Devine tot mai clar ce presupune GDPR-ul (deși puțină lume ar putea să spună că are acea privire holistică, prin care să înțeleagă tot fenomenul). Se știa, deja, că unele chestiuni - precum consimțământul persoanelor vizate de prelucrarea datelor sau recurgerea la interesul legitim al unei firme pentru a justifica prelucrarea de date - implică activități complexe de conformare, cu proceduri clare și previzibile. Însă conformarea nu se limitează la respectarea doar a unor acțiuni de prelucrare de date. Ea prespune și măsuri provizorii de protecție, adică măsuri de securitate.
Și, pentru aceasta, e nevoie ca acele măsuri de securitate (și, implicit, instrumentele folosite în acest scop) să fie actualizate constant, conform unui articol apărut pe site-ul scmagazineuk.com.
Ce înseamnă actualizat constant
„Actualizat constant” nu se referă doar la faptul că software-ul și instrumentele și procedurile folosite pentru conformare în ceea ce privește cadrul de securitate trebuie să aibă ultimele versiuni. Pe lângă aceste lucruri, mai este necesar să se implementeze și măsuri care să țină cont de pericolele și riscurile existente.
Astfel, conform articolului, se va începe de la un „strat de bază”, în ceea ce privește măsurile de securitate, care reprezintă minimul necesar. De exemplu:
- firewall;
- autentificare complexă, în mai multe etape;
- proceduri de detectare malware;
- măsuri de filtrare a email-ului.
După aceea, este important de implementat procese prin care firmele pot avea acces la informații relevante legate de ultimele riscuri.
Măsuri generale, care implică mai multe procese legate de date
Dacă oferiți servicii de tip cloud este bine să implementați (sau să vă asigurați că furnizorul de astfel de servicii are implementate) măsuri de securitate prin care nimeni (nici măcar administratorul din cadrul rețelei sau alți operatori) nu este prezumat sigur.
Astfel de măsuri, conform articolului, sunt bazate pe un model de tip „Zero Trust”. Practic, reprezintă o trecere de la sistemul în care anumite persoane sunt considerate de încredere și se ia în vedere faptul că oricine ar putea declanșa sau ar putea contribui (mai ales indirect) la declanșarea unei breșe de securitate.
Și privitor tot la breșe de securitate, o măsură de prevenire a acestora este de a implementa procese care monitorizează comportamentul utilizatorilor dinăuntrul sistemului și reacționează la chestiuni atipice, care sunt neobișnuite. Astfel, activitățile suspecte ar putea fi identificate mai rapid.
Măsuri privind gestionarea documentelor
Este foarte importantă, de asemenea, implementarea unor procese de gestionare sigură a documentelor. Astfel de procese pot implica:
- măsuri de criptare și
- măsuri de auditare a activităților care presupun lucrul cu documente.
În același timp, astfel de măsuri trebuie echilibrate cu scopul de a oferi utilizatorului unui site web (clientului) o experiență cât mai puțin complicată, din punct de vedere al măsurilor de securitate unde și el trebuie să aibă un aport.
O altă modalitate prin care vă puteți asigura de siguaranța și integritatea documentelor este să limitați accesul la acestea la minimum, în baza necesității. Astfel, când e vorba de documente confidențiale, doar persoanele care au, cu adevărat, nevoie să aibă acces la ele vor putea să le vizualizeze și să lucreze cu ele.
În final, articolul face trimitere la o măsură care se bazează, de fapt, pe unul din principiile de bază ale GDPR: minimizarea prelucrării (și, mai ales, a stocării). Astfel, se vor implementa proceduri prin care să se asigure faptul că datele personale sunt stocate cât e necesar. Pentru aceasta, se va recurge la procese prin care să se poată obține informații cu privire la necesitatea deținerii unor date, alertarea când anumite evenimente nu mai fac relevantă păstrarea datelor etc.