RODO a technologia w firmie

Transkrypt

1 RODO a technologia w firmie Poradnik Zabezpiecz firmę, bo nowe przepisy o ochronie danych osobowych już są egzekwowane 1

2 CHROŃ FIRMĘ PRZED HAKERAMI, SZANTAŻYSTAMI A NAWET WŁASNYMI PRACOWNIKAMI Bezpieczeństwo danych osobowych nabrało nowego znaczenia nie tylko w związku z RODO Rozporządzeniem o ochronie danych osobowych ale przede wszystkim dlatego, że firmy wiedzą o swoich klientach coraz więcej i rozwijają na dużą skalę systemy do analizowania informacji. Nikt nie życzyłby sobie, aby w niepowołane ręce wpadły takie informacje, jak imię, nazwisko czy adres . Jak skutecznie chronić dane w przedsiębiorstwie, radzą specjaliści COMPAREX Poland, firmy która wdraża rozwiązania IT zgodne z RODO w oparciu o technologię IBM oraz własne. Zapewnienie bezpieczeństwa jest priorytetową kwestią nie tylko ze względu na grożące kary finansowe, które wprowadza RODO, ale również na niewymierne kwestie, jak utrata wiarygodności firmy, co może być bardzo trudne do naprawienia i przynieść poważne choć trudne do oszacowania straty finansowe. 2

3 ZACZNIJ OD AUDYTU. BEZ TEJ WIEDZY NIEWIELE ZROBISZ Jak zatem zadbać o bezpieczeństwo i spełnić wymogi RODO? Eksperci z firmy COMPAREX Poland oraz IBM zalecają w pierwszej kolejności zweryfikować jakie dane osobowe i gdzie są przechowywane, a następnie, jakim sprzętem oraz oprogramowaniem dysponuje ich klient. W przypadku wielu firm, aby poprawić bezpieczeństwo danych, nie są konieczne duże inwestycje. - Najpierw sprawdzamy czy producenci sprzętu funkcjonującego w przedsiębiorstwie dbają o bezpieczeństwo. Czy posiadają aktywne wsparcie producenta oraz do kiedy ono trwa. Brak aktualizacji jest dużym zagrożeniem mówi Jakub Nowakowski, ekspert do spraw bezpieczeństwa oprogramowania w firmie COMPAREX Poland. - Nawet 80 proc. ataków na systemy informatyczne to ataki na oprogramowanie pozbawione wsparcia producenta. Ekspert dodaje, że sprawdzenia wymaga również to, czy klient korzysta z tego wsparcia, przeprowadza aktualizacje itp. Nie zawsze jest to bowiem oczywiste. W wielu firmach przez lata rozbudowy infrastruktury IT, użyte zostały różne technologie, co bardzo utrudnia zarządzanie całością. W dodatku, funkcjonalności często się dublują, więc przedsiębiorca płaci kilkukrotnie za wsparcie lub licencje na różne produkty. Usługa firmy COMPAREX - Portfolio Management Platform - wyszukuje, do czego poszczególne programy są wykorzystywane, gdzie ich funkcjonalności się dublują. Pozwala to na wyeliminowanie niepotrzebnego oprogramowania, a to z kolei obniża koszty licencji i wsparcia. W dodatku w przyszłości kolejne zakupy można zoptymalizować. FILMY I GRY W PRACY? TO NIEBEZPIECZNE Kolejnym ważnym punktem jest analiza programów, z których korzystają pracownicy. Te mogą stanowić okno dla cyberprzestępców. Wśród nich są oczywiście i te niezbędne - wykorzystywane np. do telekonferencji czy komunikacji tekstowej - ale muszą być zawsze bezpieczne i zatwierdzone do użytku przez dział bezpieczeństwa IT. Powszechną praktyką jest jednak samodzielne instalowanie programów. Zdarzają się np. aplikacje do wymiany plików w sieciach P2P czy gry komputerowe. Mogą one stanowić bardzo poważne zagrożenie. Po trzech miesiącach ponawiamy audyt, aby sprawdzić, czy zalecenia zostały wdrożone mówi Jakub Nowakowski. - To ważne, bowiem w każdej firmie istnieją tzw. dane rozproszone. Często również te wrażliwe, znajdujące się na komputerach użytkowników, w ich smartfonach, na zewnętrznych dyskach w chmurze. Aby je chronić, trzeba wiedzieć, gdzie są oraz czy rzeczywiście tam być powinny - tłumaczy ekspert z COMPAREX Poland. 3

