Niskobudżetowe bezpieczeństwo danych w IT

Bezpieczeństwo teleinformatyczne to ogół zagadnień z dziedziny telekomunikacji i informatyki związany z szacowaniem i kontrolą ryzyka wynikającego z korzystania z komputerów, sieci komputerowych i przesyłania danych. W artykule o tym, jak ograniczyć koszty związane z nim koszty zachowując jednocześnie właściwy poziom ochrony danych i spełniając wymagania ustawy, odpowiadamy poniżej.

bezpieczeństwo danych w IT

Czym jest bezpieczeństwo teleinformatyczne?

Bezpieczeństwo teleinformatyczne to ogół zagadnień z dziedziny telekomunikacji i informatyki związany z szacowaniem i kontrolą ryzyka wynikającego z korzystania z komputerów, sieci komputerowych i przesyłania danych.

Zgodnie z normą PN-ISO/IEC 27001:20014 za bezpieczeństwo informacji uznaje się zachowanie minimum: 

  • poufności – dane powinny pozostawać w tajemnicy, a możliwość zapoznania się z nimi mają tylko osoby upoważnione,
  • integralności – właściwość zapewnia, że dane nie zostały zmienione, uszkodzone lub zniszczone przez osobę nieupoważnioną,
  • dostępności – dane powinny być zabezpieczone przed dostępem osób nieupoważnionych,
  • rozliczalności – zgodnie z ustawą o ochronie danych osobowych, wszystkie działania podmiotu można przypisać konkretnej osobie.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET

Zgodnie z ustawą o ochronie danych osobowych administrator danych jest obowiązany zastosować środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

Wraz z systematycznie zwiększającą się ilością obowiązków związanych z bezpieczeństwem danych osobowych, wciąż pojawiają się nowe regulacje ustawodawcze, które nakazują tworzenie procedur, regulaminów i instrukcji. Efektem są, niestety, coraz większe koszty zarządzania przedsiębiorstwami… O tym, jak te koszty ograniczyć zachowując jednocześnie właściwy poziom ochrony danych i spełniając wymagania ustawy, odpowiadamy poniżej.

Zabezpieczenia fizyczne

Warto zwrócić uwagę na fakt, że bezpieczeństwo danych w systemach informatycznych, identycznie, jak w formie tradycyjnej (papierowej), zależy przede wszystkim od dostępu do przechowujących i przetwarzających je urządzeń. Szczególnie istotne jest zabezpieczenie dostępu do przenośnych urządzeń elektronicznych, takich jak laptopy, smartfony, pendrive’y, tablety, itp.

Jak zapewnić bezpieczeństwo znajdującym się na nich danym?

  • Nie zostawiaj urządzeń w miejscach publicznych bez nadzoru.  Jeśli nie ma innego wyjścia, warto posłużyć się tzw. linką zabezpieczającą, której zastosowanie polega na przymocowaniu urządzenia do solidnych, nieruchomych elementów, np. biurka. Tego typu smycze mogą być zamykane tradycyjnie za pomocą kluczyka lub mogą mieć zamek szyfrowy.
  • Zawsze transportuj sprzęt elektroniczny ich jako bagaż podręczny, np. na pokładzie samolotu.
  • Staraj się transportować urządzenia w sposób niewidoczny dla otoczenia, np. użyć zwykłego plecaka zamiast charakterystycznej torby na laptopa.
  • Nie zostawiaj urządzeń w hotelu lub samochodzie. Warto wiedzieć, że nawet jeśli ukryjemy laptopa w bagażniku, współcześni przestępcy z pomocą specjalnych urządzeń, potrafią wykryć, czy sprzęt znajduje się w aucie.
  • Gdy korzystasz z komputera w miejscu publicznym, chroń ekran przed wzrokiem niepożądanych osób używając tzw. filtra prywatyzującego, który ma za zadanie zmniejszenia kąta widzenia ekranu.

W przedsiębiorstwie kluczowym obszarem przetwarzania danych jest serwerownia. Jest to pomieszczenie, w którym znajdują się komponenty infrastruktury teleinformatycznej przetwarzające większość danych w organizacji.

