Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



04.01.2022

Dane klientów HPE przejęte w...

HPE poinformowało, że dane klientów zostały przejęte w wyniku naruszenia dotyczącego jego...
04.01.2022

Bezpieczny dostęp

Citrix rozszerza swoje rozwiązania z zakresu bezpiecznego dostępu.
04.01.2022

Ochrona pracy zdalnej

Fortinet przedstawił spójną koncepcję zabezpieczania środowiska IT w firmach, które...
04.01.2022

Rozwiązania dla Linuxa

Red Hat poinformował o udostępnieniu rozwiązania Red Hat Enterprise Linux 8.5.
04.01.2022

Usługi chmurowe

Strefa lokalna AWS w Polsce
04.01.2022

Nowy laptop należący do serii...

ASUS VivoBook Pro 16X to nowy laptop należący do popularnej serii VivoBook. Przeznaczony...
04.01.2022

Do fizycznej wirtualizacji...

QNAP zaprezentował urządzenie nowej generacji do wirtualizacji sieci – QuCPE-7012 –...
04.01.2022

Dla przemysłu

Transcend prezentuje bezpieczne dyski SSD zgodne ze standardem Opal SSC 2.0. Oba dyski...
04.01.2022

SI w monitoringu

Firma i-PRO, mająca swoje korzenie w Panasonic, wprowadziła do swojej serii S kamery typu...

Monitoring nasz powszedni/poszerzony

Data publikacji: 26-06-2018 Autor: Michał Jaworski

Jednym z wymogów rodo jest wykorzystywanie systemów, które zapewniają „data protection by design” oraz „data protection by default”. Zaś przy wprowadzaniu nowego oprogramowania i przy modyfikacji istniejącej aplikacji do obowiązków administratora należy „data protection impact assessment”.

Celowo używam angielskich skrótów, ponieważ brzmią znajomo w uszach informatyka i są łatwe do zapamiętania, w odróżnieniu od „uwzględniania ochrony danych w fazie projektowania” oraz „domyślnej ochrony danych” czy „oceny skutków dla ochrony danych”. Ponieważ mamy do czynienia z żywą materią systemów informatycznych, stąd warto postawić pytanie – jak powinniśmy sprawdzać, czy nowo dodana aplikacja, rzekomo napisana zgodnie z regułami „coś-tam by design”, nie zmienia czegoś istotnego w naszej infrastrukturze? Bądź też, czy nie pozostawiliśmy użytkownikom zbyt dużo możliwości nabrojenia w przetwarzaniu danych osobowych? Trzeba mieć szybką i prostą metodę, by dokonać oceny ryzyka, a potem potencjalnemu problemowi zaradzić.
 
Powyższe oznacza, że prócz świetnie nam znanych systemów monitorujących będziemy potrzebowali kolejnego narzędzia. Pierwszym będzie dodatkowe oprogramowanie, które zacznie analizować dane z obecnego monitoringu pod kątem zachowania zgodnego z wymaganiami prawa. Dotychczasowa analiza logów, serwisów czy aplikacji pozwalająca zauważyć niepokojące wydarzenia lub ich ciągi będzie musiała zostać wzmocniona. Nie mówię tutaj o sytuacjach, w których użytkownik Kowalski zaczyna sięgać do miejsc, gdzie jego obecność nie była oczekiwana – to jest do natychmiastowego załatwienia, bez żadnych nowych aplikacji. Chodzi o chwile, kiedy nowy soft pozwoli Kowalskiemu na działania na danych, których Kowalski robić nie powinien. Dlaczego to ważne? Ano dlatego, że większość naruszeń ochrony danych osobowych nie jest efektem działań północnokoreańskich hakerów, ale czynności wykonanych przez koleżanki i kolegów z pracy. Udzielanie dostępu osobom nieupoważnionym, wysyłanie danych poza firmę, robienie dodatkowych kopii w miejscach niechronionych, trzymanie danych dłużej niż potrzeba, gubienie nośników z danymi… Najczęściej mamy do czynienia z niefrasobliwością i brakiem wiedzy, choć wszędzie znajdą się także osły level master. 
 
Skoro już przy tym jesteśmy, muszę wskazać jeden typ danych osobowych, o którego istnieniu świetnie wiemy, a nie bardzo chcemy się nim zajmować. Bo najlepiej, kiedy dane znajdują się w ściśle określonym miejscu i reżimie. Marketing ma swoje bazy, sprzedaż swoje, a HR swoje. Mają wdrożone polityki, dodamy im parę narzędzi – sprawa załatwiona. A co najważniejsze, wiadomo, że odpowiedzialność spoczywa na szefie danego działu, zaś informatyk jest tylko wykonawcą jej/jego woli i poleceń. Dane osobowe pojawiają się jednak także w postaci nieustrukturyzowanej, jako tysiące plików Worda, Excela, PDF-ów i zdjęć. Zapanowanie nad nimi i zasadami ich przetwarzania spada zawsze na IT! Ani kroku dalej bez monitorowania zgodności z rodo!
 
Czy istnieją już gotowe programy, które monitorują zgodność z wymaganiami prawa, typu „compliance manager”? Oczywiście, bo skoro była potrzeba, to oczywiście są też narzędzia! Działają one podobnie jak systemy wspomagające audyty. Odpowiedź jest zero-jedynkowa, a w przypadku zaświecenia się jakiejś kontrolki na czerwony, administrator wie, komu zlecić naprawę tego stanu. 
 
Na koniec dodajmy najważniejsze. Podczas kontroli regulatora inspektorzy nie będą sprawdzać, jakimi środkami technicznymi chronimy dane. Kontrolerzy nie muszą się na tym znać, zwłaszcza że każda firma może przyjąć odmienny sposób zarządzania i ochrony danych. Natomiast kontrolerzy będą chcieli zobaczyć dokumentację, co robimy, by dane chronić. Bo koniec końców, nałożenie czy odstąpienie od ukarania, wysokość kary czy nakazane działania naprawcze będą zależały od tego, czy uda nam się wykazać poziom ochrony adekwatny do ryzyka. Wykazać, czyli udokumentować.
 
Czeka nas zatem dodatkowa praca związana z monitorowaniem infrastruktury i aplikacji oraz zgodności z oczekiwaniami prawa lub rekomendacji. Takie systemy będą uzupełnieniem dotychczasowych systemów skoncentrowanych w 100% na technice. Te nowe będą dodawały aspekty organizacyjne i prawne do monitoringu. Nie wspomniałem słowem o AI, ale wszyscy wiemy, że to będą produkty z tej stajni, prawda?
Michał Jaworski – autor jest członkiem Rady Polskiej Izby Informatyki i Telekomunikacji. Pracuje od ponad dwudziestu lat w polskim oddziale firmy Microsoft

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"