4 DANE WRAŻLIWE POZA FIRMĄ Słabym ogniwem w bezpieczeństwie są wszelkie urządzenia przenośne: laptopy, smartfony czy nawet pendrive y. Wynoszenie danych z firmy w niektórych przypadkach jest niezbędne, chociażby podczas wyjazdów służbowych. Tu sprawdza się szyfrowanie danych. Wówczas, jeśli laptop czy pendrive trafią w niepowołane ręce, dane na nich umieszczone będą dla złodzieja bezużyteczne. Pamięć smartfonu można najczęściej wyczyścić zdalnie po jego utracie. Możliwe są również takie rozwiązania, że pracownik łączy się przez smartfona z firmowym serwerem i nie musi przechowywać danych w telefonie. Choć nie można wykluczyć, że połączy się przez niezabezpieczone, otwarte WiFi np. z kawiarni. Rozwiązania IBM, które pozwolą na wyszukanie danych osobowych Information Analyzer służy do wyszukiwania danych osobowych uporządkowanych w struktury. Skanuje i analizuje bazy danych i hurtownie danych. StoredIQ wyszukuje dane osobowe w różnych zbiorach, jak serwery, poczta , dyski lokalne i sieciowe itp. Potrafi przeanalizować ponad 70 różnych zbiorów danych i ponad 470 rodzajów plików. W tym skanuje dokumenty na przykład zapisane w formacie jpg. Dlatego tak ważne są regularne szkolenia pracowników, bowiem w każdej firmie występuje ich rotacja, a poza tym o pewnych zasadach trzeba przypominać. 4

5 ROZWAŻNIE UDZIELAJ DOSTĘPÓW DO DANYCH Ważne jest, w jakim zakresie poszczególne grupy pracowników mają dostęp do danych osobowych. Nie może być tak, że każdy ma dostęp do wszystkiego wtedy ryzyko wycieku wzrasta niepomiernie. Trudno kontrolować wszystkich. Zgodnie z założeniami RODO, dostęp do danych należy ograniczyć do minimum, czyli przyznać go tylko tym pracownikom, którzy bez tego nie będą w stanie wykonywać swoich zadań. Z przepisów RODO wynika, że dostęp do danych osobowych powinien zostać ograniczony tylko i wyłącznie do osób, które w organizacji są upoważnione do ich przetwarzania. Nakazuje również szyfrowanie danych oraz usuwanie ich na żądanie (prawo do bycia zapomnianym). Te wymogi można spełnić dzięki rozwiązaniom IBM Spectrum Scale oraz IBM Spectrum Protect. Pozostali powinni pracować na dokumentach, gdzie dane osobowe są zanonimizowane lub poddane pseudonimizacji. Czasy, kiedy jeden pracownik podsyłał drugiemu wzór umowy z autentycznym klientem, żeby kolega podmienił tylko dane, powinny się skończyć bezpowrotnie. Podobnie jak drukowanie dokumentów i niezabieranie ich z drukarki. Na rynku są dostępne narzędzia, które nie pozwalają na wydrukowanie dokumentu zawierającego dane osobowe, a nawet dodanie go w formie załącznika do maila. Aby jedną z tych czynności wykonać, trzeba mieć do tego nadane uprawnienia. MINIMUM INFORMACJI MAKSIMUM OCHRONY Często w przedsiębiorstwie umowa z danymi osobowymi przechodzi przez wiele rąk. Akceptują ją osoby z różnych działów, analizując poszczególne zapisy. Jednak nie potrzebują do tego informacji np. o tym, jak nazywa się osoba, której umowa dotyczy, jaki ma PESEL i gdzie mieszka. Te dane powinny być niewidoczne lub wprowadzone dopiero na końcu procesu. W branży finansowej czy ubezpieczeniowej, do oceny klienta niezbędny jest wiek, wysokość dochodów, stan cywilny i wiele innych wrażliwych danych, czyli dane które pozwalają zidentyfikować klienta. Do takich dokumentów powinny mieć dostęp tylko osoby z uprawnieniami i właściwie przeszkolone w zakresie ich ochrony. KONTROLA PODSTAWĄ ZAUFANIA Kolejnym elementem ochrony danych jest system, który rejestruje, kto i po jakie informacje z bazy sięgał. Pozwala to mieć pewność, że nieuprawnieni pracownicy nie mieli dostępu, a w razie wycieku zidentyfikować sprawcę. Systemy takie reagują również na nietypowe zachowania, np. próbę skopiowania kilku tysięcy rekordów. Trzeba mieć na uwadze to, że wycieki danych osobowych nie zawsze są skutkiem ataków z zewnątrz. W branży finansowej czy ubezpieczeniowej, do oceny klienta niezbędny jest wiek, wysokość dochodów, stan cywilny i wiele innych wrażliwych danych, czyli dane które pozwalają zidentyfikować klienta. Do takich dokumentów powinny mieć dostęp tylko osoby z uprawnieniami i właściwie przeszkolone w zakresie ich ochrony. 5

