Minél több információt menedzselünk, annál nagyobb kockázatnak tesszük ki vállalatunkat. Az adatvezérelt üzleti világban érdemes tisztában lenni, milyen vállalati adataink vannak, és életciklusuknak megfelelően meddig érdemes őket tárolni, hogyan lehet biztonságosan és minősítetten törölni őket.
Korábbi posztunkban tárgyaltunk arról, hogy milyen adatokat találhatunk egy vállalatnál és melyek az adat életciklusai. Ebben a bejegyzésben arról írunk, hogy mire figyeljünk az adat első három életciklusában.
Adat létrehozása
Amikor új adat jön létre, akkor új digitális tartalmat hozunk létre vagy meglévőt módosítunk. Erre a folyamatra a vállalat berkein belül vagy kívül kerül sor, az alkalmazottak eszközein keletkezhet vagy már elve egy központi helyen, a felhőben jön létre. A legtöbb vállalati adatot a különböző részlegek generálják, mint a pénzügy, HR, marketing, értékesítés. Ezzel szemben az IT részleg tipikusan az adat menedzseléséért felelős – miután mások létrehozták.
Az adatok létrehozásának fázisában az adatot a hozzáférés ellenőrzésével tudhatjuk biztonságban, erre találták ki a jelszavakat, a fenyegetettségeket felmérő biztonsági megoldásokat. Az adat osztályozó megoldások meghatározzák, hogy hol található az adott típusú adat, kinek van hozzáférése és hogyan lehet védeni.
Adat tárolása
Az adat tárolásának kérdése már létrehozásának pillanatában felmerül. A gyakorlatban az adatok mentését egy adott tárolóra értjük alatta. Ez a tároló lehet merevlemezünk vagy egy központi, felhő alapú tárolási megoldás, netán külső USB. A szenzoroktól érkező adatok esetében előfordulhat, hogy a nyers adatok már nem is tároljuk, hanem csak a feldolgozása után kinyert információt. A tárolás kiterjed a biztonsági másolatra is, melyet az adat keletkezése és mentése után időzített időpontban készítenek el az automatizált backup megoldások. Miután az adatot elmentettük, az adatok menedzselése az IT részleg vagy IT biztonsági részleg felelőssége.
A tárolt adatok esetében a vállalat meghatározhatja, kinek van hozzáférése hozzájuk, ki írhatja felül őket. A különböző IT eszközöket automatikus adattitkosítási funkciókkal egészíthetik ki. Adatveszteség esetére készülnek a biztonsági másolatok, melyek biztonságáról ugyanúgy gondoskodni kell. Ha már van biztonsági másolat, érdemes időnként megadott forgatókönyv szerint adatvisszaállítási gyakorlatokat tartani. Ezzel lemérhetjük, mennyi idő alatt képes cégünk visszaállni, hol vannak az esetleges biztonsági lyukak.
Adat használata
Az adatok használata során azokat az adatokhoz a különböző felhasználók hozzáférnek, megnézik, feldolgozzák. Használat közben az adat nyilván módosulhat, vagyis új adat jön létre – az adatok használata és létrehozása ilyen szempontból szorosan összefügg. Érdemes a verziókövetés kérdéskörét ebben a pontban részletesen szabályozni a nem kívánt felülírások elkerülése miatt. Az adatok használata közbeni védelem biztosítása a különböző részlegek és az IT közös felelőssége.
Használat közben az adatot hozzáférés szempontjából kell védeni – minden alkalmazott beosztásának megfelelően használhatja az adatokat. Felmerül a titkosítás kérdése, ahogy a szerzői jogok betartása is fontos feladat. Az adatszivárgás, illetéktelen hozzáférés megelőzésére szoftveres és vállalati szabályokat állíthatunk fel.
Következő, befejező posztunkban a fennmaradó három adatéletciklusról írunk részletesen, az adat megosztása, adat archiválása és adat megsemmisítése kerül a középpontba.
Ha már ismerjük milyen adatok keletkeznek vállalatunkban, tudjuk, milyen életciklusok jellemzőek rájuk, akkor érdemes (és a rossz hírünk az, hogy a legtöbb vállalatnál kötelező) egy adatvédelmi szabályzatot elkészíteni.
Az Amerikai Egyesült Államokban már nem ritka, hogy az adatgazdag vállalatoknál chief data officert vagy adatbiztost neveznek ki. Az európai államokban az adatvédelmi rendelet, vagyis közismert nevén GDPR adatvédelmi biztos (data protection officer) kinevezését írja elő (a témával egy korábbi blogbejegyzésünkben foglalkoztunk bővebben). Így vagy úgy, nem odázhatjuk el annak az embernek a kinevezését, aki a vállalati adatokért és azok biztonságáért felelős.
Ennek az adatbiztosnak a feladata összefogni a vállalati adatok életciklusának megfelelő adatvédelmet. A vállalat különböző részlegei más-más szemszögből tekintenek az információra: az IT csapat feladata tipikusan az adatbiztonság, a jogi osztály kockázatkezelés, megfelelőség szemszögéből foglalkozik velük, míg a többiek csak ontják magukból az adatokat, használják, megosztják őket. Az adatvédelmi szabályzat, mely a GDPR hatálya alá eső vállalatoknál kötelező, az adatokkal és kezelésükkel kapcsolatos tennivalókat foglalja össze. A GDPR ebben a tekintetben előírja, hogy milyen információkat kötelező ebbe a szabályzatba összefoglalni. A teljesség igénye nélkül ezek a következők:
Milyen célból és milyen adatokat gyűjtünk
Ehhez az adathoz ki fér hozzá, mint adattulajdonos és adatkezelő egyaránt
Ki az adatkezelő, ki az adattulajdonos, pontosan kinek milyen feladata van
Hogyan osztályozzuk az adatokat
Az adatokat hogyan védjük életciklusok során
Hogyan semmisítjük meg az adatokat életciklusok végén
Az adatvédelmi szabályzat mellett érdemes időt szánni egy olyan vészforgatókönyv kidolgozására, mely adatszivárgás, adatvesztés esetén lép életbe. Ennek a forgatókönyvnek konkrétan kell tartalmaznia az egyes lépéseket, melyeket vész esetén követnünk kell: kiket és milyen sorrendben riasztunk incidens esetén, ki fogja össze az incidensre válaszoló csapatot, honnan állítjuk vissza az adatokat, hol található a biztonsági mentés, ki végzi el az adatvisszaállítást, a vállalaton kívül kit és hogyan kell értesíteni az incidensről, ki nyilatkozhat a sajtónak a történtekről.
