Ochrona danych osobowych: tożsamość na celowniku

Przeczytaj także: Sharenting, czyli jak narażasz swoje dziecko na kradzież tożsamości

- BYOD pokazuje, jakie wyzwania stoją przed firmami chcącymi egzekwować zasady korzystania z własnych urządzeń do celów służbowych. Trend ten jednocześnie pokazuje, że kontrolowanie przez działy IT tego, gdzie są przechowywane dane firmowe i w jaki sposób jest uzyskiwany dostęp do nich jest wciąż bardzo krytycznym obszarem. Nieodzowna dla utrzymania bezpieczeństwa wdrożenia BYOD jest także edukacja pracowników w kwestii zagrożeń oraz konsekwencji z nich wynikających. Obawa przed osłabieniem bezpieczeństwa na pewno spowalnia proces ekspansji BYOD, nie spowoduje jednak jego zatrzymania. Z dobrymi politykami bezpieczeństwa i odpowiednio dobranymi rozwiązaniami organizacyjnymi, BYOD ma ogromny potencjał i może przynieść znaczące korzyści każdej organizacji – zauważa Lapierre.

CHMURA OBLICZENIOWA

Zidentyfikowane zagrożenia:

• Ataki na chmury obliczeniowe wśród trzech potencjalnych zagrożeń o największych konsekwencjach - ocena 3,65 w pięciostopniowej skali zagrożeń (raport Fundacji Bezpieczna Cyberprzestrzeń)
• Ataki na dane firmowe i prywatne w chmurze jednym z głównych problemów bezpieczeństwa IT w 2014 r. (raport Sophos Labs)
• Wyciek danych lub ich utrata na szczycie listy 9-ciu krytycznych zagrożeń dla modelu Cloud Computing (raport Grupy Roboczej Top Threads)

Dane ukryte w chmurach

Jednym ze sposobów ograniczenia ryzyka wystąpienia zagrożeń wynikających z przechowywania i przetwarzania danych na urządzeniu mobilnym pracownika jest przeniesienie ich do chmury obliczeniowej. Dostawca tego rodzaju usługi ma z reguły większe kompetencje i lepsze zaplecze technologiczne, potrzebne dla zachowania bezpieczeństwa naszych informacji. W wyniku rosnącej liczby danych gromadzonych we własnych strukturach IT, firmy coraz częściej decydują się na outsourcing części procesów informatycznych. Przechowywanie baz danych, aplikacji czy programów na serwerach zewnętrznego usługodawcy jest opłacalne – pozwala firmie zaoszczędzić na specjalistycznym sprzęcie i oprogramowaniu. Jest też dużo bezpieczniejsze, jeżeli wiemy, w jaki sposób zminimalizować ryzyko wynikające z typowych dla chmury zagrożeń, poprzez właściwe sformułowanie umowy z dostawcą.

Lokalizacja ma znaczenie

W przypadku transferu zbioru danych osobowych do chmury GIODO zaleca rozwagę – cały proces powinien zapewniać bezpieczeństwo danym oraz być zgodny obowiązującym prawem. Kluczowa jest w tym przypadku wiedza dotycząca lokalizacji serwerów, na których będą przechowywane dane. Jeżeli jest to teren Unii Europejskiej sprawa jest prosta – mamy gwarancję, że dostawcę obowiązują prawa zgodne z Polskimi regulacjami. W przypadku transferu danych poza granice UE, nigdy nie mamy pewności, że przetwarzanie powierzonych danych będzie spełniać unijne standardy prawne i, co za tym idzie, że nasze dane są bezpieczne.

Bezpieczeństwo w umowie

Powierzenie przetwarzania zasobów wybranemu dostawcy odbywa się na mocy podpisania umowy, która musi być zgodna z Ustawą o Ochronie Danych Osobowych. Jak wyjaśnia Lapierre: - Poza standardowymi zapisami dotyczącymi kwestii ciągłości usługi czy backupu danych, dokument powinien zawierać klauzule dotyczące poufności, zobowiązywać dostawcę do stosowania zabezpieczeń zgodnych z obowiązującym w Polsce prawem i gwarantować, że dane nie zostaną wykorzystane do jego własnych celów. Ponadto w umowie dostawca powinien zobowiązać się, że poinformuje klienta o każdym incydencie związanym z naruszeniem bezpieczeństwa - usterce, włamaniu bądź wycieku danych. Powiadomi go również o kontroli miejscowego organu ochrony danych osobowych oraz prawnie wiążących wnioskach o udostępnienie danych. Istotne jest również uregulowanie w umowie kwestii zakresu dostępu do danych, w przypadku, kiedy dostawca chmury zleca część procesów związanych z przetwarzaniem danych swoim podwykonawcom, a także określenie warunków zwrotu i usunięcia danych w przypadku zakończenia współpracy z dostawcą.