6 RODO a narzędzia IBM pomocne w zarządzaniu politykami, regułami oraz w analizie procesów Nazwa Opis Związek z regulacjami RODO Atlas Zarządzanie procedurami i regułami przechowywania Zarządzanie przechowywaniem oraz strategiami i regułami usuwania Punkt dostępu dla pracowników działu prawnego i pracowników odpowiedzialnych za zarządzanie zbiorami danych Information Governance Catalogue Tworzenie dobrze udokumentowanego, kompleksowego szablonu informacji. Umożliwia sprawdzenie pochodzenia danych i zarządzanie nim w celu utworzenia zbioru zaufanych informacji, które ułatwiają zarządzanie danymi i zachowanie zgodności. Zarządzanie strategią i metadanymi Punkt dostępu i kontroli dla osób wykonujących zadania związane z administrowaniem danymi Punkt dostępu zapewniający widoczność pochodzenia danych Przechowywanie informacji o zidentyfikowanych danych w postaci metadanych Case Manager Ułatwia możliwości w zakresie rejestrowania i analizowania rozwiązanych problemów w celu szybkiego uzyskania wyników dochodzenia, które można zastosować w praktyce. Umożliwia przeprowadzanie dochodzeń w sposób efektywny i terminowy, zgodnie z zasadami obowiązującymi w przedsiębiorstwie, przepisami prawnymi. Koordynacja i monitorowanie procesów związanych z prawami osób, których dane dotyczą, oraz zarządzanie tymi procesami 6

7 TESTOWANIE BEZ DANYCH W środowisku IT również należy wprowadzić ograniczenia. Co prawda informatycy muszą prowadzić prace na bazach danych, ale wcale nie muszą być to autentyczne dane osobowe klientów. Mogą być poddane pseudonimizacji. - Należy oddzielić dane produkcyjne od testowych to bardzo praktyczne i bezpieczne rozwiązanie mówi Andrzej Syta. - Przestępca nie musi przecież atakować bazy, wystarczy, że włamie się do komputera administratora. Jeśli w nim będą dane testowe, poddane jeszcze pseudonimizacji, nie uzyska żadnej korzyści. który funkcjonuje i na przystosowaniu go do nowych warunków. - Nasze usługi dlatego są tak przydatne dla klientów, że nie mówimy im o ile nie ma takiej absolutnej konieczności wyrzućcie to, co macie, kupcie nowy sprzęt i nowe oprogramowanie. Wskazujemy za to, jak istniejące rozwiązania można zmodyfikować, aby firma spełniała wymogi RODO. Niekiedy wystarczy dodanie funkcjonalności do już wykorzystywanego sprzętu opowiada Andrzej Syta z COMPAREX Poland. - W ten sposób przy racjonalnym budżecie można być przygotowanym na nowe przepisy. ZAKUPY NIE ZAWSZE SĄ NIEZBĘDNE Systemy komputerowe wdrażane jeszcze kilka lat temu nie były projektowane pod kątem RODO. Poza tym w dużych organizacjach tworzone były przez lata i nie da się ich zmienić w ciągu kilku miesięcy. Nie chodzi tylko o koszty, ale także i o to, że jest to fizycznie niewykonalne. To proces, który będzie trwał latami. Dlatego teraz warto się skupić na wykorzystaniu sprzętu, 7