Ha megvan a vészforgatókönyv, akkor a tűzriadóhoz hasonlóan érdemes legalább egyszer évente a gyakorlatban is kipróbálni, hogy egyáltalán működik az elméleti elképzelés. Nemcsak azt tudjuk lemérni, hogy mennyi időre van szükség az adatok visszaállításához és a vállalat akadálytalan működéséhez, hanem az esetleges hiányosságokra is fény derül – így a kézikönyvet tovább pontosíthatjuk.
Minél több információt menedzselünk, annál nagyobb kockázatnak tesszük ki vállalatunkat. Az adatvezérelt üzleti világban érdemes tisztában lenni, milyen vállalati adataink vannak, és életciklusuknak megfelelően meddig érdemes őket tárolni, hogyan lehet biztonságosan és minősítetten törölni őket.
Négy évvel ezelőtt igazán nagyot szólt a Sony esete, amikor az észak-koreai rendszer által felbérelt hackerek egy B-kategóriás komédia miatt megtámadták a vállalat rendszereit, feltörték azokat és rengeteg információ került napvilágra. A kiszivárgott filmek mellett sokkal nagyobb reputációs kárt okozott a napvilágra jutott levelezés. Ebből ugyanis kiderült például, hogy a filmstúdió másodrangúnak tartotta a női filmsztárokat, és ehhez mért gázsit is adtak nekik – holott gyakran több profitot hoztak a cégnek, mint férfi társaik.
Ezek az információk olyan levelekből derültek ki, melyeket jobb lett volna, ha időben törölnek a vállalati szerverről, a biztonsági mentésekből, a biztonsági mentések másolataiból. Mert így egy sikeres támadás után sem látták meg volna a napvilágot.
A vállalatok féltve őrzik adataikat, holott egy bizonyos idő eltelte után, például a törvényi kötelezettségek lejártával sokkal jobban tennék, ha minősítetten megszabadulnának tőlük.
Milyen adatokat tárol a vállalat?
A Blancco friss esettanulmánya (ingyenes regisztráció után angolul elérhető) három féle vállalati adatot különböztet meg. Persze, a vállalat tevékenységétől függően ezen adatok köre tovább bővülhet. Az ügyféladatok tartalmazzák a GDPR hatálya alá eső személyes adatok döntő többségét, mint neveket, címeket, számlaszámokat, pénzügyi adatokat, rendelési tételeket – vagyis mindent, amit ügyfelünkről tudhatunk. A személyes adatok közé tartoznak az egészségügyi adatok is, de ezek csak az egészségügyi szolgáltatóknál jelennek meg.
A második kategóriába esnek az alkalmazottakra vonatkozó adatok, amely a személyes adatok mellett tartalmazza a fizetésre és a teljesítményre vonatkozó információkat is. Egyes cégeknél egészségügyi adatokat is tárolnak, de ez egészen ritka.
A harmadik kategória a vállalati adat, ami a know-how-t, a különböző kutatási és fejlesztési információkat, terveket, marketing és értékesítési stratégiát tartalmazza, de kiterjed az ügyféllistákra is, pénzügyi eredményeket tartalmaz, belső kommunikációt is bele kell érteni. Az utóbbi időben egyre növekvő mértékben az IoT adat is a vállalati adat része: az érzékelőkből, szenzorokból származó nyers adatokról van szó, legyen szó az ellátási láncról, ipari berendezésekről vagy más tevékenységekről.
Ezek az adatok mind-mind egy adatszivárogtatás célpontjai, legyen a kiszivárogtató egy belső alkalmazott, külső partner vagy a hálózatunkba beférkőző hacker. De nem kell feltétlenül csak a rosszra gondolni, hanem elég például egy átvilágításra, auditra: minél több a feleslegesen tárolt adat, annál lassabb ez a folyamat és annál nagyobb a kockázata, hogy nem felelünk meg egy adott előírásnak, szabványnak.
Ezek az adatok életciklusai
Az adatot életciklusa szerint érdemes kezelni a vállalaton belül. Hat különböző fázist különböztethetünk meg: adat létrehozása, adat mentése, adat használata, adat megosztása, adat archiválása és adat megsemmisítése. Hogy pontosan milyen tevékenységre, milyen jellegű adatmenedzselésre van szükség az egyes fázisokban, azt két következő blogbejegyzésünkben tárgyaljuk.
Könnyű helyzetben vannak a nagyobb vállalatok, ahol ütemezetten, 3-6 évenként cserélik a teljes gépparkot. A kisebb vállalatoknál vagy a magánszemélyek esetében azonban a gépcserével járó kiadás nem mindig finanszírozható, ezért érdemes a gép elavulásához kötni annak cseréjét.
A következő kérdés önmagától adódik: mikor számít elavultnak a számítógép vagy a laptop?
