Adatbiztonság: Tudja biztonságban az adatait!

Adattározó lakatokkal
Adatbiztonság

Tudja, hogy ki fér hozzá a cége információihoz? Elgondolkodott azon, hogy az adatok mennyit érhetnek másoknak? Ha már saját szerveren és gépparkon tároljuk az adatainkat, az már előrelépésnek számít a public cloudhoz (felhő alapú számítástechnika / információtárolás) képest, aminek működésére nem vagyunk hatással (lásd: https://www.smartfalu.hu/2019/01/24/felhoszolgaltatasok/). Viszont el kell gondolkoznunk, hogy kinek van hozzáférése az adatokhoz.

Törvényi előírások vonatkoznak a személyes adatok védelmére! Pl.: Az önéletrajz megtartásához írásos engedélyt kell kérnünk a pályázótól, hogy lefűzhessük, megtarthassuk ezeket a dokumentumokat.

Ugyanez igaz a digitális adatokra is: Az operációs rendszerben alapértelmezett törlés nem is valódi törlés, hanem csak engedélyt ad más programoknak felülírni a dokumentum helyét.

Ez vonatkozik a webshopoknál az adattárolásra: Jól bevett szokás, hogy nem egy adattáblában tároljuk a személyek adatait és vásárlási szokásait, hanem két különböző adatbázisban. Így, ha az egyiket ellopják és feltörik, nem tudnak mit kezdeni a szerzett információkkal.

És mi a helyzet a hozzáféréssel?

Ahhoz, hogy egy személy azonosítani tudja magát, az alábbi három feltételből kettőnek mindenképp teljesülnie kell, hogy biztonságos legyen a rendszerünk:

  • A belépni kívánó adatait tudjuk egyeztetni, s azok egyezzenek a ténylegesen belépő adataival (ujjlenyomat, retina, hang stb…)
  • A belépő tudjon valamit specifikus információt megadni (jelszó)
  • Legyen nála valami, ami az azonosításhoz szükséges (pl. belépőkártya)

A másik fő szempont, hogy megállapítsuk, hogy milyen adataink vannak, és azok mennyit érnek. Alapszabály, hogy ne költsünk többet az adataink védelmére, mint amennyit ér maga az adat. A Magyar Nemzeti Bank adatbázisa legyen minél védettebb, viszont a sarki pékségnek talán nem célszerű felállítania ugyanazt a védelmi szintet.

Különös figyelmet kell szentelnünk a belső védelemre is. Ez alatt a saját munkatársakat kell érteni: Egy amerikai felmérés szerint minden negyedik munkavállaló potenciálisan rosszat tehet a cégének, ha úgy adódik. Direkt vagy akaratlanul. A fő veszély az adataink tekintetében a saját emberink mulasztása és figyelmetlensége, s nem egy külső behatoló, egy rosszakaratú hacker. Ezt a kockázatot a vállalatok egy úgynevezett hozzáférési szabályzattal tudják lecsökkenteni.

Léteznek olyan dokumentumok, melyeket minél szélesebb körben szeretnénk terjeszteni (magazinok, katalógusok, kuponok stb), míg másokat bizalmasan szeretnénk kezelni (a legutolsó vezetői ülés döntéseinek eredménye). Ezeket az információkat nem kell minden munkatársunknak kiadni, mivel lehet, hogy sokkal hatékonyabb, ha csak arra koncentrál, ami az ő munkájához szükséges. Így kiküszöbölhetjük, hogy akár véletlenül, egy rendszerben olyan funkciót használjon, amire nincs jogosultsága.

Egy jó ügyviteli rendszernek az alábbi feladatokat kell ellátnia:

  • A felhasználónév menedzselése (jelszó, használt nyelv, saját adatok stb.).
  • A hozzáférés irányítása (csak azt ami kell, amikor kell).
  • A felhasználók aktivitásának monitorozása.
  • A kritikus adatok változtatása, történeti mentése (mely adat, milyen értékről mire lett változtatva, mikor, kitöl).

Amennyiben további információkat szeretne szerezni az adatok biztonságáról, figyelmébe ajánljuk a komplexebb ISO 27001-es szabványt, vagy az iparban dolgozók 95%-ának elegendő “ISIS 12 lépése” című ajánlást. (lásd: https://www.smartfalu.hu/2019/01/24/informaciobiztonsagi-ugyviteli-rendszer/)