Dlaczego polityka zapewnienia bezpieczeństwa fizycznego jest integralnym elementem zgodności z RODO

Transkrypt

1 Dlaczego polityka zapewnienia bezpieczeństwa fizycznego jest integralnym elementem zgodności z RODO Klauzula o wyłączeniu odpowiedzialności: Żadne z informacji zawartych w niniejszym dokumencie nie mają charakteru porady prawnej. W sprawach związanych z zapewnieniem zgodności z RODO oraz innymi przepisami prawa i aktami wykonawczymi zaleca się skorzystanie z usług radcy prawnego. D NE ZABEZPIECZONE

2 Spis treści Informacje o tym dokumencie 3 RODO ogólne założenia 4 Kogo to dotyczy 5 Dane osobowe i informacje szczególnie chronione 6 Struktura biznesowa a zgodność z RODO 7 Dlaczego bezpieczeństwo fizyczne ma znaczenie 8 Bezpieczeństwo fizyczne i naruszenia bezpieczeństwa danych 9 Współpraca użytkowników 10 Pokonanie barier na drodze do zgodności z RODO kluczowych elementów RODO, o których należy pamiętać Rozwiązania 16 Źródła 17 2

3 Informacje o tym dokumencie Niniejsze opracowanie zawiera przegląd informacji na temat celów RODO i problemów, jakie może przysporzyć firmom. Celem niniejszego opracowania jest przedstawienie Rozporządzenia o ochronie danych osobowych (RODO), a także jego wpływu na działalność firm, aby umożliwić im stworzenie ramowych zasad polityki zapewnienia bezpieczeństwa fizycznego po wejściu w życie nowych regulacji w maju 2018 r. Czym jest RODO? Rozporządzenie RODO nakłada na firmy wymóg wdrożenia odpowiednich procedur bezpieczeństwa przechowywania danych w postaci elektronicznej i papierowej, a w przypadku naruszenia ich bezpieczeństwa wymóg powiadomienia poszkodowanych lub potencjalnie poszkodowanych osób. RODO ma globalny zasięg i obejmuje wszystkie firmy, które kontrolują lub przetwarzają dane osobowe mieszkańców Unii Europejskiej, niezależnie od umiejscowienia geograficznego tych firm. Wymogi RODO dotyczą zarówno danach osobowych w postaci elektronicznej, jaki i papierowych dokumentów, co oznacza, że wszystkie firmy powinny postępować zgodnie z tymi wymogami, jeśli przechowują dane osobowe mieszkańców Unii Europejskiej. Zabezpieczenie danych przed atakami hakerskimi i złośliwym oprogramo waniem jest słusznie priorytetem wielu firm, jednak wiele z nich nie dba odpowiednio o bezpieczeństwo fizyczne sprzętu IT. Ponad połowa z nich nie stosuje zabezpieczeń fizycznych sprzętu IT 1. W ten sposób firmy narażają się na ryzyko niezachowania zgodności z wymogami RODO, a także wykorzystania ich danych w celu oszustwa i kradzieży tożsamości. Biorąc to pod uwagę, Kensington zachęca firmy do weryfikacji swoich procedur i praktyk dotyczących zapewnienia bezpieczeństwa danych w postaci elektronicznej. 3

