U prošlom blog postu iz serije Smart Security smo se fokusirali na GDPR i na to po čemu je ovaj zakon drugačiji od prethodnih legislativnih mjera koje za cilj imaju zaštitu privatnosti. U ovom dijelu želimo da ponudimo par smjernica koje mogu biti korisne svakoj organizaciji koja želi da se uskladi sa GDPR-om, te pokažemo kako da započnete svoj put ka boljoj sajber sigurnosti i zaštiti podataka.
Ukoliko ste vlasnik kompanije u 2019. godini, sljedeće važi za vas i sve ostale preduzetnike: bez obzira u kojoj ste industriji, privatnost podataka i sajber sigurnost su sada i vaša briga. Zakoni o privatnosti podataka i sajber sigurnost su sada teme o kojima moraju da brinu menadžeri i direktori i nešto o čemu svaka kompanija mora da razmišlja. Ako imate sajt, koristite email, socijalne medije, kupci plaćaju za vaše proizvode i usluge preko interneta, koristite onlajn bankarstvo ili softver bilo koje vrste više ne možete ignorisati odgovornosti koje proizilaze iz modernog poslovanja.
Ukoliko ste vlasnik kompanije u 2019. godini, sljedeće važi za vas i sve ostale preduzetnike: bez obzira u kojoj ste industriji, privatnost podataka i sajber sigurnost su sada i vaša briga. Zakoni o privatnosti podataka i sajber sigurnost su sada teme o kojima moraju da brinu menadžeri i direktori i nešto o čemu svaka kompanija mora da razmišlja. Ako imate sajt, koristite email, socijalne medije, kupci plaćaju za vaše proizvode i usluge preko interneta, koristite onlajn bankarstvo ili softver bilo koje vrste više ne možete ignorisati odgovornosti koje proizilaze iz modernog poslovanja.
Na isti način na koji fizički osiguravate kancelariju ili prodavnicu noću i pazite na sve detalje kada su u pitanju računovodstvo i finansije, isto morate uraditi sa svojim podacima. Nisu samo podaci koji pripadaju vašim kupcima ti koje morate zaštiti. Na uređajima posjedujete vrijedne poslovne podatke koji uključuju osjetljive dokumente, informacije o vašim zaposlenicima, te koji mogu postati prijetnja ako budu ukradeni ili izgubljeni.
Novi zakon u Evropskoj Uniji, Generalna regulativa o zaštiti podataka odnosno GDPR, je zlatni i globalni standard za upravljanje ličnim podacima koji je primorao kompanije da bolje zaštite lične podatke sa kojima raspolažu. Ukoliko niste sigurni da li je vaša kompanije u skladu sa potrebama GDPR-a (ako niste sigurni, ne brinite, mnoga mala i srednja preduzeća su tek počela da rade na usklađivanju sa ovom regulativom), vi možete početi tako što ćete odgovoriti na sljedećih 10 pitanja:
- Da li znate u kom momentu podaci vaših korisnika i kupaca postaju vaša odgovornost? Kada ih počinjete procesuirati i čuvati?
- Da li sakupljate Lične Identifikacione Podatke (PII), a da ne znate? Da li prikupljate te podatke jer imate legitimnu poslovnu potrebu ili samo masovno skupljate sve podatke do kojih možete doći?
- Lični podaci su sada bitni za sve nivoe vaše organizacije i uključuju podatke o zaposlenicima, kupcima i generalne informacije o vašem poslovanju. Da li znate ko u vašoj kompaniji mora da poznaje i razumije regulative o privatnosti podataka? Da li vaši zaposleni znaju šta je GDPR?
- Da li vaši zaposlenici znaju kako da postupaju sa ličnim podacima koje prime ili čuvaju, a pripadaju korisnicima ili klijentima?
- Da li vaši zaposlenici donose svoje uređaje na posao i da li na tim ličnim mobilnim telefonima i računarima čuvaju podatke koji pripadaju vašoj kompaniji? Da li su te informacije sigurne na njihovim uređajima?
- U slučaju da se dogodi sigurnosni incident, vaši sistemi budu kompromitovani ili prosto dođe do kvara na uređajima, da li imate kopiju vaših podataka negdje drugo? Da li ćete biti u stanju da brzo i sigurno povratite vaše podatke ili ćete morati da obustavite poslovanje na par dana, dok se nosite sa posljedicama sigurnosnog incidenta?
- U slučaju da vas kupac ili korisnik kontaktira i zahtijeva da im predate sve podatke koje imate o njima, da li ćete biti u stanju da pronađete te podatke? Da li ćete moći da ih izvezete u digitalnom formatu koji vaši korisnici mogu lako da razumiju i pročitaju?
- Da li čuvate podatke u fizičkoj formi, na primjer na CD-ovima ili na papirnim formularima? Većina vaših podataka će biti sačuvana onlajn u digitalnom formatu, ali GDPR takođe reguliše podatke sačuvane u fizičkoj formi jer su to i dalje važne informacije. Morate voditi evidenciju i o ovim podacima, kao i štititi ih, te ako vaši kupci žele da izbrišete sve podatke koje imate o njima onda morate takođe uništiti i sve fizičke kopije.
- Ko ima pristup određenim nalozima i profilima bitnim za vašu kompaniju, te podacima koji se prikupljaju kroz te platforme? Na primjer, ako imate Twitter ili Mailchimp nalog, da li znate ko sve ima pristup?
- U slučaju da vaši sistemi budu kompromitovani, da li znate kojim nadzornim tijelima trebate prijaviti incident? Čak i ako vaša kompanija nema sjedište u EU, možda posjedujete podatke o EU državljanima ili stanovnicima što znači da bilo kakav sigurnosni incident morate prijaviti odgovornom tijelu u EU, ili možda vaša država ima specifične zakone o tome kako morate prijaviti krađu podataka ili napad na sistem.
Ako počnete razmatrati odgovore na ova pitanja, odmah ćete se naći na putu ka boljoj zaštiti podataka i sajber sigurnosti. Ali ovo je samo početak. Kako biste bili sigurni da ste obavili sve potrebne procedure, morate razmišljati i o svim alatima i platformama koje koristite, da li su oni u skladu sa GDPR-om, da li su svi vaši zaposleni obučeni i poznaju kako da postupaju sa podacima, te da li ste u skladu sa različitim regionalnim, državnim i međunarodnim zakonima koji pokušavaju da zaštite lične podatke i kompanije od zloupotrebe.
U nastavku serije blogova imaćete priliku da saznate više o individualnim alatima koji vam mogu pomoći da zaštitite svoj biznis, uslovima GDPR-a, te zašto je bitno da imate detaljan plan koji će vam služiti u slučaju da dođe do napada ili gubitka podataka.