Új operációs rendszer jelenik meg
Ha csak azért, mert egy újabb operációs rendszert adtak ki, nem érdemes cserélni. Az új operációs rendszerek legtöbb esetben a régebbi számítógépeken is működnek, így gond nélkül frissíthető a rendszer – a gép cseréje nélkül. Ha a legújabb operációs rendszer már nem működik számítógépünkön és a biztonsági frissítések ideje is lejárt, az már egyértelmű jele annak, hogy érdemes új számítógép után nézni. A biztonsági sérülékenységek kijavítása nélkül előbb vagy utóbb hackertámadás áldozatai lehetünk, amikor adataink épségét is kockáztatjuk.
Lassú a gépem
Az új operációs rendszer, az állandó frissítések, a vírusvédelmi megoldás mind-mind lassíthatja a gépet. Ahogy az sem a sebességet javítja, ha nincs elegendő üres hely a gépünkön. Először meg kell nézni, mi okozza a lassulást, nincs esetleg egy vírusfertőzés a háttérben? Ebben az esetben sem kell rögtön gépet cserélni: sokat javít a teljesítményen, ha új processzort vásárolunk, bővítjük a memóriát, netán a merevlemezt lecseréljük a gyorsabb SSD-re. Ezek kisebb kiadások, mellyel megnövelhetjük gépünk teljesítményét és használati idejét pár évvel.
Nincs elég hely a merevlemezen
A helyhiányon lehet a legkönnyebben segíteni: a merevlemezt SSD-re cseréljük (és ezzel a gyorsaság is megnő) vagy nagyobb kapacitású merevlemezt szerzünk be. Nyilván, senki sem akar operációs rendszert migrálni, így a legkézenfekvőbb megoldás, ha egy USB-re csatlakoztatható merevlemezbe vagy SSD-tbe fektetünk bele.
Eltört a laptop képernyője
A laptop képernyője kényes dolog, nem szabad gyermekek közelében hagyni – a családban nálunk legutóbb úgy tört el egy képernyő, hogy a gyerkőc ráült. A laptopok képernyőjét könnyű cserélni, erre rengeteg oktatóvideó található az interneten.
Rossz az akkumulátor
Az akkumulátor cseréje is egyszerű dolog és nem érdemes az egész gépet kicserélni csak azért, mert 15 percnél többet nem bír áram nélkül. Érdemes szakszerviz segítségét kérni, mert ott a régi, veszélyes hulladéknak minősülő akkumulátort szakszerűen selejtezik le.
Nem tölti az akkumulátort
Leggyakrabban a kábel a gyenge pontja a töltési hibáknak, mert megtöredezett, rosszul érintkező szálakról van szó. A kábelt is könnyű cserélni, mi több relatíve olcsó beszerezni.
Nyilván, ha egy számítógép összes fentebb felsorolt hibája jelentkezne, akkor nem érdemes a pót alkatrészekkel bajlódni. Ez már annak az egyértelmű jele, hogy itt az ideje új gépet vásárolni. És ekkor sem muszáj egy új gépet vásárolni, nagyon jó minőségű használt laptopok érhetőek el a piacon. Ha nem vagyunk nagy játékosok és nem kell szöveget írni, akkor otthoni használatra, filmnézésre, zenehallgatásra, internetezésre kényelmesebb lehet egy tablet.
Minden esetre, mielőbb régi számítógépünket netán laptopunkat elvinnénk a szeméttelepre, győződjünk meg, hogy minden adatot lemásoltunk az adathordozóról. Ha a merevlemezt is ki szeretnénk dobni, előtte töröljük le az adatokat és írjuk át a merevlemezt, hogy később senki se tudjon az adatokhoz hozzáférni. Ha vállalkozásként nagyobb mennyiségű számítógépet cserélne le, hívja a DataD munkatársait a szakszerű segítségért!
Van olyan munkahely, ahol
eltűrik a saját eszköz használatát vállalati célra, van olyan, ahol ezt kérik
és létezik olyan is, ahol a céges telefon és laptop biztosításában látják a
könnyen menedzselhető mobilflotta garanciáját. Minden esetben,
tulajdonosváltáskor az adatokat érdemes akkor is minősítetten törölni, ha cégen
belül marad az eszköz.
Egy nagy biztosítónál dolgozó
ismerősöm legújabb iPhone-jával dicsekedett a minap, amit nem saját zsebből
vásárolt meg, hanem a vállalat biztosított számára. Nem kell egy drága darabra
gondolni, egy vagy két verzióval van elmaradva a kezében lévő készülék a
legújabb modelltől – érthető módon a vállalat egy kipróbált, érett készülék típust
részesített előnyben. Ismerősöm korábban a saját almás készülékéről használta a
céges levelezést is, de csak feltételekkel tehette: például kötelező volt
jelkódot beállítania.
Hozd a saját eszközöd!
Ismerősöm esete egy régóta jelen lévő jelenségre irányította újra a figyelmemet, ami angol nyelven a Bring Your Own Device (BYOD) vagyis hozd a saját eszközöd elnevezést kapta. Az emberek hamarabb vásároltak maguknak okostelefont, mint ahogy kaptak volna a vállalattól. Ezen a saját okostelefonon keresztül szerették volna elérni nemcsak a magán, hanem a céges levelezést is, a céges rendszereket. A vállalatok pedig szerették volna a cég keretein belül tudni adataikat, ezért hosszú időn át ellenálltak és tiltották a saját eszköz céges jellegű használatát.
Végül beadták a derekukat és
feltételekkel ugyan, de engedélyezték a BYOD eszközök használatát. Mert látták,
hogy ettől boldogok az alkalmazottak. És hogy hiába a tiltás, ha egyszer
kipróbálják a kényelmes, távmunkát, akkor nincs visszaút, büntetésként élik meg
a munkatársak a lehetőség eltörlését. Addig sok mindent tanultak és okosodtak a
vállalatok is, és rájöttek, hogy ellenőrzött módon ugyan, de a cég fizikai
határain kívülre engedhetők ezek az adatok.
Én adom a készüléket!