8 BEZPIECZEŃSTWO DLA DUŻYCH I MAŁYCH ABC BEZPIECZEŃSTWA: SZYFROWANIE Organizacje, dla których bezpieczeństwo jest priorytetem, często sięgają po zaawansowane technologie, jak IBM Security QRadar SIEM. Ten system w czasie niemal rzeczywistym informuje o nietypowym zachowaniu w sieci, które może być próbą ataku. Specjaliści do spraw bezpieczeństwa mogą od razu reagować i uniemożliwić włamanie. W mniejszych organizacjach, które mają ograniczone budżety, zapewnienie bezpieczeństwa może być znacznie prostsze i tańsze niż z pozoru mogłoby się wydawać. Wrażliwe dane można na przykład przenieść do jednego z renomowanych dostawców usług chmurowych. Jego zadaniem będzie zapewnienie bezpieczeństwa danych, zakup profesjonalnych zabezpieczeń, zatrudnienie profesjonalistów. IBM Security QRadar SIEM zapewnia widoczność bieżących informacji o stanie bezpieczeństwa, które aktualizowane są w czasie bliskim rzeczywistemu i pomagają w wykrywaniu zagrożeń oraz określaniu ich priorytetów, a tym samym w monitorowaniu całej infrastruktury informatycznej. Ogranicza liczbę alertów i określa ich priorytety, pomagając ukierunkować ewentualne dochodzenia na praktycznie użyteczną listę podejrzanych incydentów. Umożliwia bardziej efektywne wykrywanie zagrożeń i reagowanie na nie, a przy tym generuje szczegółowe raporty o dostępie i aktywności użytkowników. Pomaga inteligentnie chronić środowiska chmurowe. Generuje również szczegółowe raporty o dostępie do danych i aktywności użytkowników ułatwiające spełnienie wymagań formalno-prawnych. Podstawą ochrony jest szyfrowanie danych. Nie tylko na urządzeniach przenośnych, ale również tych znajdujących się w bazach danych. Wtedy nawet najpoważniejszy incydent skończy się uzyskaniem przez hakera bezwartościowego materiału. A trzeba mieć świadomość, że przestępcy zawsze są o krok przed specjalistami od bezpieczeństwa. Wszelkie aktualizacje programów, wprowadzanie dodatkowych zabezpieczeń mają miejsce z reguły po tym, gdy przestępcy znajdą jakąś lukę. Tak więc nawet nie bagatelizując wszystkich wspomnianych zasad bezpieczeństwa, narażeni jesteśmy na atak i to, być może, skuteczny. Dla tego też tak ważne są regularne back-upy, aby w razie incydentu móc sprawnie odzyskać dane. W kontekście baz danych trzeba wspomnieć o jednym z najbardziej bezpiecznych systemie operacyjnym na świecie stworzonym przez IBM, czyli AIX, który przeznaczony jest dla serwerów firmy IBM z procesorami z rodziny POWER. AIX zapewnia dużą wydajność i niezawodność. Najnowszym urządzeniem z rodziny procesorów jest ultraszybki POWER9 zaprojektowany pod kątem sztucznej inteligencji. Jest dostępny 8