Podstawowe zabezpieczenia powinny obejmować:

  • ograniczony dostęp (wejście na klucz lub kartę) oraz ewidencja osób upoważnionych,
  • zapasowe źródło zasilania w postaci UPS-ów,
  • zabezpieczenie przeciwpożarowe w postaci gaśnicy UGS2x, czy też GSE-2x,
  • czujniki monitorujące parametry środowiskowe oraz zadymienie w pomieszczeniu,
  • klimatyzatory odpowiadające za chłodzenie serwerowni.

Zabezpieczenia sieciowe

IPFire – darmowa dystrybucja systemu Linux, przeznaczona do pracy jako firewall. Została zbudowana w oparciu o moduły, dzięki czemu zapewnia

Migracje, chmury, systemy.
RODO w IT.

Szkolenie RODO w IT dla inspektorów ochrony danych oraz managerów i pracowników IT. Zapraszamy!
SPRAWDŹ TERMINY
elastyczność konfiguracji. Ma małe wymagania systemowe i doskonale nadaje się do integracji z istniejącą architekturą bezpieczeństwa. Posiada serwer pośredniczący – Proxy – z modułami filtrowania treści, sieciowy transparentny system antywirusowy, zapewnione jest zarządzanie aktualnością poprawek. Zapora wyposażona jest również w powszechnie stosowany systemów kontroli ruchu sieciowego jakim jest IPS/IDS. Instuction Detection System, to rozwiązania służące do wykrywania prób ataków na infrastrukturę sieciową. W razie zagrożenia wkracza IDS, którego główną rolą jest detekcja ataku i informowanie o tym administratora. Dzięki takiemu rozwiązaniu zapora jest nie tylko w stanie wykryć, ale i zablokować atak.

Infrastrukturę, w której przetwarza się dane osobowe należy zabezpieczyć przed działaniem złośliwego oprogramowania. Rynek oferuje nam szereg programów antywirusowych służących do tego celu, które można kupić lub skorzystać z ich darmowych wersji dostępnych w sieci. Jednym z najpopularniejszych bezpłatnych programów antywirusowych, zapewniających podstawową ochronę komputera jest Avast Free Antivirus. Narzędzie oprócz automatycznej aktualizacji bazy wirusów, skanowania komputera w czasie rzeczywistym, analizy stron internetowych i ochrony przed szkodliwymi skryptami, posiada również rozbudowaną pomoc techniczną oraz moduł umożliwiający przeskanowanie konfiguracji sieci pod kątem podatności na różnego rodzaju ataki.

Kolejną ciekawą, bezpłatną propozycją jest Comodo AntiVirus, mający wbudowaną zaporę ogniową, a jego licencja, dodatkowo, pozwala nam na zastosowanie komercyjne. Ciekawą funkcjonalnością programu jest kreator ukrywania portów, dzięki któremu możemy uniemożliwić korzystanie z prywatnych nośników na firmowych komputerach.

Przegląd narzędzi do ochrony danych osobowych

ABIeye

Od 2013 roku udostępniamy na naszej stronie bezpłatną internetową aplikację naszej produkcji – ABIeye. Oprogramowanie wychodzi naprzeciw przedsiębiorcom i instytucjom publicznych – jest jakby brakującym ogniwem pomiędzy wciąż niedoskonałymi przepisami prawa (nawet GIODO zwraca uwagę na to, że prawo nie nadążą za rozwojem technologicznym i dlatego coraz trudniej jest chronić dane), a powszechną informatyzacją. Aplikacja wspiera przygotowanie, wdrożenie i zarządzanie systemem ochrony danych osobowych, niezależnie od wielkości organizacji. Pomocna może być zarówno dla dużych korporacji, sklepów internetowych, jak też dla urzędów czy szkół.

ABIeye oferuje również dostępność szkoleń w formie e-learningu dla poszczególnych pracowników oraz możliwość nadawania im drogą elektroniczną upoważnień przy równoczesnej kontroli ukończenia szkolenia oraz prowadzenia statystyki efektywności tych szkoleń. Dzięki czytelnemu interfejsowi narzędzie pozawala w prosty i efektywny sposób prowadzić rejestr powierzeń, ewidencję i aktualizację zbiorów danych osobowych, ewidencję wszystkich zgromadzonych dokumentów, wykaz osób upoważnionych, zgłaszać incydenty i ewentualne problemy w zakresie ochrony danych osobowych do ABI oraz wiele innych.