Hogy pontosan milyen
biztonsági előírások betartását javasolják a BYOD szakértői, azt keretes
írásunkban részletezzük. A BYOD tapasztalatai rávilágítottak, hogy az
alkalmazottak mobilitást szeretnének. A különböző típusú, technikai
felszereltségű eszközök menedzselése egyre nehezebbé vált, majd a szigorú
adatvédelmi intézkedések (GDPR) hatására egyre több vállalat dönt úgy, hogy
saját kezébe veszi a mobilitás kérdését. Egyszerűbb és hatásosabb, ha egységes
mobilflottát kell kezelnie egy cégnek, így természetesen érthető, hogy
bevállalják az eszköz beszerzésének és menedzselésének költségeit, mintsem
óriási adatvédelmi bírságokat kockáztassanak. Időközben az alkalmazottak
elvárásai is változtak, a mobiltelefon ma a munkáltatók által elvárt céges
juttatások közé tartozik, vagyis senki sem megy dolgozni egy céghez csak mert
mobiltelefont biztosítanak neki.
Hogy vállalatunknak a BYOD engedélyezése vagy a saját céges eszköz biztosítása a járható út, az tőlünk függ. Egy fontos dologról ne feledkezzünk el: még ha cégen belül is cserél gazdát a készülék, előtte az adatokat minősítetten, a vállalat előírásainak megfelelően szükséges törölni. Hiszen belső biztonsági incidenst kockáztat a vállalat akkor is, ha például a marketinges munkatárshoz kerül a korábban értékesítői munkakörben, ügyfelekkel és ügyféladatokkal dolgozó kolléga készüléke.
Így védd a BYOD eszközöket
Attól, hogy a kolléga hozza a saját eszközét a munkahelyre, a vállalatnak is költenie kell az eszközök és főleg a rajtuk keresztül elérhető adatok biztonságáért. A következő tippek betartásával biztonságban tudhatja az adatokat még akkor is, ha munkatársa birtokában van a készülék.
1. Tároljuk titkosítva az adatokat a laptopon és a mobiltelefonon egyaránt. Az almás készülékek alapból titkosítják az adatokat, ha használunk egy jelkódot, sok androidos eszközön is elérhető ez a lehetőség. Így, ha el is hagyjuk vagy netán ellopják a készüléket, az adatok valamennyire biztonságban vannak.
2. Írjuk elő a VPN szoftver használatát, ha a vállalati hálózaton kívülről csatlakozik a készülék a céges hálózathoz.
3. Úgy állítsuk be a készülékeket, hogy fél év leteltével kikényszerítsük a jelszó változtatást.
4. Telepítsünk biztonsági megoldást a gépre, mobileszközre.
5. Engedélyezzük az operációs rendszer automatikus frissítését, így mindig a javított operációs rendszer fut a készüléken. 6. Szabályzatban rögzítsünk, milyen elfogadható alkalmazásokat és felhőszolgáltatásokat használhat az alkalmazott a vállalati adatok tárolása céljából.
Hacsak nem közeli barátunktól, ismerősünktől vásároljuk a használt okostelefont, érdemes a vásárlásra időt szánni és meggyőződni, hogy minden rendben van a készülék körül, minden adatot törölt előző tulajdonosa.
Az Apple az első olyan gyártó, aki egy nem luxus (értsd ez alatt, hogy nem gyémántokkal kirakott, aranybevonatú, kristályokkal díszített, limitált kiadású) okostelefont 1000 dollárnál drágábban értékesít. Vagyis a 300 ezer forintot súrolja az alapkészülék ára, a mobilszolgáltatók esetében is a támogatott árú készülékért esetenként 250 ezer forintot is elkérnek. Ezt az összeget (ami egyébként egy strapabíró laptop ára) nem mindenki képes vagy akarja kifizetni, így érdemes megfontolni a használt okostelefonok vásárlását. A régebbi modellek egészen kedvezményesen vásárolhatók meg, de azért érdemes pár kérdést feltenni, mielőtt kezet rázunk az üzlet felett.
Lopott vagy sem a készülék?
A mobiltelefonok IMEI számuk alapján egyedileg azonosíthatók. A weben léteznek olyan keresők, ahol az IMEI szám alapján nézhetjük meg, hogy a telefon lopott vagy sem. Azonban ezek az oldalak úgy működnek, hogy az IMEI szám akkor kerül be az adatbázisba, ha azt a tulajdonos bejelenti – többnyire az amerikai fogyasztók élnek ezzel a lehetőséggel. A hazai mobilszolgáltatóknál nincs egységes, a lakosság számára elérhető nyilvántartás a lopott készülékekről – annak ellenére, hogy a SIM kártya tiltása miatt a legtöbb tulajdonos bejelenti, ha ellopták készülékét.
Szóval, hiába az IMEI szám, ha nem igazán tudunk kezdeni vele semmit. Ennek ellenére, a régi tulajdonostól még vásárlás előtt, online egyezkedéskor elkérhetjük a készülék IMEI számát, ha vonakodik megadni, akkor gyanakodhatunk, hogy valami nincs rendben a készülékkel.
Hálózatfüggő vagy sem a telefon?
A mobilszolgáltatók saját hálózatukhoz láncolják azokat a telefonokat, melyeket kedvezményesen értékesítik. Ebben az esetben mind a két fél jól jár: a fogyasztó olcsóbban jut hozzá a kiszemelt készülékhez, a szolgáltató viszont két évre biztosan fizető ügyfelet kap. A hűségszerződés lejárta után minden szolgáltató ingyen függetleníti a készüléket, feltéve, ha azt az előfizetést megkötő személy kéri. A második vagy harmadik tulajdonosnak már csak a törvénytelen és a telefont valószínűleg tönkre tévő alternatívák maradnak – hacsak nem sikerül felkutatnia az első tulajdonost, majd elrángatni őt egy ügyfélszolgálatra.