9 Szyfrowanie wymaga mocy Rozwiązanie IBM SAN Volume Controller (SVC) to system pamięci masowej klasy korporacyjnej. Bazuje na oprogramowaniu IBM Spectrum Virtualize i wchodzi w skład rodziny produktów IBM Spectrum Storage. Systemy SVC radzą sobie z ogromnymi ilościami danych z aplikacji mobilnych i społecznościowych, sprzyjają błyskawicznym i elastycznym wdrożeniom usług w chmurze, a także zapewniają wydajność i skalowalność niezbędne do wydobywania informacji z najnowszych analiz. Systemy pamięci masowych z rodziny IBM Storwize mogą być zrealizowane w całości w technologii flash lub hybrydowe. Obejmują szeroką gamę systemów pamięci masowych, które oferują funkcję kompresji i inne zaawansowane możliwości, a ponadto charakteryzują się łatwością wdrożenia i pomagają rozwijającym się przedsiębiorstwom kontrolować koszty. w konfiguracji z 16, 18, 20 i 22 rdzeniami, a nawet (sic!) z 44 w przypadku serwera AC922. Serwery IBM z system AIX i procesorem PO- WER9 to niezwykle wydajne i najbezpieczniejsze rozwiązanie do przechowywania baz danych. Bezpieczeństwo kopii zapasowych pozwala zapewnić IBM Spectrum Protect. Ułatwia ochronę danych przechowywanych w środowiskach fizycznych, wirtualnych, zdefiniowanych programowo i chmurowych. IBM Spectrum Protect usprawnia administrowanie kopiami zapasowymi, zwiększa wydajność, pozwala skalować ilość przetwarzanych danych i oferuje zaawansowane funkcje. Współpracuje z IBM Spectrum Protect Plus, umożliwiając łatwe i szybkie zabezpieczenie maszyny wirtualnej za pomocą dającego się przeszukiwać katalogu i mechanizmów administrowania w oparciu o role. IBM Spectrum Protect Plus to opracowane z myślą o środowiskach wirtualnych rozwiązanie, które pozwala zabezpieczyć dane i zadbać o ich dostępność. Jego wdrożenie to kwestia minut, a środowisko pracy można zabezpieczyć w ciągu godziny. Produkt ułatwia ochronę danych przechowywanych w środowiskach fizycznych, wirtualnych, zdefiniowanych programowo i chmurowych. 9

10 Wyjątkowo ekonomiczne przechowywanie danych zapewniają taśmowe pamięci masowe IBM. Charakteryzują się skalowalnością, wytrzymałością, bezpieczeństwem i energooszczędnością, a jednocześnie znacznie niższym kosztem niż inne nośniki. Dzięki oprogramowaniu IBM Spectrum Archive z taśm korzysta się równie łatwo, jak z dysków. Taśmy nie muszą być wolnym rozwiązaniem. Testy potwierdzają, że połączenie taśm, pamięci masowych flash i pamięci masowej zdefiniowanej programowo w jednym niedrogim rozwiązaniu, przynosi wymierne korzyści. JEŚLI NIE URZĘDNIK, TO SZANTAŻYSTA Kolejnym zagrożeniem i to bardzo realnym które pojawi się po 25 maja, będzie działalność polegająca na szantażowaniu przedsiębiorców. Specjaliści nie mają złudzeń, że taki proceder się pojawi. Dla przestępców bardziej intratne może się okazać włamanie do słabo zabezpieczonych systemów i wymuszanie okupu w zamian za zachowanie ataku w tajemnicy. Finansowo mogą zyskać na tym znacznie więcej, niż na próbie sprzedaży danych na rynku. Przedsiębiorca będzie miał trudny wybór: zapłacić przestępcy okup czy karę Urzędowi Ochrony Danych Osobowych. I choć ta pierwsza opcja jest niezgodna z prawem i etyką może się okazać tańsza, co stanowić będzie pokusę. Niezależnie od tego i tak taka firma będzie musiała zainwestować w lepszą ochronę swoich zasobów, aby sytuacja się nie powtórzyła. Straci zatem dwa razy. Taki scenariusz nie dotyczy firm, które mają dobrze chronione dane, wdrożyły procedury wymagane przez RODO wtedy UODO może nie wymierzyć im kary. Jednak jeśli przedsiębiorca ewidentnie zignorował nowe przepisy, wtedy urząd może się okazać bezlitosny. 20 mln Zignorowanie przepisów zawartych w Rozporządzeniu o ochronnie danych osobowych (RODO), ang. General Data Protection Regulation (w skrócie GDPR) zagrożone jest karą do równowartości kwoty 20 mln euro, albo do czterech procent rocznego obrotu przedsiębiorstwa. Uniknięcie finansowych konsekwencji możliwe będzie nawet wtedy, gdy dojdzie do wycieku danych pod warunkiem, że przedsiębiorca wykaże inspektorowi, że zastosował najlepsze dostępne mu zabezpieczenia oraz ma opracowane i wdrożone procedury ochrony danych osobowych. Z pewnością karane będą te firmy, które zignorowały rozporządzenie. 10

