A normál működésen túl a legtöbb vállalatnak extra terhet jelent, hogy meg kell felelnie olyan adatvédelmi előírásoknak, mint például a GDPR. Ezek a szabályozások azonban minden szervezetre egyformán vonatkoznak, ezért minden cégnek muszáj foglalkoznia velük. A kötelező körön túl a megfelelőség egyben lehetőség is a szervezetek számára annak bizonyítására, hogy megfelelően gondoskodnak ügyfeleik adatainak biztonságáról, ami növeli a cég iránti bizalmat. A Micro Focus ennek kiaknázására most bemutatja azokat az alapvető lépéseket, amelyeket követve bármilyen adatvédelmi előírás egyszerűen teljesíthető.
Személyes információk azonosítása…
Ahhoz, hogy tudjuk, pontosan mit is kell megvédenünk, első lépésként meg kell keresni és összesíteni azokat az elemeket, amelyekre a védelem vonatkozik. Ezt az adatvédelmi szabályozások is előírják a szervezeteknek, akiknek fel kell térképezniük és be kell azonosítaniuk, hogy milyen személyes adatokat hoznak létre, fogadnak be és osztanak meg másokkal. Ez magában foglalja annak nyomon követését is, hogy milyen alkalmazások kezelik, illetve milyen munkafolyamatok érintik ezeket az információkat. A cégeknek emellett azt is összegezniük kell, hogy pontosan hol tárolják az információkat, és kivel osztják meg azokat. Az átláthatóság érdekében ezért érdemes létrehozni és napra készen tartani egy nyilvántartást a személyes adatokról, amelynek során különös figyelmet kell fordítani az adatbázisokban tárolt, strukturált adatokra. A vállalatoknak azonosítaniuk kell az összes olyan strukturált adattárat, amely személyes adatokat tartalmazhat, beleértve a régebbi (legacy), már nem aktív adatbázisokat is.
A legnagyobb kockázat általában nem is a nagy, központi adattáraknál jelentkezik, inkább a peremen található információk jelentenek nagyobb veszélyt, így például az adatbázisokból készített, másokkal is megosztott kivonatok vagy éppen a laptopokon lévő ügyféllisták. Sok adatszivárgási eset olyan forráson keresztük történik, amelyről nem is gondolnák a szervezet szakemberei, hogy tartalmaz bizalmas információkat. Emellett a strukturálatlan adathalmazokban, különféle dokumentumokban, kép-, videó- és hangfájlokban is előfordulhatnak személyes adatok. Ezek analizálása azonban óriási munka lenne manuális módszerekkel. Hatékony segítséget nyújthat a feladathoz egy olyan megoldás, mint például a ControlPoint. Az eszköz ugyanis képes átvizsgálni a cég teljes informatikai rendszerét és adatbázisát, majd rendszerezni és kategorizálni az összes fájlt és információt, külön megjelölve az érzékeny adatok helyét. A Micro Focus eszköze ráadásul bármilyen típusú állományban tud keresni és elemezni, beleértve a képeket, videókat vagy a hangfelvételeket. Így semmilyen típusú személyes adat nem maradhat rejtve előtte.
…biztonságba helyezése…
A személyes adatok beazonosítása után gondoskodni kell arról, hogy azok ne szivároghassanak ki a cégtől akár egy véletlen baleset, akár egy célzott támadás során. A ControlPoint ehhez is segítséget nyújt, lehetővé téve a szervezetek számára, hogy az előzetes vizsgálat során azonosított, személyes adatokat a megfelelő módon kezeljék, előre meghatározott házirendek alapján. A bizalmas információk így nagyobb biztonságot és akár titkosítást is kaphatnak, vagy akár erősebben védett helyre kerülhetnek. A kevésbé fontos adatok pedig archiválhatók vagy törölhetők, ezzel is optimalizálva a tárolást.
…és kiadása
A legtöbb adatvédelmi előírás arra is kötelezi a vállalatokat, hogy az ügyfeleket kérés esetén megadott határidőn belül tájékoztassák arról, hogy pontosan milyen adatokat tárolnak róluk, és milyen további felekkel osztották meg azokat. Minden olyan szervezetnek, amely hetente több ilyen megkeresést kap, érdemes skálázható folyamatokat kialakítania ahhoz, hogy hatékonyan tudja végrehajtani a kapcsolódó kereséseket. Ezek a folyamatok arra is alkalmasak, hogy a cégek különféle forrásokból összegyűjtsék az információkat, majd egyetlen csomagban összesítsék azokat. Erre azért lehet szükség, hogy igény esetén a cégek másolatot tudjanak készíteni és kiadni az érintetteknek a saját személyes adataikról.
A törlésről már nem is beszélve
Az ügyfelek arra is jogosultak, hogy az adatkezelő szervezetektől kérjék a rájuk vonatkozó információk törlését vagy azok alkalmatlanná tételét az azonosításra. Ez utóbbira jó módszer lehet, ha a cég eleve formátummegőrző titkosítást használ az adatok védelméhez. Ezzel a technológiával ugyanis megmarad az adatok formátuma, mivel a megoldás például egy igazolványszámban a számokat más, véletlenszerű számokkal, és a betűket is más, véletlenszerű betűkarakterekkel helyettesíti.