4 Ogólny zarys Podczas gdy głównym celem RODO jest wzmocnienie prawa do ochrony prywatności w Internecie, istotną rolę odgrywa również bezpieczeństwo fizyczne sprzętu. RODO skupia się przy tym na coraz większych wyzwaniach związanych z ochroną danych i prywatności oraz narażeniem na naruszenia bezpieczeństwa, łamanie zabezpieczeń i inne nielegalne działania związane z przetwarzaniem danych. Poniżej omówiono specjalne obszary w ramach RODO, które określają nowe lub rozszerzone prawa dla osób fizycznych. Przenoszalność danych i prawo do bycia zapomnianym Osoby fizyczne mają obecnie prawo do przenoszenia swoich danych osobowych z jednej firmy do drugiej. Dane osobowe muszą być przekazywane w usystematyzowanej postaci i formacie umożliwiającym odczyt maszynowy. Osoba fizyczna może zażądać skasowania lub usunięcia swoich danych osobowych. Zasoby Nie ma już obowiązku informowania lokalnych władz o przetwarzaniu danych osobowych. Firmy muszą na własną odpowiedzialność prowadzić rejestr działań związanych z przetwarzaniem danych. Ocena skutków w zakresie ochrony danych i bezpieczeństwo danych Ocena skutków w zakresie ochrony danych ma na celu identyfikację czynników wysokiego ryzyka w odniesieniu do prawa do zachowania prywatności osób fizycznych. Na podstawie oceny ryzyka powinny zostać określone wymogi i zalecenia dotyczące zapewnienia bezpieczeństwa. Powiadomienie o naruszeniu bezpieczeństwa danych Wszelkie naruszenia bezpieczeństwa danych powinny być zgłaszane do organu nadzorczego. Informację powinny otrzymać również osoby poszkodowane na skutek naruszenia bezpieczeństwa danych. Zarządzenie danymi i odpowiedzialność Firmy muszą również być w stanie wykazać zgodność swoich działań z RODO. 4

5 Kogo to dotyczy? Każda firma, która przechowuje dane obywateli Unii Europejskiej (niezależnie od tego, czy ma siedzibę poza UE), podlega przepisom RODO. Dotyczy to każdego, kto ma do czynienia z tymi informacjami. RODO dotyczy zarówno firm europejskich, jak i tych mających siedzibę poza UE, które przetwarzają lub administrują danymi odnoszącymi się do rezydentów lub obywateli UE. RODO dotyczy przede wszystkim: Administratorów danych decydują oni, w jaki sposób i dlaczego przetwarzane są dane osobowe Przetwarzających dane tj. osób, które działają na zlecenie administratorów Obowiązkiem osób pełniących obie wskazane wyżej funkcje jest zapewnienie, aby ich klienci zachowali pełną zgodność ze wszystkimi aspektami RODO, co pozwoli im uniknąć kar. Efektywne i dające się potwierdzić zapewnienie zgodności z RODO powinno obejmować wszystkich pracowników firmy, którzy mają do czynienia z danymi osobowymi i informacjami szczególnie chronionymi. Na przykład komputer specjalisty ds. sprzedaży zawiera informacje szczególnie chronione na temat klientów i powinien być fizycznie zabezpieczony podczas pracy zdalnej. Osoba przetwarzająca dane lub administrator danych musi wyznaczyć inspektora ochrony danych i prowadzić rejestr wszystkich czynności przetwarzania danych, jakie wykonuje na zlecenie klientów. 5

6 RODO obejmuje dane osobowe oraz dane osobowe szczególnie chronione w postaci elektronicznej oraz na nośnikach fizycznych Podczas opracowywania polityki zapewnienia zgodności dla danej firmy należy wziąć pod uwagę, jakiego rodzaju danych dotyczy RODO. Dane objęte zakresem RODO obejmują wszelkie informacje umożliwiające identyfikację osób fizycznych i dzielą się na dwie kategorie: Dane osobowe obejmują takie dane, jak adres lub adres fizyczny, a także wszelkie informacje, które mogą być wykorzystane jako identyfikator sieciowy np. adres IP. Dane osobowe szczególnie chronione obejmują informacje o bardziej osobistym charakterze, np. dotyczące pochodzenia etnicznego, poglądów politycznych, wyznania czy stanu zdrowia. Ogólnie rzecz biorąc, firmy muszą mieć bardziej uzasadnione podstawy do przetwarzania takich informacji, niż ma to miejsce w przypadku zwykłych danych osobowych. RODO dotyczy danych osobowych znajdujących się w posiadaniu firm zarówno w postaci elektronicznej, jak i na nośnikach fizycznych. 6