11 OKRES PRZEJŚCIOWY JUŻ MIJA Każdy przedsiębiorca musi mieć świadomość, że RODO już obowiązuje i to od dość dawna od 17 maja 2016 roku. 25 maja 2018 to data, od której przepisy zaczną być egzekwowane. Zatem okres przejściowy przygotowawczy trwał dwa lata i właśnie dobiega końca. Wyjaśnienia firm, że nie zdążyliśmy, mogą nie przekonać więc urzędników. Zdążyć trzeba nie tylko z przygotowaniem sprzętu, ale również wprowadzeniem wewnętrznych przepisów. Dopiero pod stworzone procedury należy modyfikować rozwiązania IT oraz system obiegu papierowych dokumentów. Te również muszą być należycie chronione. CZAS NA PORZĄDKI W DANYCH OSOBOWYCH Robiąc w firmie audyt warto również posegregować dokumenty (papierowe i cyfrowe) na te, która są niezbędne oraz te, które od lat już do niczego nie służą. RODO nakazuje przechowy- wać minimalną, niezbędną liczbę danych osobowych, więc teraz jest dobra okazja, aby pozbyć się w sposób bezpieczny tych niepotrzebnych. Przeprowadzając audyt u niektórych klientów spotykamy się z serwerami o ogromnych pojemnościach i nikt nie wie, do czego zapisane na nich dane służą. Oczywiście, to od decyzji klienta zależy, co z nimi zrobi. Niektórzy decydują się na ich usuniecie, uwalniając w ten sposób dodatkowe zasoby sprzętowe, inni na wszelki wypadek zostawiają je opowiada Andrzej Syta. Takie dane można bezpieczne skopiować na biblioteki taśmowe IBM-u o dużej pojemności, które nawet dla większego bezpieczeństwa można odciąć od firmowej sieci. W razie, gdyby okazało się, że trzeba po nie sięgnąć, nie będzie stanowiło to problemu. Po jednej z informatycznych firm krąży anegdota o zapomnianym serwerze. Nikt nie potrafił wyjaśnić, czemu służą zawarte w nim dane. W końcu jeden z administratorów wyłączył go. Okazało się, że nic złego się nie wydarzyło, przez kolejne tygodnie żadnemu z pracowników nie brakowało tych danych. Od lat były one po prostu nikomu do niczego niepotrzebne. Prezes dużej korporacji wyjaśnił kiedyś, dlaczego w firmach przechowuje się ogromne ilości dokumentów zarówno papierowych, jak i w formie 11