Ezért vásárlás előtt érdemes kérni a telefon függetlenítését, még akkor is, ha ugyanazon a hálózaton tervezzük használni a készüléket. Ha a megunt telefont magunk is el szeretnénk adni (vagy csak gyermekünknek tovább passzolni), akkor nehezebben meg az eladás, ha szolgáltatóhoz kötött telefonról van szó. Előfordulhat, hogy a régi tulajdonosnak nem kell megjelennie az ügyfélszolgálaton, személyesen, elegendő egy meghatalmazást adnia az új tulajdonosnak – mindenképp érdeklődjünk az ügyfélszolgálaton a kikódolás pontos menetéről.
Minden adatot törölt az előző tulajdonos?
Az okostelefonok egy adott felhasználóhoz kötődnek, email címmel és jelszóval lehet belépni a készülékre – ha valamelyiket nem ismernénk, akkor használhatatlan a készülék. A régi és új tulajdonos érdeke, hogy a korábbi adatokat töröljük a készülékről, vagyis állítsuk vissza a gyári beállításokat. Ezt minden telefonnál megoldható, külön beépített menüpont van a telefonban erre.
Más az eset vállalati mobiltelefon, amikor a céges szabályzat, törvényi előírás miatt a készülékről az adatokat minősítetten és üres adatokkal felülírva kell törölni, ehhez a Datadestroy minden segítséget megad.
Érte vízkár a telefont?
Használt készülék esetében a telefon képernyőjén, hátoldalán található apróbb, nagyobb karcolások elvárhatók, ezek a mindennapi rendeltetésszerű használatból adódnak. Törött kijelzőnél vizsgáljuk meg, hogy a telefon kerete nem torzult esetleg az ütés-esés következtében. Amire azonban ezek a telefonok nagyon kényesek, az a vízkár, ami később jelentkező hibához is vezethet. Ha vízbe esett a használt okostelefon, akkor ezt jelzi egy telefon belsejében lévő elszíneződés – amit a gyártók pont a vízkár kiszűrésére építettek be a telefonba. Sok esetben a garanciális javítás is úszik, ha vizes lett a készülék belseje – ezt a vízjelző mutatja meg a javítást végző kollégának, de több telefonnál magunk is megnézhetjük ezt. Hogy pontosan hol, hogyan és mit kell nézni, az a megvásárolni kívánt telefont típusától függ.
Cseréljünk benne akkumulátort!
És ha már vásároltunk egy használt okostelefont, kedvező áron, érdemes még egy kis pénzt költeni rá és egy új akkumulátort venni belé – a régit biztos már alaposan leharcolta előző tulajdonosa.
Amikor egy fájlt vagy bármilyen adatot egyszerűen törlünk számítógépünkről, akkor a gyakorlatban csupán a rá vonatkozó hivatkozás törlődik. Ahhoz, hogy egy fájlt tényleg töröljünk, felül kell írjunk – ezért is szükség van a Data Destroy szolgáltatásaira.
Amikor a Windows vagy egyéb operációs rendszerben egy fájlt törölünk (és a Lomtárból is kidobtuk), akkor az operációs rendszer igazából nem törli magát az adatállományt, hanem csak a rá mutató hivatkozást, azaz az indexet. A fájlra mutató hivatkozás törlése után a rendszer használhatónak jelöli meg azokat a szektorokat, ahol a törlendő fájl, vagyis az adat található. A rendszer üres helynek érzékeli ezt a területe, úgy tünteti fel a fájlkezelő is. Tehát a rendszer szemszögéből a fájl nem létezik, az adatokat tartalmazó szektorokat pedig üresek.
Az operációs rendszer időtakarékosság miatt nem törli ténylegesen az adatokat. Ha az operációs rendszer azonnal törölné az adatokat, a művelet idegesítően sok időt venne igénybe.
Visszaállítás másik gépről
Az adat nem marad meg örökre a gépünkön. Maga az adat akkor törlődik, amikor az operációs rendszer egy új adattal felülírja az egyébként üresnek megjelölt, de lényegében hivatkozás nélküli információval telített szektorokat. Ez a sajátosság lehetővé teszi például a véletlenül törölt fájlok visszaszerzését. Ebben az esetben egy speciális szoftver megkeresi a kitörölt, de még a merevlemezen tárolt adatokat, és ha azokat semmi sem írta felül, akkor vissza is tudjuk azokat állítani. Ugyanez történik, amikor a merevlemez a konkurencia kezébe kerül, hiszen ők is próbálkoznak a törölt adatokat visszaszerzésével.
Arra figyeljünk, hogy mikor egy törölt fájlt szeretnénk visszaállítani, azonnal hagyjuk abban a munkát az adott merevlemezen. Ha új fájlokat másolunk a merevlemezre, netán telepítünk egy fájlvisszaállító alkalmazást, azzal felülírjuk az üres helyeket és a törölt adatok végleges elvesztését kockáztatjuk. Ezért visszaállítás előtt érdemes kivenni a számítógépből a merevlemezt, egy másik számítógéphez csatlakoztatni és ott állítsuk helyre az adatokat.
A csere nem egyenlő minősített törléssel
A régi géppark cseréje, a számítógépek leselejtezése nem jelent egyet az adatok szakszerű, minősített törlésével. Legjobb esetben a rendszergazda törli az adatokat a gépről, de gyakran nem írja felül őket, ugyanakkor nem születik dokumentáció az adatok megsemmisítéséről sem.
A használt számítógépek, laptopok gyakran érzékeny adatokat tartalmazó merevlemezekkel kerülnek a vállalaton kívülre – akkor jutottak jó helyre, ha minősített adattörléssel, szakszerű számítógép újrahasznosítással foglalkozó cégnél landolnak. Sajnos, gyakoribb az eset, amikor úgy cserélnek gazdát, hogy az adatok még mindig a gépen vannak és amint a fenti példából a látható, a törölteket is könnyen vissza lehet állítani.