7 Struktura biznesowa a zgodność z RODO Dokonując przeglądu pracowników, procesów i technologii, firmy będą w stanie stworzyć przejrzyste założenia polityki bezpieczeństwa danych, które pomogą im zapewnić zgodność we wszystkich obszarach RODO. Trzy główne obszary to: Ludzie - Kluczowe znaczenie mają pracownicy i ich odpowiedzialność za przetwarzanie danych w firmie. Firma musi określić przejrzyste zasady dotyczące poszczególnych pracowników w zakresie prawidłowego zarządzania wszystkimi danymi w postaci elektronicznej i papierowej. Regulacje te powinny wprowadzać w życie wymogi RODO dotyczące postępowania z wszystkimi rodzajami danych. Na przykład firma może wprowadzić jasno określone zasady wykorzystania papierowych dokumentów zawierających dane wrażliwe oraz zdefiniować proces prawidłowego niszczenia tych dokumentów w oparciu o poziom ich wrażliwości i zawarte w nich dane. Procesy Obszar ten obejmuje procesy realizowane w ramach firmy. Mogą one dotyczyć np. zarządzania przetwarzaniem lub przechowywaniem danych klientów. Kluczowe znaczenie ma dokonanie przez firmy przeglądu wszystkich aktualnych procesów dotyczących postępowania z danymi. Po zidentyfikowaniu luk i niedoskonałości istniejących procedur konieczne jest opracowanie przez firmę ramowego planu ich naprawy lub w razie potrzeby zastąpienia innymi procedurami, aby zapewnić zgodność z wymogami RODO. Technologia Przegląd i odpowiednie dostosowanie powinno również objąć aktualne zasoby i wymagania w dziedzinie IT. Każda firma ma obowiązek zapewnić, aby istniejące systemy, które nie są w stanie zapewnić zgodności z obowiązującymi przepisami, zostały udoskonalone lub zastąpione innymi, aby uniknąć potencjalnych kar. 7

8 Dlaczego bezpieczeństwo fizyczne danych ma znaczenie? Podczas gdy zagrożenia sieciowe i oparte na oprogramowaniu zajmują wysokie miejsce na liście priorytetów firmy, błędem byłoby założenie, że ryzyko związane z bezpieczeństwem fizycznym danych straciło na znaczeniu. Po omówieniu wymagań, jakie stawia przed firmami RODO, warto zająć się kwestią fizycznego bezpieczeństwa sprzętu i wyjaśnić, dlaczego ma ono kluczowe znaczenie dla firm w zapewnieniu zgodności z RODO. Po zagrożeniach sieciowych i niezamierzonym ujawnieniu danych urządzenia przenośne i utrata fizyczna są największym źródłem naruszenia bezpieczeństwa danych 2 : Codzienne średnio ponad 5 milionów rekordów danych podlega utracie lub kradzieży 3, podczas gdy jednocześnie ponad jedna trzecia firm nie ma wdrożonej polityki zapewnienia fizycznego bezpieczeństwa w celu ochrony laptopów, urządzeń mobilnych i innych urządzeń elektronicznych. 4 Biorąc pod uwagę wysokość potencjalnych kar przewidzianych przez RODO, rosnącą liczbę pracowników mobilnych oraz popularność nieprzypisanych na stałe stanowisk pracy, fizyczne zabezpieczenie laptopów i urządzeń mobilnych jest racjonalnym rozwiązaniem, zarówno w miejscu pracy, jak i poza nim. Przypięcie urządzenia to szybki i łatwy sposób przeciwdziałania kradzieży a także bardzo skuteczny. Kensington oferuje pełną gamę rozwiązań zabezpieczających do szerokiej gamy laptopów, w tym również do urządzeń, które nie mają gniazda blokady. Torby SecureTrek umożliwiają fizyczne przypięcie do nieruchomych przedmiotów w takich miejscach, jak lotniska, hotele czy hale targowe. 8

