Manapság a legtöbb cég az adatvédelmi biztonsággal kapcsolatos feladatokra fokuszál, olyan módszereket keresnek, amelyekkel biztosítani tudják, hogy az érzékeny információk ne kerüljenek rossz kezekbe.A szerző a Protergy adatbiztonsággal foglalkozó szervezet marketing alelnöke, Paul Giardina, tíz ponton keresztűl közelíti meg és probál megoldást találni a cégeket érintő adatsértésekkel kapcsolatos problémákra.
1. Sokrétű, egymást részben átfedő szabályok megalkotása.
Az elmúlt öt évben az Egyesült Államok új szabályokat vezetett be, például a “Sarbanes-Oxley törvényt” ,Gramm-Leach- Bliley törvényt, “Health Insurance Portability and Accountability Act”(HIPAA) (ami az egészségbiztosítással összefüggő törvény), viszont több állam is megsértette a közzétett szabályokat, ugyanakkor a nemzetközi cégek más országokban is tevékenykednek, így az ott megalkotott szabályok is irányadók.
A bankkártya iparág szabályai (a legújabb törvény, amely szeptemberben jött ki) kihatással van szinte valemennyi, adatvédelemmel kapcsolatos törvényre, némelyikkel pedig átfedésben van. De a törvények sok más területtel nincsenek összhangban. Javasolt a cégeknek feltérképezni a k ülönböző szabályterületeket és tanácsos megvizsgálni, hogy a különböző IT projektek milyen hatással vannak ezekre a területekre.
Ezzel a hálózattal a cégek át tudják tekinteni, hogy melyik technológiai projekt lehet a leghasznosabb, amellyel a szabályoknak is eleget tehetnek, és aztán aszerint priorizálhatják a feladatokat. A cikk rámutat arra az alapfelvetésre, hogy a szabályok betartása az adatvédelmi biztonság minimum szintje egy cég esetében. A védelmi technológiai projektek is fontosak a szervezetek szempontjából, de nem kifejezetten biztonsági tekintetben lényegesek.
2. A projekteket aszerint kell priorizálni, hogy az adatvédelmi biztonság szempontjából melyek képezik a legnagyobb kockázatot a vállalat számára.
A Bankkártya Biztosítás ( PCI) betartása probléma a kereskedelemben résztvevők több, mint 85 százalékának. A Visa és a MasterCard már 18 hónapja elvárja a szabályok teljesítését, így a kereskedők meg tudják védeni magukat, hogy az adatok megsértése miatt ne kelljen pénzbüntetést fizetniük. Giardina elsőként azt javasolta, hogy előtérbe kell helyezni azokat a projekteket, amelyeknek a biztonsági rései a legnagyobb veszélyt jelentik a cég számára, és ezután már az egyszerűbb mükődés is megvalósul
3. Olyan módszereket kell alkalmazni, amelyekkel az ésszerű adatvédelmi intézkedéseket a gyakorlatba is át tudják ültetni.
Adataink megóvása rengeteg kihívással jár, Giardina szavait a szerző így tolmácsolja. A törvények és a szabályzatok próbára teszik az ésszerű adatvédelem szintjeit, ezáltal lehet meghatározni a vállalat felelősségét. “Ami racionális, az nem biztos, hogy másnak is az” - állapítja meg. A cégeknek érdemes kézbentartani a végrehajtott biztonsági ellenőrzések nyilvántartsainak tételeit, eljárásait, és a kereskedelem helyzetét is. Ha egy biztonsági rés felbukkan, azt nem vehetik félrvállról. Szükséges, hogy felidézzék a legjobb gyakorlatokat és az adott iparág referenciaértékeit, illetve a technológai fejlődés mértékét ezek pedig megmutatják, hogy a biztonsági program mennyire is hasznos.
4. Csökkenteni kell az adatvédelmi szempontból nagy kockázatú tevékenységek végzését.
A cégek számára tanácsos mérsékelni a magaskkockázatú viselkedést, amely folytatná a cég hibás adatvédelmi politikáját, ezeket biztonsági szoftverekkel előzhetik meg. Magas kockázatú viselkedés például a bizalmas adatok átvitele az emaileken vagy üzenetküldő aplikációkon keresztül, a biztonsági szempontból jóvá nem hagyott készülékek csatlakozása a hálózathoz, hozzáférés illetéktelen adatokhoz, vagy a titkosítatlan adatokhoz, az asztalról vagy a laptopokról lemásolnak bizalmas adatokat használva az US vagy a hordozható eszközöket. Az alkalmazottak és a vezetőknek képzettnek kell lenniük a biztonsági intézkedések megvalósításával kapcsolatban.