12 Pamięci masowe IBM W rodzinie produktów do masowego przechowywania danych funkcjonują: Pamięci masowe IBM DS8880 nowej generacji, nawet dwukrotnie skracają czas oczekiwania na odpowiedź aplikacji. Można dzięki nim uzyskać nieprzerwany dostęp do danych i aplikacji w trybie 24x7. Integracja z serwerami IBM z Systems i IBM Power Systems otwiera drogę do budowy efektywnych środowisk analitycznych i chmury. IBM FlashSystem to platformy z pamięcią masową zrealizowaną w całości w technologii flash. Zostały opracowane z myślą o wysokiej wydajności, niezawodności, ekonomicznym zarządzaniu danymi i zapotrzebowaniach na pamięć masową zdefiniowanych programowo. Systemy z rodziny IBM Storwize zbudowane są w oparciu o oprogramowanie IBM Spectrum Virtualize i charakteryzują się niezwykle wysoką wartością, wydajnością i unikalnymi możliwościami w dziedzinie wirtualizacji. Uzyskują współczynniki kompresji danych sięgające nawet 5:1, przez co pozwalają na pełne wykorzystanie dostępnej pamięci masowej i ograniczają zapotrzebowanie na dodatkową pojemność w przyszłości. Pakiet IBM Spectrum Storage Suite zapewnia nieograniczony dostęp do wszystkich produktów z rodziny oprogramowania IBM Spectrum Storage, przy czym opłaty licencyjne naliczane są według płaskiej stawki za terabajt. Taka struktura opłat jest przejrzysta i przewidywalna niezależnie od wzrostu obsługiwanej pojemności. Pakiet skonstruowany z uwzględnieniem faktu, że potrzeby przedsiębiorstwa w zakresie przechowywania danych będą się z czasem zmieniać. Stanowi znakomite rozwiązanie dla organizacji, które dopiero zaczynają wdrażać pamięć masową zdefiniowaną programowo, a także dla tych, które posiadają już stabilne infrastruktury, ale muszą zwiększyć ich potencjał. Rozwiązania taśmowe IBM poprawiają efektywność przechowywania wielkich zbiorów danych oraz danych w chmurze. IBM Cloud Object Storage obiektowa pamięć masowa oparta na chmurze, która dostosowuje się do rzeczywistych obciążeń. W ramach tego rozwiązania dostępny jest szeroki wybór technologii pamięci masowej (pamięci blokowe, plikowe i obiektowe), które można dopasować do różnych potrzeb. Można je wdrażać lokalnie lub oprzeć na chmurze zarządzanej przez IBM. Intuicyjna platforma do zarządzania pamięcią masową pozwala firmom zwiększyć efektywność i obniżyć koszty. 12

13 cyfrowej. Po prostu nikt nie ma odwagi podjąć decyzji, że trzeba je usunąć bo nie wiadomo, czy kiedyś się do czegoś nie przydadzą - tłumaczą zazwyczaj. Lepiej, dla świętego spokoju, przez lata płacić za ich przechowywanie. A przecież analiza starych, nieaktualnych danych może przynieść tylko błędne wnioski, więc absolutnie mija się z celem. PRZYSZŁOŚĆ PRZYNIESIENIE INNE ROZWIĄZANIA Zasada działania systemów informatycznych w przyszłości najprawdopodobniej ulegnie zmianie. Dane osobowe będą przechowywane w osobnym repozytorium i pracownicy nie będą mieli do nich dostępu. Wyliczając np. zdolność kredytową klienta, w bazie znajdą się tylko konkretne zapytania i niezbędne informacje. Podobny mechanizm będzie działał w przypadku tworzenia analiz, raportów czy profilowania klientów. 13

14 RODO a narzędzia pomocne w zarządzaniu politykami, regułami oraz w analizie procesów nazwa opis związek z regulacjami RODO Atlas Zarządzanie procedurami i regułami przechowywania Zarządzanie przechowywaniem oraz strategiami i regułami usuwania Information Governance Catalogue Case Manager Tworzenie dobrze udokumentowanego, kompleksowego szablonu informacji. Umożliwia sprawdzenie pochodzenia danych i zarządzanie nim w celu utworzenia zbioru zaufanych informacji, które ułatwiają zarządzanie danymi i zachowanie zgodności. Ułatwia możliwości w zakresie rejestrowania i analizowania rozwiązanych problemów w celu szybkiego uzyskania wyników dochodzenia, które można zastosować w praktyce. Umożliwia przeprowadzanie dochodzeń w sposób efektywny i terminowy, zgodnie z zasadami obowiązującymi w przedsiębiorstwie, przepisami prawnymi. Punkt dostępu dla pracowników działu prawnego i pracowników odpowiedzialnych za zarządzanie zbiorami danych Zarządzanie strategią i metadanymi Punkt dostępu i kontroli dla osób wykonujących zadania związane z administrowaniem danymi Punkt dostępu zapewniający widoczność pochodzenia danych Przechowywanie informacji o zidentyfikowanych danych w postaci metadanych Koordynacja i monitorowanie procesów związanych z prawami osób, których dane dotyczą, oraz zarządzanie tymi procesami RODO a narzędzia do zapewnienia bezpieczeństwa danych nazwa opis związek z regulacjami RODO Guardium Data Activity Monitor Pomaga w zapewnieniu bezpieczeństwa, prywatności i integralności informacji. Używane w środowiskach heterogenicznych obejmujących bazy danych, hurtownie danych, udostępnione zasoby plikowe i systemy oparte na technologii Hadoop, z aplikacjami niestandardowymi i komercyjnymi. Monitorowanie i kontrolowanie dostępu do danych osobowych; Wykrywanie przypadków dostępu niezgodnego z uprawnieniami Generowanie alertów 14

