Προστατέψτε τα δεδομένα σας (data security), που είναι ευάλωτα σε κυβερνοεπιθέσεις (cyberattacts) αλλά και σε ανθρώπινο λάθος.
Τα δεδομένα σας πρέπει να προστατεύονται (data security) από μη εξουσιοδοτημένη πρόσβαση, τροποποίηση ή διαγραφή. Αυτό περιλαμβάνει τη διασφάλιση της προστασίας τους, κατά τη μεταφορά τους, από κάθε άτομο που τα επεξεργάζεται και τ΄ αποθηκεύει. Στο τέλος δε της ζωής των δεδομένων, κάνει την ολοκληρωτική διαγραφή τους ή καταστρέφει αποτελεσματικά τα μέσα αποθήκευσης τους.
Δυστυχώς σε πολλές περιπτώσεις, τα δεδομένα θα βρίσκονται εκτός του άμεσου ελέγχου σας. Για τον λόγο αυτό είναι σημαντικό να λάβετε υπόψη τις πολιτικές που πρέπει να εφαρμόσετε, καθώς και τις εγγυήσεις (συμβάσεις) που μπορεί να χρειαστείτε από τα συνεργαζόμενα τρίτα μέρη.
Με την αύξηση των ολοένα και πιο προσαρμοσμένων επιθέσεων ransomware που εμποδίζουν τους οργανισμούς να έχουν πρόσβαση στα συστήματά τους και στα δεδομένα που είναι αποθηκευμένα σε αυτά, άλλα σχετικά μέτρα ασφαλείας θα πρέπει να περιλαμβάνουν τη διατήρηση ενημερωμένων, απομονωμένων, αντίγραφα ασφαλείας όλων των σημαντικών δεδομένων.
Ποια είναι τα οφέλη
@cyber-security
- Είστε σίγουροι ότι τα δεδομένα σας προστατεύονται κατάλληλα, όπου κι αν βρίσκονται
- Έχετε την Δυνατότητα γρήγορης επαναφοράς σημαντικών δεδομένων και συστημάτων με πρακτικά αντίγραφα ασφαλείας (εάν η πρόσβαση διακόπτεται για οποιονδήποτε λόγο)
- Έχετε την Δυνατότητα επαναχρησιμοποίησης ή απόρριψης μέσων αποθήκευσης με σιγουριά, διασφαλίζοντας ότι δεν είναι δυνατή η ανάκτηση ευαίσθητων δεδομένων από συσκευές παροπλισμού ή επαναπροσανατολισμού
Αυτό που πρέπει να κάνετε
@BusinessConsulting
Starter
Μάθετε πως θα μεταβείτε στον Ψηφιακό Μετασχηματισμό της επιχείρησης σας
Το instech βοηθά επαγγελματίες, ηγέτες ΜμΕ και Startupers να αξιοποιήσουν στο έπακρο τις επιχειρηματικές ευκαιρίες στην ΕΕ.
Είναι ένα οικοσύστημα Κοινωνικού Σκοπού, για όλες τις επιχειρηματικές ανάγκες των ΜμΕ.
Παρέχει ΔΩΡΕΑΝ γνώση & υποστήριξη σχετικά με την πρόσβαση σε πληροφορίες αγοράς, την υπέρβαση νομικών εμποδίων και τον εντοπισμό πιθανών επιχειρηματικών εταίρων.
Προστατέψτε τα δεδομένα σας ανάλογα με το μέγεθος και το είδος του κινδύνου
1
Βεβαιωθείτε ότι τα δεδομένα σας προστατεύονται κατάλληλα κατά την επεξεργασία και την διαμετακόμιση για να διασφαλίσετε δεν προβάλλονται ή παρεμβαίνουν σε αυτά μη εξουσιοδοτημένα άτομα. Οι μη κρυπτογραφημένες επικοινωνίες μπορούν να προσφέρουν ευκαιρίες στους εισβολείς να συλλάβουν ευαίσθητα δεδομένα ή να μετακινηθούν με πλάγιο τρόπο σε «αξιόπιστα» δίκτυα μέσω πλαστογράφησης μιας υπηρεσίας ή διευκολύνοντας την πλαστογράφηση ταυτότητας σε άλλο σύστημα. Θα πρέπει να χρησιμοποιείτε ασφαλή, κρυπτογραφημένα και επικυρωμένα πρωτόκολλα εφαρμογών όπου είναι δυνατόν και να χρησιμοποιείτε κρυπτογράφηση επιπέδου δικτύου, όπως εικονικά ιδιωτικά δίκτυα (VPN) όπου απαιτείται.