SSD esetében minden más
Noha a merevlemezek eléggé elterjedtek, az utóbbi időben helyettük a gyorsabb működést lehetővé tévő SSD-ket is használják adattárolásra. A modernebb SSD-ket már eleve új építették fel, hogy törléskor az adatok valóban eltűnnek – így az SSD élettartama hosszabb lesz. Minősített, vagyis minden lépést dokumentáló adattörlésre azonban a merevlemezek és az SSD-k esetében is szükség van a törvényi megfelelőség miatt.
Miközben minden cégnek a saját adata a legfontosabbak, nem kell túlbiztosítani a dolgokat és minden alkalommal megsemmisíteni magát az adathordozót – elég a minősített adattörlés is. Arról nem is beszélve, hogy ebből maga az adattulajdonos és környezetünk is profitálhat.
Ahogy mindenkinek a saját gyermeke a legügyesebb, úgy minden vállalat számára a saját adatok a legfontosabbak. Az emberek is különböznek egymástól, így abban is egyetérthetünk, egy titkosszolgálati információ sokkal több embernek fontos, kiszivárogtatása, elvesztése nagyobb kockázattal jár, mint például az öt évvel ezelőtti vállalati ügyféllista.
Ennek megfelelően az adatot és az adathordozót védő szabályzatok is különböző előírásokkal biztosítják, hogy az a bizonyos információ nem kerül az ellenség vagy a konkurencia kezébe. Munkám során jártam olyan helyen, ahol az adathordozó még azt az irodát sem hagyhatja el, ott kell helyben szétszedni és fizikailag megsemmisíteni a merevlemezt, ahol az információ megszületett. És megértem, mert sok forog kockán.
Az utóbbi időben rengeteg vállalati megkeresést is kaptunk, hogy segítsünk szakszerűen megsemmisíteni az adathordozót. Nem utasítottunk és ezentúl sem utasítunk el egyetlen felkérést sem, hiszen az üzlet az üzlet. De nem tudom szó nélkül hagyni, hogy nagyon sok esetben a cégek túllőnek a célon, ágyúval próbálják lövöldözni azt a picinyke verebet. Vagyis az információ nem igényli az adathordozó teljes megsemmisítését, mégis ehhez hasonló szolgáltatást kérnek tőlünk.
A felhő technológia korában nagyon sok cégnél kliens állomásokon dolgoznak, ahol az adatok egy belső, erős IT biztonsággal védett rendszerben találhatóak meg – a kliensgépen pedig semmilyen vállalati adatot sem tárolnak. Ebben az esetben is nekünk fájó szívvel kell megsemmisítenünk fizikailag az adathordozót, mert a vállalati szabályzat ezt írja elő, mert az ügyfél, azt gondolja, így lesznek biztonságban adatai. Nem elégednek meg az adatok minősített törlésével – teljesen feleslegesen.
Pedig maga a vállalat, a környezet és mi is, mint a szolgáltatást nyújtó vállalat is jól járnánk a minősített adattörlés választásával. Az esetek többségében a minősített adattörlés költségeit maga az adathordozó fedezné. Sőt, még mi fizetnénk az adathordozóért, ha a vállalat adatsemmisítés után eladná nekünk. És a környezeti hatásról még nem is beszéltünk, hiszen ezt az merevlemezt már nem kell szétrombolni, a fém- és műanyag hulladékkal sem kell törődni. Az adathordozó új életet kezdhet a minősített adattörlés után.
Ezért arra biztatom a vállalatok IT vezetőit, nyúljanak bátran a vállalati szabályzatokhoz, gondoljanak saját zsebükre, de vegyék figyelembe környezetünket, és töröljék el a túlzó óvintézkedéseket, válasszák a minősített adattörlést bátran.
Munkám során rengeteg laptoppal, merevlemezzel, adathordozóval találkoztam, amelyekről távolról is lerítt, hogy rengeteg vállalati adat van rajtuk. Hogy ezek a gépek ilyen adatokkal hozzánk, a Data Destroy-hoz kerülnek, az a lehető legjobb dolog, ami velük történhetett.
Nekünk ez a feladatunk és hivatásunk: az ügyfelek reánk bízzák számítástechnikai eszközeiket, mi pedig titoktartásra kötelezett és elhivatott vállalkozásként mindent megteszünk, annak érdekében, hogy az adatokat a törvény előírásainak megfelelően, szakszerűen töröljük, megsemmisítsük. Vagyis, hogy minősített adattörléssel, adatmegsemmisítéssel biztosítsuk, hogy az adathordozókon található információk ténylegesen eltűnnek és nem kerülhetnek még akkor sem a konkurenciához, ha ők pénzt és energiát sem kímélnek azért, hogy hozzájuk férhessenek.
Nem tudunk minden elektronikai hulladéknak számító eszközt feldolgozni, hozzánk a hazánkban keletkező e-szemét töredéke kerül. De nem győzöm hangsúlyozni, adatokat egyszerűen törölni vagy titkosítva tárolni nem elegendő, ha valaki hozzájuk szeretne férni, megteheti.
A titkosítás sem elég!
Gyakran lehet olyan technológiákról, hibalehetőségekről olvasni, melyek lehetővé teszik, hogy az adatokhoz illetéktelenek hozzáférjenek. Azt hihetné például az informatikához valamennyit azért értő vállalatvezető, hogy a merevlemez adatainak teljes titkosításával ezt a feladatot megoldotta, nyugodtan aludhat éjjel, hiszen, ha el is lopják a számítógépet, az adatok biztonságban vannak. De sajnos rossz hírem van a titkosítás híveinek, ez sem feltétlen elég. Az F-Secure blogján nemrég olvastam egy olyan biztonsági hibáról, melynek kihasználásával a titkosításhoz használt kulcsok kinyerhetők a számítógépről. Szinte minden számítógépről.