9 Bezpieczeństwo fizyczne danych wciąż podlega wielu zagrożeniom związanym z naruszeniem bezpieczeństwa Z 697 incydentów naruszenia bezpieczeństwa zarejestrowanych między kwietniem a czerwcem 2017 r. przez przez brytyjski urząd ochrony danych Information Commissioner s Office (ICO) 6% było związane z kradzieżą niezaszyfrowanego urządzenia z danymi pozostawionymi w niezabezpieczonym miejscu, a kolejne 3,5% z kradzieżą jedynej kopii zaszyfrowanych danych 5. W sektorze finansowym 25% naruszeń bezpieczeństwa jest efektem zgubienia lub kradzieży urządzeń i jest najczęstszą przyczyną wycieku danych szczególnie kuszących dla przestępców ze względu na dużą ilość przechowywanych i wykorzystywanych danych podlegających szczególnej ochronie. 6 W branży ochrony zdrowia fizyczna kradzież lub utrata sprzętu jest najczęstszą przyczyną incydentów naruszenia bezpieczeństwa, tj. 32% ze incydentów zbadanych w 82 krajach. 7 Przed majem 2018 r. przegląd i odpowiednie dostosowanie powinny również objąć aktualne zasoby i wymagania w dziedzinie IT. Każda firma ma obowiązek zapewnić, aby istniejące systemy, które nie są w stanie zapewnić zgodności z obowiązującymi przepisami, zostały udoskonalone lub zastąpione innymi, aby uniknąć potencjalnych kar po wejściu w życie RODO. 9

10 Współpraca użytkowników ma kluczowe znaczenie dla zapewnienia zgodności z RODO Jeśli można wyciągnąć wniosek, że bezpieczeństwo papierowych dokumentów ma nadal podstawowe znaczenie dla bezpieczeństwa informacji, należy zadać pytanie: co mogą z tym zrobić firmy? Firma Kensington światowy lider w dziedzinie fizycznych zabezpieczeń do sprzętu IT, takich jak blokada do laptopów w ciągu 35 lat zdobyła cenną wiedzę na temat potrzeb i oczekiwań klientów, a także wyzwań, przed jakimi stoją firmy, chcąc zapewnić sobie bezpieczeństwo i zgodność z wymogami RODO. Wiedza ta pozwoliła nam wyciągnąć wniosek, że istnieją cztery główne bariery, które utrudniają efektywne ficzne zabezpieczenie w firmach: Działamy w bezpiecznym środowisku Korzystamy z szyfrowania i przechowywania w chmurze Blokady to tylko środek odstraszający Nie da się przypiąć tego urządzenia 10

11 Pokonanie barier na drodze do zgodności z RODO Działamy w bezpiecznym środowisku Nadzór z wykorzystaniem kamer, przepustki dla pracowników i obecność ochrony może sprzyjać zawyżonemu poczuciu bezpieczeństwa i niskiemu poczuciu zagrożenia. 58% kradzieży laptopów ma miejsce w biurze, a 85% menedżerów IT podejrzewa wewnętrzną kradzież. 8 Kradzież laptopa wiąże się z natychmiastowym zagrożeniem bezpieczeństwa danych, zwłaszcza że tylko 3% 9 z nich jest odzyskiwanych. Blokady do laptopów zapobiegają okazjonalnym kradzieżom, a także stratom czasu i pieniędzy związanym z poszukiwaniem sprawcy i zastąpieniem skradzionego sprzętu, nie wspominając o potencjalnych karach przewidywanych przez RODO. Korzystamy z szyfrowania i przechowywania w chmurze Szyfrowanie nie sprawdza się, gdy mamy do czynienia z kradzieżą urządzenia zawierającego dane bez kopii zapasowej. Nawet jeśli użytkownicy nie przechowują danych na twardych dyskach, spadek wydajności pracownika, który zostaje pozbawiony podstawowego narzędzia pracy, jest warty użycia odpowiedniego zabezpieczenia. Przespaceruj się po biurze. Czy kurier miałby dużą trudność z wyniesieniem laptopa? W 49% małych i średnich firm zastąpienie skradzionego laptopa zajmuje od 2 do 4 dni. 8 Blokady to tylko środek odstraszający Blokady do laptopów mają głownie chronić przed okazjonalnymi kradzieżami. Ale są także bardzo skuteczne w zapobieganiu tym planowanym. Według raportu IDC 52% menedżerów IT, którym skradziono laptop, stwierdziło, że kradzieży mogłaby zapobiec blokada. 8 11

