7 kroků, jak přežít GDPR: K lepší ochraně dat pomůžou cloud a šifrování (4)

Ochrana osobních údajů patří mezi základní požadavky GDPR. Ve vaší firmě tedy musíte zajistit, aby citlivé údaje byly pod kontrolou a aby byly náležitě zabezpečeny proti zneužití, ztrátě nebo poškození. Jak na to?

Kromě opatření proti neoprávněnému přístupu a krádeži či poškození údajů je třeba zároveň zajistit dostupnost a odolnost služeb zpracování. To, zda jsou tato opatření skutečně účinná, musí být předem otestováno. Osobní údaje tedy musíme ve firmě chránit podle úrovně jejich citlivosti a také vědět, že tato ochrana funguje.

Poskytovatel cloudu jako podpora

Odpovědnost pro vaši firmu vzniká jak při zpracování ve vašem vlastním datovém centru, tak při zpracování v cloudu. Poskytovatelé cloudových služeb se ale o hodně věcí postarají za vás. Měli byste se tedy zamyslet, jestli zvýšení bezpečnosti zpracování dat a prokázání účinných opatření před úřady není v daném případě rychlejší a jednodušší u cloudového zpracovatele, který už opatření zavedl a může se prokázat průmyslovými certifikacemi a auditními zprávami. GDPR upravuje i požadavky na smlouvu mezi správcem a zpracovatelem údajů, tedy poskytovatelem cloudu, čímž lze zase alespoň částečně přenést odpovědnost za opatření na zpracovatele.

Podívejme se tedy, jaké existují možnosti zabezpečení v cloudu v oblasti prevence. Příště si probereme opatření v oblasti detekce a zvládání incidentů.

Jak šifrovat data

Šifrování dat je důležitým opatřením proti neoprávněnému přístupu a zneužití. Uložená data můžeme v databázích šifrovat pomocí technologie Transparent Data Encryption, na které staví i cloudové Dynamics 365 pro řízení prodeje a vztahů se zákazníky. V cloudu je velmi důležité mít ošetřenou správu šifrovacích klíčů. Při šifrování velkých objemů dat musí být tyto klíče v době zpracování k dispozici v cloudu. To řeší například technologie Azure Key Vault. Azure obsahuje moduly Thales nShield, které jsou certifikované pro použití v armádách zemí NATO a představují v současné době špičku toho, co se pro správu šifrovacích klíčů nabízí.

Velké objemy nestrukturovaných dat se mohou efektivně ukládat do prakticky neomezených úložišť Azure Storage Service, která mají rovnou dvě úrovně šifrování. Jedna slouží pro pevné paměťové disky, druhá je na úrovni aplikace a je pod kontrolou správce dat.

Šifrování a řízení přístupu v cloudu se zavádí i do moderních non-SQL databází, jako je například Cosmos DB v Microsoft Azure. Zde můžeme ukládat živé toky dat z internetu věcí (IoT), v nichž se mohou objevit osobní údaje. Azure tedy řeší při správě a ochraně dat spoustu problémů.

Cloud řeší všechna zařízení

GDPR požaduje i vysokou dostupnost osobních údajů, což váš IT může vyřešit pomocí takzvaných skupin dostupnosti (Avalaibility Groups) v cloudových datacentrech až po chybově odolné klastry (Always On Failover Clusters).

Cloud může pomoci i s prevencí na koncových zařízeních ve vaší firmě. Nástroje jako Microsoft Enterprise Mobility and Security (EMS) tak mohou zavést bezpečnostní politiky a šifrování dat na firemní prostor chytrého telefonu nebo notebooku. Pokud někdo ve vaší firmě používá například služební telefon nebo notebook i soukromě, může váš IT odborník data dálkově spravovat, případně vymazat jejich firemní část. Při ztrátě zařízení je pak velký rozdíl, zda byla data šifrována nebo ne. Podle GDPR navíc není třeba oznamovat incidenty subjektům údajů, pokud data unikla v šifrované podobě.

Pozor na Shadow IT

Stejně jako Azure, je i Microsoft EMS obecně široce využitelný nástroj pro bezpečnost vašich dat v cloudu. Firmy se často obávají neautorizovaného využívání „free“ cloudových služeb, tomu se dnes říká „Shadow IT“. Zde zase dobře poslouží Cloud App Security, jenž je součástí EMS. Tento nástroj na perimetru dané firmy rozezná více než 13 tisíc cloudových služeb, posuzuje jejich bezpečnost a hlásí, které z těchto služeb využívají vaši zaměstnanci.

Jak jsme uvedli výše, správci osobních údajů musí zvolit „přiměřená“ bezpečnostní opatření, která jsou výsledkem nějaké formy analýzy rizik. Jako vodítko mohou posloužit už vzorové analýzy rizik od zpracovatele, které poskytuje Microsoft, a které si můžete vy nebo váš IT vyžádat přes partnera, jenž vám cloud spravuje.

Zabezpečení údajů je pro implementaci nařízení GDPR zásadní. Proto si příště rozebereme, jak detekovat kyberútoky a jak takzvaně „zvládat incidenty“, tedy situace, kdy vaší firmě hrozí zneužití dat nebo jejich ztráta. I k tomu existuje spousta řešení a nástrojů, které vám ve vaší společnosti pomůžou.

Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete zde.

Čtěte další díly seriálu Jak přežít GDPR:

(1) Zmapujte si terén

(2) Jak uřídit data? Co nepotřebujete, vyhoďte

(3) Jak jsou údaje citlivé? Určete, kdo k nim může

(5) Jak detekovat útok a zvládat bezpečnostní incidenty

(6) Jak vést provozní záznamy? Neplýtvejte časem

(7) Jsou opatření účinná? Napoví audit

Autor: Zdeněk Jiříček, ředitel pro technologické standardy, Microsoft Česko a Slovensko


Čtěte také

Mohlo by vás zajímat

Finance
Na kolik vás vyjde cesta na Mistrovství světa v hokeji?
Měníte dodavatele elektřiny a plynu?
Přidat by chtěl v práci každý. Můžou vám ale i sebrat?
Vrácení daní 2018 - kdy dostanete daňový přeplatek?
Kolik si můžete vybrat dovolené, když máte novou práci a jste ve zkušební době
Auta
Proč stupnice tachometru tak moc přesahují skutečnou…
Gmail dostává největší aktualizaci za posledních 7 let. Co umí a jak vypadá?
Galerie: Tohle je 10 nejlepších interiérů roku 2018
Hyundai i20 dostal facelift, dvouspojkový automat a verzi Active
BMW iX3 je SUV X3 bez ledvinek a s pouze elektrickým pohonem
Technologie
V Ostravě budou nejmodernější tramvaje. Mají klimatizaci, USB a Wi-Fi
Dobrá zpráva. Nové smartphony už budou vycházet jen s Androidem 8.0+
TSMC předbíhá Intel o generaci, odstartovalo masovou výrobu čipů na 7nm procesu
Britský vynálezce připravuje děti na život s kryptoměnami
Xiaomi uvádí Mi 6X. Boduje cenou, ale má nepochopitelné slabiny
Hry pro příležitostné hráče