Viisi esimerkkiä IT-ympäristöistä, jotka eivät täytä GDPR-vaatimuksia.

GDPR:n käyttöönoton myötä olet luultavasti saanut jatkuvasti sähköpostiviestejä, joissa kerrotaan, että yritykset, joihin olet ollut yhteydessä, ovat päivittäneet tietosuoja- ja evästekäytäntöjään. Mutta ovatko kaikki nämä yritykset todella käytännössä valmiita täyttämään GDPR:n vaatimukset? Ensisilmäyksellä tarkasteltuna tekninen tuki, jota tarvitaan käytäntöjen saattamiseksi vastaamaan todellisuutta, puuttuu usein. Toistaiseksi monet organisaatiot noudattavat GDPR:ää vain paperilla...

Mobiililaitteiden riittämätön suojaus

Yksi GDPR:n vaatimuksista on, että mobiililaitteissa ja tietokoneissa olevat tiedot on salattava. Salaus on nykyään vakiotoimenpide tietojen suojaamiseksi, ja tietoteknisen ympäristön tulisi tarjota siihen mahdollisuus. Suojaamattomalla tietokoneella ilman salausta voit yksinkertaisesti asentaa käyttöjärjestelmän uudelleen ja lukea kaikki levyllä olevat tiedot. Jos tiedot on kuitenkin salattu, kukaan ei pääse käsiksi laitteen sisältöön ilman salausavainta.

Monissa IT-ympäristöissä ei ole mitään tapaa valvoa keskitetysti yrityksen tietokoneita ja mobiililaitteita. Jos laite katoaa tai joutuu muuten vääriin käsiin, et voi tarkistaa, onko salaus aktivoitu, tai aktivoida salausta etänä.

Tietenkin voit suojata tietosi asianmukaisesti muilla tavoin - jos laitteet ovat täysin paikallaan, ne eivät koskaan poistu toimistotiloista ja tiloissa on myös vahva fyysinen murtosuojaus. Mutta nykyään elämme mobiilissa maailmassa, ja jos et voi etähallita yrityksesi laitteita, ne ovat alttiita heti, kun ne poistuvat tiloistasi. Määritelmän mukaan et enää täytä GDPR:n tietosuojavaatimuksia.

Sähköpostisi eivät ole salattuja

Sähköpostien salaus on myös asia, jota monet eivät tue IT-ympäristöissään. Jos henkilötietoja siirretään sähköpostitse ilman salausta, se rikkoo GDPR:n vaatimuksia, koska sähköposti on suhteellisen turvaton viestintämuoto.

Vaatimusten noudattamiseksi sinun pitäisi siis pystyä asettamaan kaikki sähköpostiviestit salattaviksi. Vaihtoehtoisesti sähköpostiohjelmasi on tunnistettava, sisältääkö sähköpostisi henkilötietoja, jotta se salataan automaattisesti. Kolmas vaihtoehto on tehdä se manuaalisesti joka kerta, kun lähetät sähköpostia.

Monet sähköpostipalveluntarjoajat eivät tarjoa salaussuojausta, ja sen sijaan, että käyttäisit kolmannen osapuolen palveluntarjoajaa salaukseen, on suositeltavaa käyttää sähköpostipalvelua, jossa on integroitu salaustoiminto.

Tarkastuslokit - kattavan raportoinnin edellytys

Tietosuoja-asetus asettaa suuria vaatimuksia jäljitettävyydelle ja kyvylle tutkia mahdolliset tietoturvaloukkaukset tai muunlaiset vaaratilanteet. Tämä on edellytys sille, että voit raportoida vaaratilanteesta asianmukaisesti Ruotsin tietosuojaviranomaiselle 72 tunnin kuluessa. Kattavan raportoinnin varmistamiseksi tarvitset siis IT-ympäristön, jossa voit seurata käyttäjien toimintaa tapahtumalokien avulla.

Isännöidyssä ympäristössä, jossa palvelimiasi isännöi IT-kumppani, jonka verkossa on sekä sinun että muiden asiakkaiden tietoja, palomuurilokien saaminen on vaikeaa. Tämä johtuu siitä, että lokit eivät erotu muiden asiakkaiden lokitiedoista. Tämän vuoksi on vaikeaa tai jopa mahdotonta varmistaa, että kaikki tapahtumat tutkitaan asianmukaisesti.

Hakukelpoisuus helpottaa otteita ja tietueiden poistamista koskevia pyyntöjä.

Jotta henkilötietoja koskevia pyyntöjä tietojen poimimiseksi tai poistamiseksi voidaan hallita tehokkaasti, järjestelmiesi on tuettava hakuja jäsennellystä ja jäsentymättömästä datasta. Esimerkiksi perinteisessä tietotekniikkaympäristössä organisaatiossasi voi olla useita tiedostojärjestelmäpalvelimia. Sinulla voi olla myös erillinen pilvipalveluratkaisu tiedostojen jakamista varten, jotta voit käyttää tietoja työpaikan ulkopuolella; esimerkiksi Dropbox. Ja sitten on sähköposti - joko paikallisella palvelimella tai toisen sähköpostipalveluntarjoajan kanssa.

Normaalisti et voi hakea palvelimella olevien tiedostojen sisältämiä tietoja. Vaihtoehtona on käydä tiedosto tiedostolta manuaalisesti läpi, mikä on tietenkin liian aikaa vievää. Jos kuitenkin on olemassa toimiva ekosysteemi eri toiminnoista - asiakirjoista, sähköpostista, chatista ja niin edelleen - voit tehdä haun keskitetysti, eikä sinun tarvitse käydä läpi tiedosto tiedostolta ja järjestelmä järjestelmältä.

Voitko luottaa siihen, että työntekijäsi poistavat aina vanhat tiedot?

Yleisessä tietosuoja-asetuksessa edellytetään myös, että tiedot, joita et enää tarvitse, on poistettava tietyn ajan kuluessa. Tämä työ voidaan tietysti tehdä manuaalisesti - voit esimerkiksi vaatia työntekijöitäsi käymään ja tyhjentämään postilaatikkonsa tai vanhemmat asiakirjat säännöllisin väliajoin.

Ongelmana on, että et voi varmistaa, että se todella tehdään. Ainoa tapa varmistaa, että poistettavat tiedot todella poistetaan, on automaattinen ratkaisu, jossa on muistutuksia, ilmoituksia ja keskitetysti hallinnoituja poistorutiineja.

Me WeSafella tiedämme, mitä IT-ympäristöltäsi vaaditaan GDPR:n vaatimusten täyttämiseksi. Haluatko tietää lisää siitä, miten voimme auttaa sinua varmistamaan vaatimustenmukaisuuden organisaatiossasi? Älä epäröi ottaa meihin yhteyttä!

Inspiraatiota ja tietoa suoraan sähköpostiisi

Tilaa kuukausittainen inspiroiva uutiskirjeemme, joka antaa vinkkejä, näkemyksiä ja neuvoja uusista työskentelytavoista, prosesseista ja turvallisuudesta, jotka liittyvät Microsoft 365:een, Azureen ja Microsoftin pilvialustan eri työkaluihin.

Ilmainen Microsoft 365 -ympäristön tietoturva-analyysi

Hanki konkreettisia ja käytännöllisiä vinkkejä siitä, miten voit suojata organisaatiosi paremmin!

Lue lisää ja varaa

Kirjoittanut:

Marcus Juvin

Tekninen johtaja - turvallisuus ja vaatimustenmukaisuus

marcus.juvin@upheads.se