12 Same as on page 11 Pokonanie barier na drodze do zgodności z RODO MicroSaver 2.0 i ClickSafe 2.0 Do urządzeń wyposażonych w standardowe gniazdo Kensington Security Slot, występujące w 90% urządzeń używanych przez firmy. N17 do urządzeń Dell 2017 Do urządzeń wyposażonych w gniazdo Wedge Security Slot np. modeli Dell Latitude 2017 (późniejszych) i innych wybranych urządzeń. Nie da się przypiąć tego urządzenia W związku z produkcją coraz smuklejszych urządzeń niektóre z nich nie są wyposażone w standardowe gniazdo Kensington Security Slot. Błędne byłoby jednak przekonanie, że takich urządzeń nie można fizycznie zabezpieczyć. Nawet urządzenie pozbawione gniazda blokady można zabezpieczyć przed okazjonalną kradzieżą. Kensington oferuje pełen wybór rozwiązań do szerokiej gamy urządzeń: Gniazdo Kensington Security Slot w laptopie i komputerze stacjonarnym Blokadę MicroSaver 2.0 podłącza się bezpośrednio do gniazda blokady Blokadę ClickSafe 2.0 podłącza się przy użyciu elementu mocującego ClickSafe Anchor Gniazdo Wedge Security Slot Laptop przypięty do nieruchomego przedmiotu 12

13 Blokada z kluczykiem NanoSaver do laptopa Rozwiązania zabezpieczające do urządzeń Microsoft Surface Blokada Locking Station 2.0 do laptopa Do urządzeń wyposażonych w gniazdo Kensington Nano Security Slot, stosowane w ultracienkich urządzeniach. Dedykowane blokady do urządzeń Surface Pro, Surface Book i Surface Studio Do urządzeń, które nie są wyposażone w gniazdo blokady, takich jak Surface Laptop czy MacBook Pro Gniazdo Kensington Nano Security Slot Blokada z kluczykiem do urządzenia Surface Pro Laptop MacBook Pro z blokadą Locking Station Blokada z kluczykiem NanoSaver do laptopa Zestaw blokady do urządzenia Surface Studio Uchwyt blokujący do urządzenia Surface Book 13,5" Znajdź idealne zabezpieczenie do swojego laptopa lub innego urządzenia na stronie lockselector.com 13

14 6 kluczowych elementów RODO, o których należy pamiętać 1. Rozważenie potrzeby wyznaczenia inspektora ochrony danych Inspektor musi podejmować działania współmierne do obowiązków firmy wynikających z RODO i dokładnie wiedzieć, jakie dane w firmie mają charakter danych osobowych, gdzie są przechowywane, kto ma do nich dostęp, w jaki sposób stwierdzić naruszenia bezpieczeństwa w przypadku ich wystąpienia oraz kto i kogo powinien o tym poinformować. Inspektor ochrony danych nie musi być pracownikiem firmy funkcję tę może pełnić osoba z zewnątrz. 2. Ocena systemów Należy dokonać przeglądu wszystkich umów, wsparcia technologicznego, procedur i narzędzi, które mają związek z przetwarzaniem, obróbką, przechowywaniem i usuwaniem danych, aby zidentyfikować wszelkie niedoskonałości i luki wymagające wprowadzenia zdań. 3. Opracowanie strategii Należy opracować nową strategię, która zapewni pełną zgodność z RODO. Strategia może obejmować nowe inwestycje w technologię, modyfikować procedury dotyczące pracowników i ich odpowiedzialności za przetwarzanie danych, a także przewidywać stworzenie nowych stanowisk w firmie. 14