5. Ki kell építeni a titkosítotás mértékét a kódolt fájlok és adatbázisokra vonatkozólag.
Habár a legtöbb cég említést tesz az adatok kódolásáról, még sem hajták azt végre. Az első lépés meghatározni, hogy a cég egészén belül, hol tároláják az adatokat és milyen hosszú időre kell azokat megőrizni. Ha nincs rá szükség, akkor nem szükséges megtartani őket. A következő lépés a kulcsfontosságú vezetés érdekében a stratégia fejlesztése és az adatok hasznosítása, ha a rendszerhiba támadna.
6. Olyan módszereket kell alkalmazni , amivel figyelemmel kísérhetik a “fekete lyukakat” a kiszervezett adatvédelemben.
Számos cégnek meg kell osztania a fogyazstóinak az adatait az üzleti partnerekkel. Ez még mindig a szolgáltató társaságok felelőssége, hogy biztosítsák az adatok biztonságát. A cégek nem közvetíthetik az adatokat úgy, hogy megfeledkeznek a biztonsági előrásokról. Giardina azt javasolja, hogy vizsgálják felül a megállapodsok szövgeit, az üzenetek titkosságát, a tranzakciós védelmet, a tárolási gyakorlatot és az üzleti partnerek tranzakció feldolgozását.
7. Megtisztítani a fogyasztók adatiait a káros hulladékoktól.
A CRM (customer relationship managemen) sok évvel ezelötti megjelenésével a cégek elkezdték begyűjtnei a felhasználók adatait, nagy része duplikált lehet a rendszer területein belül. Például: egy bank felhasználói társadalombiztosítási száma szerepelhet egy háttérirodában, egy ágazati szervzetben és egymásik rendszerben és a cégek egészében (organizatioon)
8. A felhasználói adatokkal kapcsolatos kockázatokat csökkenteni kell, ellenben a cégnek növelnie kell az adatvédelemmel kapcsolatos befektetéseit.
Néha súlyosabb kockázattal jár az felhasználók adatainak a megőrzése , mint a lehetséges profit. A felhazsnálók adatainak optimális kezelését megszilárdított cég képes learatni a hasznot, mert ez vállalati szintű nézőpontot jelent a felhasználókkal kapcsoltban, a keresztértékesítés növekedése pedig javítja az adatok minőségét.
9. Biztonságos vállalati rendszereket kell kialakítani a minőség fenntartása érdekében
A cégeknek több hardver eszközre lesz szüksége, ahogy növekednek, ez a szerververektől a PC-kig és külső rendszerekig mindent magába foglal, így a laptopokat, PDA-akat és mobilokat is. A megoldás az, hogy feltérképezik az érzékeny adatok áramlását, majd fontosság alapján rangsorolják a biztonsági óvintézkedéseket.
Ez azt jelenti, hogy minősíteni kell az érzékeny infomrációkat (az ügyfelek adatait) és azokat, amelyek nem azok (például a cég ebédmenüje), és azonosítani kell az adatáramlás kockázatát.
10. Tipikus kockázatelemzést, ellenőrzéseket, és a kockázatok megbecsülését kell végrehajtani.
Tipikus kockázatelemzést és ellenőrzéseket, és kockázatok megbecsülését kel végrehajtani.
A szabványügyi Intézet (NSIT) számos ajánlatát/ javavslatát meg lehet találni az interneten (http://www .nist.gov) amely forrást biztosít az együttmüködő adatbiztonság irányelveinek, és azok lebonyolitásainak fejlesztéséhez. De A NIST vállalatainak úgy kell tekinteniük a cég ajánlataira. mint kiinduló pontokra.
Az adatbiztonsági kockázatok, és a különböző bünügyi támadások veszélyeztethetik a cégek biztonsági fejlődésére irányuló folytatás.
Cikk forrása : Britt, P.: „Ten Ways to Boost Data Security”. In : Infomration Today . Vo. 23. Issue 10, (2006) p. 51-52.
Nincsenek megjegyzések:
Megjegyzés küldése