2
Βεβαιωθείτε ότι γνωρίζετε ποια δεδομένα έχετε , πού αποθηκεύονται και ποια θεωρείτε πιο ευαίσθητα και εφαρμόστε προστασίες βάσει των κινδύνων που έχετε εντοπίσει . Αποφύγετε την αποθήκευση δεδομένων που δεν χρειάζεστε και ενοποιήστε δεδομένα όπου είναι δυνατόν για να διευκολύνετε την ασφάλεια και τη διαχείριση. Όπου υπάρχει απαίτηση για αναπαραγωγή ή προσωρινή αποθήκευση δεδομένων, βεβαιωθείτε ότι όλα τα αντίγραφα προστατεύονται επαρκώς. Τα δεδομένα που είναι διασκορπισμένα (για παράδειγμα, αρχεία στους επιτραπέζιους υπολογιστές των χρηστών) μπορεί να είναι ευκολότερα για τον εισβολέα και πιο δύσκολο να ελεγχθεί.
3
Καταγράψτε ποιοι έχουν πρόσβαση και σε ποια δεδομένα και παρακολουθήστε για ασυνήθιστες κινήσεις, απόπειρες μαζικής εξαγωγής δεδομένων και κάθε αντικανονική πρόσβαση διαχειριστή για να εντοπίσετε πιθανές παραβιάσεις.
4
Βεβαιωθείτε ότι τα δεδομένα προστατεύονται σε ηρεμία. Εφαρμογή φυσικών και λογικών ελέγχων πρόσβασης, έτσι ώστε μόνο εξουσιοδοτημένοι χρήστες να έχουν πρόσβαση ή / και να τροποποιούν τα δεδομένα σας. Η κρυπτογράφηση δίσκου πρέπει να χρησιμοποιείται όταν υπάρχει κίνδυνος φυσικής κλοπής, όπως φορητοί υπολογιστές και αφαιρούμενα μέσα. Η κρυπτογράφηση δίσκου δεν προστατεύει τα δεδομένα σε τρέχοντα συστήματα, επομένως πρέπει επίσης να είναι ασφαλής για την προστασία της πρόσβασης στα δεδομένα. Οι λύσεις κρυπτογράφησης αρχείων και διαχείρισης ψηφιακών δικαιωμάτων μπορούν να βοηθήσουν στον περιορισμό των ατόμων που έχουν πρόσβαση στα δεδομένα, ιδίως όταν τα δεδομένα πρέπει να κοινοποιούνται εξωτερικά.
5
Σκεφτείτε πού βασίζεστε σε άλλους για να προστατεύσετε τα δεδομένα σας, όπως σε υπηρεσίες cloud , στην αλυσίδα εφοδιασμού σας ή σε προσωπικές συσκευές του προσωπικού . Κατανοήστε ποια μέτρα μπορείτε να λάβετε για την προστασία των δεδομένων σας και ποιες εγγυήσεις πρέπει να ζητήσετε από τα τρίτα μέρη.
6
Βεβαιωθείτε ότι οι διεπαφές που επιτρέπουν την πρόσβαση σε ευαίσθητα δεδομένα είναι καλά καθορισμένες και εκθέτετε μόνο την απαραίτητη λειτουργικότητα για να μειώσετε την ευκαιρία για έναν εισβολέα να τις κακοποιήσει. Η πρόσβαση σε μαζικά σύνολα δεδομένων πρέπει να είναι περιορισμένης τιμής. Παραχωρήστε τη δυνατότητα εκτέλεσης αυθαίρετων ερωτημάτων σε ευαίσθητα σύνολα δεδομένων σε χρήστες, εάν υπάρχει νόμιμη επιχειρηματική ανάγκη και παρακολουθείται προσεκτικά. Αυτό πρέπει να θεωρείται προνομιακός ρόλος.
7
Χρησιμοποιήστε τους τρέχοντες τυποποιημένους κρυπτογραφικούς αλγόριθμους για την προστασία των δεδομένων σας. Οι παλιοί αλγόριθμοι ή εκείνοι που δεν έχουν γίνει αποδεκτοί ως πρότυπα θα παρέχουν λιγότερη προστασία και θα μπορούσαν να οδηγήσουν σε μια εσφαλμένη αίσθηση ασφάλειας. Οι οδηγίες μας για TLS και IPSec περιγράφουν προτεινόμενα κρυπτογραφικά προφίλ για αυτούς τους σκοπούς. Βεβαιωθείτε ότι χρησιμοποιείται κρυπτογραφία, προστατεύετε επίσης το κρυπτογραφικό υλικό (όπως πιστοποιητικά και κλειδιά) από μη εξουσιοδοτημένη πρόσβαση.