15 6 kluczowych elementów RODO, o których należy pamiętać 4. Wdrożenie nowej polityki firmy Kolejnym krokiem w kierunku zgodności z RODO jest wdrożenie planu na wszystkich poziomach firmy. Należy zainwestować i wprowadzić nowe technologie i systemy niezbędne w miejscu, a także opublikować przewodnik z informacjami na temat obchodzenia się z danymi i ich przetwarzania. 5. Zaangażowanie pracowników Należy wprowadzić nową politykę zgodności z wymogami ochrony danych, angażując w to wszystkich pracowników poprzez szkolenie, informacje i przewodniki. Pozwoli to pracownikom uzyskać odpowiednią wiedzę oraz uświadomić sobie zachodzące zmiany i swoją odpowiedzialność za zapewnienie zgodności z RODO. 6. Weryfikacja i doskonalenien Po wprowadzeniu planu zapewnienia zgodności z RODO należy zweryfikować go i udoskonalić zanim wejdą w życie nowe regulacje. Odpowiednio wcześniejsze zidentyfikowanie niezbędnych udoskonaleń sprawi, że firma będzie dobrze przygotowana na zmiany i zdolna do zapewnienia pełnej zgodności. 15

16 Rozwiązania Blokady do laptopów i innych urządzeń odpowiadają bezpośrednio na potrzeby firm, które chcą zachęcić pracowników do realizacji polityki zapewnienia fizycznego bezpieczeństwa sprzętu i ograniczenia ryzyka potencjalnych naruszeń bezpieczeństwa danych. Dodatkowe rozwiązania mogą pomóc jeszcze bardziej zmniejszyć ryzyko, zarówno w środowisku biurowym, jak i poza nim. Bezpieczny bagaż SecureTrek Oferta walizek na kółkach, toreb i plecaków SecureTrek umożliwia przypięcie bagażu w miejscach, gdzie jest narażony na kradzież, takich jak lotniska, hotele czy hale targowe. Blokady portów USB Administratorzy systemów mogą fizycznie uniemożliwić użytkownikom podłączanie urządzeń pamięci USB, aby ograniczyć w ten sposób ryzyko nieuprawnionego skopiowania danych lub wgrania do systemu złośliwego oprogramowania. Filtry ochronne Tzw. hakowanie wizualne (podglądanie zawartości ekranu) jest łatwe, szybkie i często pozostaje niezauważone. Filtr ochronny powoduje zmniejszenie kątów widzenia, a tym samym ryzyka. Szafki Szybki i łatwy sposób na ładowanie, synchronizację i bezpieczne przechowywanie wielu tabletów i ultracienkich laptopów. Czytnik linii papilarnych VeriMark Proste, szybkie i skuteczne zabezpieczenie biometryczne z funkcją logowania Windows Hello i obsługą serwisów wymagających podwójnego uwierzytelniania. Chroni przed nieuprawnionym dostępem i poprawia bezpieczeństwo w sieci. 16

17 Źródła 1. Badanie Kensington dotyczące bezpieczeństwa informatycznego i IT, sierpień Naruszenia bezpieczeństwa danych 2016 Privacy Rights Clearinghouse 3. Wskaźnik poziomu naruszeń bezpieczeństwa, wrzesień Badanie Kensington dotyczące bezpieczeństwa informatycznego i IT, sierpień Urząd ochrony danych Information Commisioner s Office 6. Raport dotyczący naruszeń bezpieczeństwa w branży usług finansowych, Bitglass, Verizon, Raport dotyczący naruszeń bezpieczeństwa danych IDC, streszczenie raportu 2010 Kradzieże laptopów: zagrożenia wewnętrzne i zewnętrzne 9. IDC, opracowanie 2007 Zagrożenie kradzieżą i utratą laptopów w małych i średnich przedsiębiorstwach 10. Ponemon Institute, Hakowanie wizualne eksperyment,

18 kensington.com JEŚLI POTRZEBUJESZ WIĘCEJ INFORMACJI SKONTAKTUJ SIĘ Z NAMI: Acco Polska programleitz@esselte.com Nazwa i projekt Kensington oraz ACCO są zarejestrowanymi znakami towarowymi ACCO Brands. Wszystkie pozostałe zarejestrowanei niezarejestrowane znaki towarowe są własnością ich właścicieli. CBT19190_Kensington_WhitePaper_GDPR_2018_PL_final.indd :51