pudelka, transfer kryptowalut? A może dane osobowe lub hasło wpisywane na klawiaturze do Twojego konta bankowego? Naprawdę, zalecam ostrożność z odsłanianiem swojego ekranu.
Druga kwestia, która już dla mnie jest mocno absurdalna to przywiązywanie komputerów za pomocą łańcuchów. Otóż, odwiedzając różne firmy spotkaliśmy się ze stwierdzeniem, iż firmy konkurencyjne dla nas, zalecają przymocowywanie laptopów do biurek za pomocą specjalnej linki.
Wygląda to tak:
Oczywiście, nie neguję tego, iż jest to dodatkowy poziom zabezpieczeń i jeżeli przedsiębiorstwo stać na takie rozwiązanie to jak najbardziej warto je zastosować. Chroni to przed ewentualną kradzieżą sprzętu oraz danych. Jeżeli jednak masz ograniczony budżet lub przez Twoją firmę przewija się niewielka liczbą osób zewnętrznych to można takie zabezpieczenie sobie odpuścić.
Wymieniona linka ma za zadanie chronić przed nagłą i szybką kradzieżą. Ma na celu zapobiec wydarzeniu gdy potencjalny gość przechodzi i zwija szybko laptop pracownika do swojej torby. W przypadku zaplanowanej kradzieży gdy złodzieje zakradają się do Twojej siedziby wieczorem to łańcuch nie będzie miał znaczenia. Złodziej bez problemu przetnie zabezpieczenie i zabierze sprzęt.
Dlatego warto zabezpieczyć komputer w taki sposób, by po kradzieży nie można było wyciągnąć z niego żadnych danych. A przed tym chroni zaszyfrowanie dysku odpowiednio skomplikowanym kluczem. Ustawa dotycząca RODO na szczęście nie nakazuje przywiązywania komputerów za pomocą łańcucha. Przynajmniej na razie. Bo to już by był absurd porównywalny z tym jaki w kultowej komedii „Miś” zaprezentował Bareja podczas sceny z baru mlecznego gdy goście musieli się posługiwać sztućcami przywiązanymi do stolika.
Tyle na dziś. Już za kilka dni pojawi się druga część cyklu „RODO Informatyka”. Zachęcam mocno do śledzenia moich profili społecznościowych. Linki poniżej. Dzięki temu nie umknie Ci żaden, nowy artykuł. Zachęcam również do podzielenia się swoimi opiniami w komentarzach. Czy IT w Twojej firmie jest przygotowane do RODO?