8
Κατανοήστε τις νομικές σας ευθύνες, συμπεριλαμβανομένων τυχόν κανονισμών που ισχύουν για τον τομέα σας. Η καθοδήγηση για τα αποτελέσματα ασφάλειας του GDPR , που αναπτύχθηκε από την ΑΠΔΠΧ περιγράφει ένα σύνολο αποτελεσμάτων τεχνικής ασφάλειας που θεωρείται ότι αντιπροσωπεύουν κατάλληλα μέτρα για την προστασία των προσωπικών δεδομένων βάσει του Νόμου περί προστασίας δεδομένων 2018
Δημιουργήστε αντίγραφα ασφαλείας των δεδομένων σας
1
Έχετε πολλά αντίγραφα ασφαλείας σημαντικών αρχείων αποθηκευμένα σε διαφορετικές τοποθεσίες. Ο κανόνας «3-2-1» είναι μια δημοφιλής στρατηγική που μπορεί να χρησιμοποιηθεί στα περισσότερα σενάρια. τουλάχιστον 3 αντίγραφα, σε 2 συσκευές και 1 αντίγραφο ασφαλείας εκτός ιστότοπου. Αυτό βοηθά να διασφαλιστεί ότι εάν ένα αντίγραφο παραβιαστεί, υπάρχει τουλάχιστον ένα άλλο αντίγραφο άθικτο. Αυτό είναι ένα βασικό μετριασμό κατά του ransomware, καθώς τα ενημερωμένα αντίγραφα ασφαλείας θα σας επιτρέψουν να ανακτήσετε τα δεδομένα σας.
2
Βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας όσων είναι απαραίτητα για τη λειτουργία της επιχείρησής σας. Αυτό πρέπει να περιλαμβάνει τα δεδομένα της επιχείρησής σας καθώς και τα δεδομένα διαμόρφωσης που απαιτούνται για τη λειτουργία των συστημάτων σας. Η ύπαρξη κατάλληλων αντιγράφων ασφαλείας θα σας βοηθήσει να ανακάμψετε σε περίπτωση συμβάντος, είτε κατά λάθος διαγραφή αρχείων είτε σοβαρή επίθεση στον κυβερνοχώρο.
3
Βεβαιωθείτε ότι ένα αντίγραφο ασφαλείας εκτός σύνδεσης διατηρείται ξεχωριστό από το δίκτυό σας ή σε μια υπηρεσία cloud που έχει σχεδιαστεί για αυτόν τον σκοπό. Περιορίστε την πρόσβαση σε διαπιστευτήρια και διακομιστές που χρησιμοποιούνται για αντίγραφα ασφαλείας, επειδή οι εισβολείς ενδέχεται να στοχεύουν τα αντίγραφα ασφαλείας σας, είτε ως τρόπος λήψης των δεδομένων σας είτε για να καταστρέψετε την ικανότητά σας να τα ανακτήσετε. Θα πρέπει επίσης να διασφαλίσετε ότι οι προηγούμενες εκδόσεις αρχείων προστατεύονται από τυχαία ή κακόβουλη διαγραφή, για παράδειγμα όταν χρησιμοποιείτε υπηρεσίες συγχρονισμού cloud για αντίγραφα ασφαλείας. Θα πρέπει επίσης να διασφαλίσετε ότι οι προηγούμενες εκδόσεις αρχείων προστατεύονται από τυχαία ή κακόβουλη διαγραφή, για παράδειγμα όταν χρησιμοποιείτε υπηρεσίες συγχρονισμού cloud για αντίγραφα ασφαλείας.
4
Διατηρήστε τα αντίγραφα ασφαλείας για ένα χρονικό διάστημα, αντί να έχετε μόνο ένα εφεδρικό εφεδρικό αντίγραφο, καθώς αυτό δεν παρέχει μεγάλη προστασία εάν δεν παρατηρηθεί λοίμωξη / ζημιά πριν αντικατασταθεί το αντίγραφο ασφαλείας. Σκεφτείτε πόσο καιρό μπορεί να είναι πριν εντοπιστεί κάτι και βεβαιωθείτε ότι τα αντίγραφα ασφαλείας σας διατηρούνται για μεγαλύτερο χρονικό διάστημα (τουλάχιστον ένα μήνα).
