GDPR: a hozzáférések kezelése kulcsfontosságú lesz

A szervezetek továbbra is számos területen küzdenek a GDPR előírásainak értelmezésével. Eközben az idő rohamosan fogy.
 

Bő fél év múlva élesedik az új európai adatvédelmi rendelet, a GDPR. Sokan foglalkoznak a témával, a vállalatok nagy része azonban még nem tette meg a szükséges lépéseket. A Gartner jóslatai szerint a cégek fele még 2018 végére sem fogja teljes mértékben teljesíteni a követelményeket. Az IDC felmérése pedig arra mutatott rá, hogy az európai vállalatok 78 százaléka számára nem teljesen tiszták az elvárások.

Szigorúan ellenőrzött adatok

Az előírások valóban összetettek, a lényeg azonban végső soron az, hogy a szervezeteknek jobban kell védeniük az általuk kezelt személyes adatokat. Nagyobb figyelmet kell fordítaniuk a kockázatok felmérésére, az esetleges adatszivárgások megelőzésére és detektálására, valamint az adatvédelmi képességeik továbbfejlesztésére. 

A szervezetek nem hagyhatják figyelmen kívül, hogy a személyes adatok kezelése során nagyobb felelősség és elszámoltathatóság terheli őket, ezért proaktívan kell fejleszteniük a kapcsolódó rendszereket és folyamatokat. Többek között az átláthatósággal és az adatok törlésével kapcsolatban is szigorúbbak a feltételek. Továbbá az adatokat érintő biztonsági incidensekről is rendkívül szűk, 72 órás határidőn belül kötelező értesíteni a hatóságokat, illetve az érintetteket. Ha mulasztás történik, akkor nagyon súlyos esetekben a bírság elérheti akár a 20 millió eurót vagy a vállalat éves forgalmának 4 százalékát is.

Hol vannak a buktatók?

A NetIQ szakértői összeállítottak egy értékelési folyamatot, amelynek segítségével a vállalatok megvizsgálhatják, mely folyamataikat szükséges fejleszteniük ahhoz, hogy teljesíteni tudják a követelményeket. A felmérés megfelelő kérdésekkel segít elemezni a legfontosabb területeket. 

Kitér többek között arra, hogy a vállalat meg tudja-e mondani kellő bizonyossággal, hogy ki fér hozzá az általa kezelt személyes adatokhoz, illetve, hogy ezek a hozzáférések és jogosultságok naprakészek-e. A teszt emellett segít feltérképezni, hogy pontosan milyen, a szabályozás alá eső adatokat kezel a szervezet, hol tárolja őket, és milyen egyéb eszközök védik azokat a jelszavas védelmen és a felhasználói jogosultságokon kívül.

Hogyan lássunk hozzá?

A gyenge pontok feltérképezése után már könnyebben összeállítható a megfelelő stratégia az előírások teljesítéséhez. A NetIQ szakértői szerint az azonosságok és hozzáférések (IAM) kezelése ebben kulcsfontosságú szerepet játszik, hiszen ha ezt hatékonyan menedzselik, akkor az megkönnyíti az adatvédelmi rendeletben foglaltak teljesítését, illetve annak igazolását is.

Az azonosságok kezelésén alapuló védelmi stratégia három fő pontra fókuszál. Első lépésként az Identity Governance eszközök segítségévél a vállalatok egy olyan azonosságfelügyeleti rendszert építhetnek ki, amellyel átláthatják, hogy pontosan ki, mihez férhet hozzá, és ezeket a jogosultságokat mindig naprakészen is tarthatják. 

A második terület a hozzáférések szabályozásának megerősítése. A megfelelő IAM eszközök abban is segíthetnek, hogy a vállalatok biztonságosabbá tegyék a hozzáféréseket, például erősebb hitelesítési folyamatokkal. 

Nem utolsó sorban pedig érdemes gondoskodni a felhasználói tevékenységek monitorozásáról, különösen a kiemelt fiókok esetében. A vállalatok így megelőzhetik, hogy rendszergazdai jogosultságokkal éljenek vissza akár rosszindulatú alkalmazottak, akár külső támadók.