Szyfrowanie dysków

Jednym z najskuteczniejszych sposobów ochrony danych jest szyfrowanie zawartości dysku twardego urządzenia, czyli jedno z zabezpieczeń kryptograficznych. Proces polega na zakodowaniu informacji według określonego schematu, aby osoba nieuprawniona nie mogła ich odczytać. Do tego celu możemy wykorzystać program TrueCrypt, który jest całkowicie darmowy, a jego licencja umożliwia zastosowanie komercyjne. Narzędzie pozwala na szyfrowanie całych dysków, ich partycji, przenośnych nośników elektronicznych, a także na tworzenie wirtualnych zaszyfrowanych dysków (także ukrytych) o określonej pojemności. W każdym przypadku przed nieautoryzowanym dostępem nośniki zabezpieczone są hasłem. Szyfrowanie odbywa się za pomocą bardzo silnych algorytmów. Możliwe jest także szyfrowanie kaskadowe, tzn. kodowanie danych po kolei kilkoma algorytmami. Podobne funkcjonalności oferują programy CloudFogger lub DiskCryptor, które są również darmowe.

Zabezpieczanie maili

Aby odpowiednio zabezpieczyć dane osobowe wysyłane mailem, można użyć dwóch sposobów szyfrowania:

  • załączenie do wiadomości zaszyfrowanych plików (załączników),
  • zaszyfrowanie całej wiadomości, włącznie z załącznikami.

W pierwszym przypadku, do zaszyfrowania załączników możemy użyć darmowego programu 7-Zip. Jest to coraz popularniejsze narzędzie, również do zastosowań komercyjnych, charakteryzujące się najwyższym stopniem kompresji generowanych plików.

Do zaszyfrowania całej wiadomości możemy użyć programu GPG4Win, który po zainstalowaniu integruje się z programem pocztowym. Zaszyfrowana z jego użyciem wiadomość jest w całości zabezpieczona, zarówno jej treść jak i załączniki.

Skuteczne usuwanie danych

Warto wiedzieć, że wszelkie dane usunięte z systemu informatycznego metodą tradycyjną (przez przeniesienie pliku do kosza lub sformatowanie dysku) można bardzo łatwo odzyskać, np. poprzez użycie darmowego programu Redo Backup and Recovery lub Recuva. Należy o tym pamiętać szczególnie w przypadku, kiedy urządzenia są odsprzedawane lub oddawane do serwisu. Aby skutecznie usunąć dane z nośnika warto wykorzystać darmowe narzędzie Eraser, które nie tylko usunie dane z dysku twardego, ale również nadpisze miejsce po nich, dzięki czemu ich odzyskanie stanie się niemożliwe. Nowoczesne dyski SSD pozbawione są tego problemu, pod warunkiem, że obsługują funkcję TRIM dzięki, której zwykłe sformatowanie dysku powoduje całkowite pozbawienie go danych.

Praca dobrymi narzędziami RODO to nie praca!

Aplikacje, kalkulatory, RODOmigawki - wszystko, co może ułatwić Ci zarządzanie systemem ochrony danych osobowych.
ZOBACZ WIĘCEJ

Blokowanie portów USB

Wiele współczesnych programów antywirusowych umożliwia blokowanie i odblokowywanie portów USB dla nośników danych. Niemniej, warto wspomnieć o USB Disabler, który również oferuje nam taką funkcjonalność. Korzystając z tego narzędzia zwiększymy bezpieczeństwo komputera, zwłaszcza, jeżeli powierzamy sprzęt osobom, do których nie mamy całkowitego zaufania. USB Disabler oferuje dwa tryby:

  • Read Only, który umożliwi tylko odczyt danych z nośników,
  • Disable, który całkowicie blokuje możliwość korzystania z nośników USB na komputerze.