Röviden és a technikai megoldást aprólékosan nem részletezve: ha egy támadó közel kerül a számítógéphez, netán ellopja, akkor a cold boot a titkosítási kulcsokhoz juthat. A cold boot akkor következik be, amikor egy számítógépet nem megfelelően zártak le, például menet közben kihúzták a fali csatlakozóból az áramkábelt. A számítógép egyik lapkájához egy külső mikrokontrollert drótoznak a támadók, újra indítják, majd egy USB-ről futtatott kis program segítségével kinyerik a memóriában tárolt titkosítási kulcsot. Persze, ahhoz, hogy a módszer működjön, szükség van átfogó IT tudásra, de ha valaki nagyon eltökélt, az internet segítségével hamar az adathordozó titkainak birtokában kerül.
A hibát tíz évvel ezelőtt fedezték fel, akkor próbálták foltozni a gyártók, de sajnos, csak annyit értek el, hogy picit nehezebbé tették az adatok feltárását. A Microsoft és a Apple is megerősítette ezen az operációs rendszer védelmet, de lehetetlenné nem tudták tenni. Ezért, a selejtezésre kerülő eszközökön tárolt adatok titkosított állapotban sem kerülhetnek illetéktelen kezekbe. Minősített adattörlés vagy megsemmisítés a garancia arra, hogy az adatok tényleg megsemmisültek. És pont.
A vállalatok gyakran találják magukat abban a helyzetben, amikor az adattörlés és adattárolás között kell választaniuk. Költségoldalról a minősített törlés egyszeri kiadást jelent, a tárolás nagyságrendekkel nagyobb, évente ismétlődő költséget jelent.
Amikor a vállalati adatvagyonról van szó, akkor a cégek lazán kezelik a dolgokat. Nem törődnek, hogy valóban szükség van az extra terabájtnyi tárhelyre, nem vizsgálják meg, hogy az értékes vállalati adatok foglalnak el olyan sok helyet, vagy az alkalmazottak személyes fotói, a letöltött filmek tárolására fizettünk elő újból az adattárolási szolgáltatásra.
Kritikus, RET és sötét adat
Pedig nagyon kifizetődő lenne alaposan átvizsgálni, hogy pontosan milyen adatokat is tárolunk a vállalat által bérelt tárhelyen. A Veritas által készített elemzés szerint a vállalati adatoknak három típusát különböztetjük meg: üzletileg kritikus adat, redundáns, elavult és triviális adat, illetve sötét adat. Az üzleti szempontból kritikus adatok a napi üzletmenet szempontjából és a vállalati siker biztosításához kellenek, ezeket kiemelten védeni kell, proaktívan menedzseljük őket.
A redundáns, elavult és triviális adat vagyis a RET adat több helyen egyszerre is fellelhető, duplikátumok léteznek belőle. A triviális adatoknak nagyon pici az értéke vagy egyáltalán semmilyen üzleti értéket nem képviselnek számunkra. A RET adatok mennyiségét proaktívan csökkenteni kell, vagyis őket rendszeresen vizsgáljuk őket felül, minősített megoldások vagy szolgáltatók segítségével töröljük.
A harmadik kategóriába tartoznak a sötét vagyis struktúrálatlan adatok, melyek értékét még nem sikerült megállapítani, nem tudjuk, pontosan mit is tartalmaznak, lehet üzletileg kritikus adat is közöttük, ahogy használhatatlan RET adat. Megfelelőség szempontjából ez a kategória nagyon veszélyes, mert olyan információk is megtalálhatók közötte, melyeket nem is lennénk jogosultak kezelni (ha személyes adatok vannak közöttük, a GDPR ezekre is kiterjedhet).
A rossz adatok mennyisége nő
Arányaiban a sötét adatokból van a legtöbb egy vállalaton belül, az adatok több mint felét nem ismerjük (52 százalék), a RET adatok az információk 33 százalékát teszik ki, míg csupán 15 százalékuk pontosan azonosított, strukturált üzletileg kritikus adat. A vállalatok viselkedése a RET és sötét adatok arányának növekedését segítik elő. A cégek nem érték, hanem mennyiség alapján terveznek az adattárolással, az alkalmazottak sincsenek tisztában azzal, hogy az üzleti tárhely nem személyes használatra való. A felhő alapú technológiák gyorsan terjednek, és az a hamis érzetünk keletkezhet, hogy a tárolás ingyen van – holott a szolgáltatásban főleg ezt árazzák be.
És ha mindeddig senki sem győződött meg arról, hogy a RET adatokat érdemes rendszeresen, minősített szolgáltató segítségével törölni, akkor a költséget hozzuk fel utolsó érvként. Az MIT tanulmánya szerint a rossz adatok a vállalat költségvetésének 15-25 százalékát is elvihetik. A Blancco költségkalkulátorával kiszámíthatjuk az általunk tárolt adatmennyiség ismeretében, mennyit spórolhatunk az adatok minősített törlésével. Hogy konkrét példa is legyen: 10 terabájt esetén három évnyi tárolással számolva 1,2 millió forint a megtakarítás
Odafigyeléssel, apró, beidegződött szokások megváltoztatásával is sokat tehetünk környezetünk védelméért. Összeállításunkban hat tippet adunk arra vonatkozóan, hogy mire is figyeljünk.
A tudósok vitatkoznak azon, hogy tehetünk-e még bármit Földünk megmentése érdekében vagy visszafordíthatatlan folyamatok indultak el ezen a területen. A vita kimenetelétől függetlenül, vállalkozásként feladatunk környezetkímélő módon tevékenykedni, hiszen a Földet csak kölcsönbe kapjuk használatra, felelősségünk, hogy unokáink számára megőrizzük minél jobb állapotban. Néha befektetés kell annak érdekében, hogy környezetkímélő módon dolgozzunk, ám gyakoribb, hogy csupán odafigyeléssel, szokásaink megváltoztatásával máris sokat tehetünk ezen a téren.