5
Ελέγχετε τακτικά τα αντίγραφα ασφαλείας σας και βεβαιωθείτε ότι γνωρίζετε πώς να επαναφέρετε αρχεία από ένα αντίγραφο ασφαλείας πριν να το κάνετε πραγματικά. Βεβαιωθείτε ότι μπορείτε να αποκτήσετε πρόσβαση στα αντίγραφα ασφαλείας σας σε περίπτωση πλήρους βλάβης του συστήματος.
6
Μειώστε τον κίνδυνο επανεμφάνισης κατά την επαναφορά δεδομένων από αντίγραφα ασφαλείας, επανεγκαθιστώντας εκτελέσιμα από αξιόπιστες πηγές αντί για δημιουργία αντιγράφων ασφαλείας και διασφαλίζοντας ότι τα λειτουργικά συστήματα και το λογισμικό εφαρμογών είναι ενημερωμένα για τα συστήματα προορισμού. Τα κακόβουλα προγράμματα ενδέχεται να παραμένουν σε αντίγραφα ασφαλείας, επομένως θα πρέπει να βεβαιωθείτε ότι τα αρχεία σαρώνονται χρησιμοποιώντας ενημερωμένο λογισμικό προστασίας από ιούς κατά την επαναφορά τους.
Διαγράψτε με ασφάλεια τα μέσα αποθήκευσης όταν δεν τα χρειάζεστε πλέον για τον καθορισμένο σκοπό
1
Θα πρέπει να έχετε μια πολιτική για την περαιτέρω χρήση, επισκευή, απόρριψη και καταστροφή αποθηκευτικών μέσων και οποιωνδήποτε συσκευών που θα μπορούσαν να αποθηκεύσουν δεδομένα, (συμπεριλαμβανομένου εξοπλισμού γραφείου, όπως εκτυπωτές και φωτοτυπικά, οθόνες και τηλεοράσεις). Εάν τα δεδομένα σας δεν εξυπηρετηθούν σωστά, υπάρχει κίνδυνος να ανακτηθούν και να προβληθούν αργότερα χωρίς να το γνωρίζετε. Η ασφαλής εξυγίανση των οδηγιών μέσων αποθήκευσης παρέχει περισσότερες πληροφορίες σχετικά με τον τρόπο απολύμανσης διαφορετικών τύπων μέσων.
2
Προγραμματίστε την απολύμανση όταν αγοράζετε εξοπλισμό, συμπεριλαμβανομένης της κατανόησης του τι πρέπει να κάνετε και των σχετικών δαπανών. Βεβαιωθείτε ότι οι μέθοδοι απολύμανσης που έχουν επιλεγεί για τις συσκευές αποθήκευσης δεδομένων ή / και τα μέσα σας είναι ανάλογες με τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης για αυτά τα δεδομένα, συμπεριλαμβανομένου του κινδύνου φήμης εάν επρόκειτο να δημοσιευτούν. Αυτό θα σας βοηθήσει να αποφύγετε απροσδόκητα κόστη και κίνδυνο όταν απορρίπτετε ή επαναχρησιμοποιείτε μέσα αποθήκευσης. Για παράδειγμα, οι δίσκοι στερεάς κατάστασης (SSD) μπορεί να είναι δύσκολο να απολυμανθούν αξιόπιστα, επομένως θα πρέπει να σκεφτείτε να τους καταστρέψετε.
3
Πριν από τη διάθεση, βεβαιωθείτε ότι έχουν αφαιρεθεί όλες οι ετικέτες ή τα σημάδια που υποδεικνύουν την ιδιοκτησία της συσκευής (ή τη φύση των δεδομένων που περιέχονται). Εάν χρησιμοποιείτε αξιόπιστα τρίτα μέρη για καταστροφή, κρατήστε τα σε αναγνωρισμένα πρότυπα και λάβετε πιστοποιητικά καταστροφής.
4
Περιοδικά επαληθεύετε ότι τα δεδομένα σας απολυμαίνονται κατάλληλα και ελέγξτε τις διαδικασίες και τον εξοπλισμό καταστροφής.
Δείτε την επόμενη ενότητα: Πώς θα τεκμηριώσετε την συμμόρφωση της ΜμΕ σας στον GDPR