Tworzenie kopii zapasowych

Zapasowe kopie danych mają ogromne znaczenie szczególnie dla przedsiębiorców, którzy przetwarzają dane cyfrowo. Wykonywanie kopii jest swego rodzaju polisą ubezpieczeniową, która pozwala odzyskać dane w razie awarii, bądź wówczas, gdy dane zostaną usunięte przez przypadek. Przydatnym darmowym narzędziem do tworzenia kopii zapasowych jest AOMEI Backupper, którego licencja pozwala również na zastosowanie komercyjne. Podobnie jak proces tworzenia backupu danych, przywracanie ich za pomocą programu jest bardzo proste i ogranicza się do kilku kliknięć myszką. Podobne funkcjonalności oferuje nam szereg innych darmowych programów, np. Cobian Backup lub Clonezilla. Należy pamiętać, aby kopie zapasowe wykonywać regularnie i przechowywać poza pomieszczeniem, w którym są wykonywane, z ograniczonym dostępem osób nieuprawnionych. Najlepiej przechowywać je w innym miejscu niż siedziba przedsiębiorcy lub skorzystać z usług funkcjonujących na rynku firm, które zajmą się tym profesjonalnie.

Dobre praktyki ochrony danych osobowych

  • Używanie haseł uwierzytelniających w systemach informatycznych. Zgodnie z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. hasło powinno składać się minimum z 8 znaków, zawierać małe i duże litery, cyfry, znaki specjalne oraz nie powinno być zmieniane rzadziej niż co 30 dni.
  • Na pulpicie komputera powinny znajdować się jedynie ikony standardowego oprogramowania i aplikacji służbowych oraz skróty do folderów, pod warunkiem, że w nazwie nie zawierają informacji o realizowanych projektach lub klientach. Jest to szczególnie ważne, jeżeli często występujesz na konferencjach, seminariach czy spotkaniach biznesowych, gdzie podczas prowadzenia prezentacji korzystasz ze swojego sprzętu.
  • Wydrukowane dokumenty powinny być zabierane z drukarek niezwłocznie po wydrukowaniu. Dobrym rozwiązaniem jest również wdrożenie mechanizmu „druku podążającego”. Pozwala ono na drukowanie dokumentów i odbieranie ich z każdego zainstalowanego w firmie urządzenia dopiero wtedy, kiedy pracownik znajdzie się w pobliżu drukarki. Weryfikacja tożsamości odbywa się przez wpisanie kodu PIN bądź użycie karty magnetycznej. Dzięki temu osoby nieupoważnione nie mają dostępu do cudzych dokumentów.
  • Należy pamiętać o pozbawieniu komputera ważnych danych kiedy oddajemy go do naprawy. Przykładowo, w sytuacji awarii płyty głównej lub zasilacza, z komputera można po prostu wyjąć dysk i przekazać go do naprawy. Sprawa komplikuje się, kiedy doszło do uszkodzenia dysku, bądź części danych w nim zawartych. W takiej sytuacji należy w formie pisemnej zawrzeć z serwisem umowę, w której znajdą się postanowienia dotyczące zachowania poufności oraz powierzenia danych osobowych.
  • Bezwzględnie powinno się zachować dowód zakupu sprzętu elektronicznego oraz jego kartę gwarancyjną z numerem seryjnym. Będą one przydatne podczas zgłaszania kradzieży na policji oraz wypłaty ewentualnego odszkodowania w ramach wykupionej polisy.

Kiedy ostatnio
robiłeś analizę ryzyka?

Ryzyko i DPIA są podstawowymi elementami budowy systemu ochrony danych.
ZAMÓW OFERTĘ

Zakończenie

Jak widać sposobów na przeciwdziałanie kradzieży, ochronę danych i maksymalne utrudnienie życia złodziejowi, które nie obciążą nadmiernie naszej kieszeni jest wiele. Przedstawione powyżej programy i narzędzia pozwolą wam zadbać o bezpieczeństwo i prywatność, ale nie są one niezawodne! Zwłaszcza wtedy, gdy korzystamy z nich bez doświadczenia. Najlepszą metodą dbania o prywatność jest zdrowy rozsądek. Poruszajmy się w tematyce bezpieczeństwa z głową, pamiętajmy o wyżej wymienionych zabezpieczeniach, a unikniemy utraty często drogich urządzeń teleinformatycznych i bezcennych danych oraz zwiększymy szanse na odzyskanie sprzętu po ewentualnej kradzieży.

Czytaj także:

-
4.63/5 (48) 1
Najczęstsze błędy przy zawieraniu umów powierzenia
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>