GDPR Q3. Πώς διασφαλίζουμε ότι οι συνεργάτες και οι προμηθευτές μας προστατεύουν τις πληροφορίες που μοιραζόμαστε μαζί τους?
Σε κάποιο σημείο ίσως χρειαστεί να μοιραστείτε τις πληροφορίες σας με τους συνεργάτες και τους προμηθευτές σας. Μπορεί να υπάρχουν περιστάσεις στις οποίες επιθυμείτε να επιτρέψετε την άμεση σύνδεση δικτύου μεταξύ των συστημάτων και / ή των υπηρεσιών σας. Είναι σημαντικό να υπάρχει εμπιστοσύνη για τις πληροφορίες που μοιράζονται ότι θα είναι καλά προστατευμένες.
Για παράδειγμα, ίσως θελήσετε
να εξετάσετε τυχόν συνδεσιμότητα δικτύου που μοιράζεστε με συνεργάτες που έχουν
ευάλωτα συστήματα ασφαλείας. Δεδομένου ότι αυτό δεν μπορεί να είναι μια άμεση
σύνδεση με το δίκτυο σας είναι συχνά ένα αδύναμο σημείο και παραβλέπεται. Θα
πρέπει να λάβετε μέτρα για να εξασφαλίσετε ότι ελαχιστοποιείται κάθε πιθανότητα
επίθεσης μέσω αυτών των συνδέσεων.
1. Προσπαθήστε να διασφαλίσετε ότι οι εταίροι σας δεν είναι ευάλωτοι σε επιθέσεις στον κυβερνοχώρο.
Όταν επιτρέπετε στους εταίρους να έχουν πρόσβαση στα δεδομένα σας (είτε μέσω κοινής χρήσης δεδομένων είτε μέσω λογαριασμών στο σύστημά σας), δεν βασίζεστε μόνο στην εμπιστοσύνη, αλλά αναζητάτε την εμπιστοσύνη από τα δικά τους συστήματα ασφαλείας στον κυβερνοχώρου. Η επιλογή των οργανισμών που έχουν πιστοποιηθεί βάσει του κυβερνητικού προγράμματος Cyber Essentials Scheme είναι ένα καλό σημείο εκκίνησης, καθώς αποδεικνύει ότι λαμβάνουν σοβαρά υπόψη την προστασία των δεδομένων τους. Ωστόσο, θα πρέπει να περιμένετε οποιονδήποτε εταίρο να έχει την ασφάλεια που να είναι κατάλληλη για τα δεδομένα ή τις υπηρεσίες που μοιράζονται και είναι ανάλογη με τους βασικούς ελέγχους στα δικά σας συστήματα. Θα πρέπει να έχετε σαφείς προσδοκίες για το πώς οι συνεργάτες σας προστατεύουν τα δεδομένα σας και έχουν πρόσβαση στα συστήματά σας.
Κατά τη ρύθμιση συμφωνιών κοινής χρήσης ή σύνδεσης με συνεργάτες, είναι σημαντικό τα δεδομένα και τα συστήματά σας να είναι ακόμα ασφαλή. Η ασφάλεια πρέπει να ενσωματωθεί σε όλες τις συμφωνίες από την αρχή και δεν πρέπει να βασίζεστε μόνο στην εμπιστοσύνη. Όλοι οι έλεγχοι πρέπει να τσεκάρονται και να τροποποιούνται.
2. Εφαρμόζουμε τεχνικούς ελέγχους για να προστατέψουμε τα συστήματά μας.
Ανεξάρτητα από το πόσο ολοκληρωμένες είναι οι συμφωνίες ασφάλειας με τους συνεργάτες σας και ανεξάρτητα από το πόσο καλά εφαρμόζουν τους ελέγχους τους, θα πρέπει να υποθέσετε ότι οι συνεργάτες σας θα παραβιαστούν σε κάποιο σημείο και θα σχεδιάσουν ανάλογα την ασφάλεια των συστημάτων και των δεδομένων σας. Οι έλεγχοι που θα ελαχιστοποιούν τον αντίκτυπο ενός τέτοιου περιστατικού σε έναν εταίρο, θα πρέπει να περιλαμβάνουν:
1. Προσπαθήστε να διασφαλίσετε ότι οι εταίροι σας δεν είναι ευάλωτοι σε επιθέσεις στον κυβερνοχώρο.