15 RODO a narzędzia do zarządzania danymi nazwa opis związek z regulacjami RODO Information Analyzer StoredIQ Optim Umożliwia ocenę i monitorowanie jakości danych oraz projektowanie i analizowanie reguł dotyczących danych. Skalowalna platforma współpracy pozwala na współużytkowanie informacji i wyników analiz w całym przedsiębiorstwie. Obsługa danych heterogenicznych pozwala na ocenę informacji pochodzących z wielu systemów i źródeł danych. Identyfikacja i klasyfikowanie informacji przedsiębiorstwa oraz zarządzanie nimi w celu zmniejszenia ryzyka i kosztów; umożliwia przedsiębiorstwom całościową analizę danych nieustrukturyzowanych pod kątem wymagań biznesowych i prawnych, zachowania zgodności z przepisami, przechowywania danych oraz odpowiadania na wnioski dotyczące audytu. Zarządzanie wzrostem woluminu danych aplikacji i hurtowni danych w celu usprawnienia kontroli danych i obniżenia kosztów ich przechowywania. Usprawnienie zarządzania cyklem życia danych w celu zwiększenia efektywności procesów związanych z przechowywaniem danych. Maskowanie danych poufnych na żądanie w aplikacjach, bazach danych i raportach w celu ochrony danych. Zarządzanie strategią i metadanymi Punkt dostępu i kontroli dla osób wykonujących zadania związane z administrowaniem danymi Punkt dostępu zapewniający widoczność pochodzenia danych Identyfikacja danych osobowych w bazach danych razem z relacjami Automatyczne wykrywanie i klasyfikacja nieustrukturyzowanych treści. Identyfikacja danych osobowych podlegających kontroli zgodnie z rozporządzeniem GDPR (audyt np. na stacjach roboczych, SharePoint, Exchange, Filenet) Archiwizowanie / usuwanie danych osobowych zgodnie z procesami GDPR Anonimizacja danych zgodnie z procesami GDPR Tokenizacja danych w bazach nieprodukcyjnych Tokenizacja i zarządzanie procesem tworzenia środowisk nieprodukcyjnych dla baz danych 15

16 Andrzej Syta Pre-Sales & Consulting Manager Comparex Poland Jakub Nowakowski SoftCare Expert - Comparex Poland Absolwent Wydziału Cybernetyki WAT, od ponad 17 lat wspiera i doradza klientom z branży IT w obszarach Infrastruktury, DataCenter, rozwiązań wysokiej dostępności środowisk aplikacyjnych. Od 10 lat związany z Comparex, gdzie na stanowisku dyrektora działu wsparcia sprzedaży odpowiedzialny jest za doradztwo i konsulting głównie w zakresie technologii IBM i Mircosoft oraz analizę i promowanie nowoczesnych rozwiązań w odpowiedzi transformację cyfrową w świecie IT. Podczas trwającej ponad piętnaście lat kariery zawodowej związany jest głównie z rynkiem IT&T. W tym czasie zajmował się sprzedażą i wsparciem technicznym sprzedaży usług związanych z projektowaniem, wdrażaniem i rozwojem różnego rodzaju systemów dziedzinowych. W Comparex odpowiada za grupę produktów SoftCare, skupiających w sobie rozwiązania z zakresu szeroko pojętego zarządzania oprogramowaniem. Pomaga Klientom w doborze najlepszych rozwiązań do analizy i usprawnienia procesów Software Asset Management. 16

17 ZAPRASZAMY COMPAREX Poland Sp. z o.o. ul. Równoległa Warszawa tel faks: info@comparex.pl WYDAWCA 17