Όταν επιτρέπετε στους εταίρους να έχουν πρόσβαση στα δεδομένα σας (είτε μέσω κοινής χρήσης δεδομένων είτε μέσω λογαριασμών στο σύστημά σας), δεν βασίζεστε μόνο στην εμπιστοσύνη, αλλά αναζητάτε την εμπιστοσύνη από τα δικά τους συστήματα ασφαλείας στον κυβερνοχώρου. Η επιλογή των οργανισμών που έχουν πιστοποιηθεί βάσει του κυβερνητικού προγράμματος Cyber Essentials Scheme είναι ένα καλό σημείο εκκίνησης, καθώς αποδεικνύει ότι λαμβάνουν σοβαρά υπόψη την προστασία των δεδομένων τους. Ωστόσο, θα πρέπει να περιμένετε οποιονδήποτε εταίρο να έχει την ασφάλεια που να είναι κατάλληλη για τα δεδομένα ή τις υπηρεσίες που μοιράζονται και είναι ανάλογη με τους βασικούς ελέγχους στα δικά σας συστήματα. Θα πρέπει να έχετε σαφείς προσδοκίες για το πώς οι συνεργάτες σας προστατεύουν τα δεδομένα σας και έχουν πρόσβαση στα συστήματά σας.
Κατά τη ρύθμιση συμφωνιών κοινής χρήσης ή σύνδεσης με συνεργάτες, είναι σημαντικό τα δεδομένα και τα συστήματά σας να είναι ακόμα ασφαλή. Η ασφάλεια πρέπει να ενσωματωθεί σε όλες τις συμφωνίες από την αρχή και δεν πρέπει να βασίζεστε μόνο στην εμπιστοσύνη. Όλοι οι έλεγχοι πρέπει να τσεκάρονται και να τροποποιούνται.
2. Εφαρμόζουμε τεχνικούς ελέγχους για να προστατέψουμε τα συστήματά μας.
Ανεξάρτητα από το πόσο ολοκληρωμένες είναι οι συμφωνίες ασφάλειας με τους συνεργάτες σας και ανεξάρτητα από το πόσο καλά εφαρμόζουν τους ελέγχους τους, θα πρέπει να υποθέσετε ότι οι συνεργάτες σας θα παραβιαστούν σε κάποιο σημείο και θα σχεδιάσουν ανάλογα την ασφάλεια των συστημάτων και των δεδομένων σας. Οι έλεγχοι που θα ελαχιστοποιούν τον αντίκτυπο ενός τέτοιου περιστατικού σε έναν εταίρο, θα πρέπει να περιλαμβάνουν:
- τον περιορισμό των εκτεθειμένων υπηρεσιών και την ανταλλαγή των πληροφοριών στο ελάχιστο
- την υλοποίηση του ελέγχου ταυτότητας και της εξουσιοδότησης του χρήστη και συστήματος πριν από τη χορήγηση άδειας πρόσβασης
- έλεγχος ευαίσθητων ενεργειών ή ανταλλαγή/πρόσβαση δεδομένων.
Το GDPR δεν
είναι ο απέραντος ωκεανός, όπου τα τεράστια κύματα του παραμονεύουν να
τσακίσουν το πλοίο / επιχείρηση σας, αλλά ....
θα σας δείξει τον δρόμο για να φτάσετε με ασφάλεια στο
λιμάνι του προορισμού σας.
Εμείς με
συνεχή ενημέρωση και την παροχή E-BOOK, GUIDE, NEWSLETTER, αλλά και απευθείας
απαντήσεων στα ερωτήματα σας μέσω του support@benefitfs.gr,
μπορούμε να σας παρέχουμε κάθε δυνατή ενημέρωση και βοήθεια για τον περιορισμό
του κόστους.
Εγγραφείτε τώρα για να
λαμβάνετε τα NewsLetter μας
Σχόλια
Δημοσίευση σχολίου