1. Támogassuk a távmunkát
Nemcsak a környezetet kíméljük a felesleges kipufogógáztól, hanem alkalmazottjaink is boldogabbak lesznek, ha támogatjuk a távmunkát. Nem kell teljesen távmunkában dolgoznia mindenkinek, elegendő, ha 2-3 napot a héten erre a munkaformára szentelünk. A kutatások szerint a munkavállalók körében elvárt juttatásnak számít a távmunka, a home office-ból való dolgozás lehetősége, ha egy munka 100 százalékban távolról végezhető, nos az már csak a hab a tortán.
2. Utazás helyett Skype
Nem kell mindig utazni, ahhoz, hogy szemtől-szemben beszélgessünk üzleti partnereinkkel. A Skype, Facetime, Google Hangouts videós csevegő alkalmazások korában a kapcsolattartás rendkívül egyszerű és közben személyes is marad. Az első kapcsolatfelvételkor természetesen a személyes találkozás elkerülhetetlen, de miután kialakult a bizalmi kapcsolat a videós megoldások jó szolgálatot tesznek.
3. Használjunk felhőszolgáltatásokat!
Minek saját szervert vásárolni és üzemeltetni, mikor gazdaságosabb és környezet kímélőbb, ha virtuális szolgáltatásként vesszük igénybe az üzletmenetet támogató információ-technológiai infrastruktúrát. A felhőszolgáltatások már kiléptek a gyermekcipőből, megbízhatóságuk magas, a gyorsan változó IT környezetet pedig helyettünk követik. Nekünk csak használni kell a bérelt szolgáltatást, miközben nem kell energiazabáló szervereket vásárolni, fenntartani. És az infrastruktúrát karbantartó szakembereket is megspórolhatjuk.
4. Ésszel cseréljük az IT eszközöket
A számítástechnikai, elektronikai eszközök nem időálló befektetések, a gyors fejlődés következtében a két-három éves laptop elavultnak számíthat. Nem kell minden áron cserélni. A memóriakapacitás bővítésével, a merevlemez SSD-re történő cseréjével megnövelhetjük gépünk élettartamát, miközben a teljesítménye is érezhetően javul. Ha az előírások mégis a cserére köteleznek, akkor ehhez szakosodott vállalat segítségét kérjük. A szigorú adatvédelmi rendelet (GDPR) miatt számítógépet leselejtezni csak minősített adattörléssel egybekötve lehetséges. Az erre szakosodott, a DATA Destroy Kft.-hez hasonló cégek nemcsak szakszerűen megnövelik a leselejtezett gépek élettartamát, hanem minősített adattörlési szolgáltatással segítenek vállalatunknak messzemenően betartani a rendeletet.
5. Gyűjtsük szelektíven a szemetet
A legkisebb vidéki településen működő vállalat esetében is megoldható már, hogy a szelektíven összegyűjtött szemetet szelektíven dolgozzák fel az erre szakosodott cégek. Néha irodai környezetben erre nem figyelnek, de ha megoldható, a zöld hulladékot se dobjunk ki, hanem komposztáljuk, forgassuk vissza a természetbe. Odafigyelés, nevelés, kultúra kérdése. Megéri a befektetett energiát, mert ezzel alkalmazottjainknak is példát mutatunk, akik hazaviszik ezeket a jó szokásokat.
6. Helyi beszállítóktól vásároljunk
Amikor helyi beszállítótól, termelőtől vásárolunk, akkor nemcsak a lokális gazdaságot támogatjuk, hanem a szállítási költségeket, az így keletkező káros anyagokat is megspóroljuk. Nagy valószínűséggel olyan termékekhez jutunk, melyeket környezetkímélő módon termesztettek, kevés vagy nulla műtrágya, permetezőanyag használatával – egyszerre több piros pontot is szerezhetünk környezetvédelem területén. Nyilván, a vendéglőket üzemeltető vállalatoknak könnyebb helyi termelőtől vásárolni, mint az irodát működtető ügyfélszolgálatnak helyben gyártott papírt beszerezni. Ahol mód van rá, a helyi gazdákat, termelőket részesítsük előnyben!
Az idén májusban életbe lépő GDPR egy adatvédelmi felelős kinevezését írja elő. Ezt az új feladatot meglévő alkalmazott is elláthatja, azonban a rendelet különleges jogokkal, kötelezetségekkel ruházza fel.
A General Data Protection Regulation, közismertebb nevén a GDPR egy új munkakör létrehozását írja elő azoknál a vállalatoknál, akikre a rendelet vonatkozik. Ez az új munkakör a belső adatvédelmi tisztviselő (Data Protection Officer – DPO). A DPO szerepköre mindig az adott társaság szervezetén belül, és a társaság által ellátott tevékenységgel összhangban értelmezendő, így a GDPR-ban lefektetett elvárások mellett (lásd keretes írásunkat) egyéb szektor vagy társaságspecifikus elvárások is felmerülhetnek. A DPO számára a feladatok és a kötelezettségek teljesítése nem eredményezhet összeférhetetlenséget, vagyis biztosítani kell cégen belüli függetlenségét.
Ez a függetlenség a gyakorlatban azt jelenti, hogy a DPO-nak a kötelezettségeit és feladatait mind a cégtől, a vezetéstől, és az érintettektől függetlenül kell ellátnia. Az adatvédelmi tisztviselő nem lehet olyan pozícióban, hogy határozzon a személyes adatok kezelésének céljáról és eszközeiről. A GDPR nem nevesíti, de a gyakorlatban így kizártak a szenior menedzseri pozíciók (vezérigazgató, ügyvezető, pénzügyi, egészségügyi, marketing, HR, IT vezető) vagy bíróság előtti képviselet adatvédelmi ügyekben.
Védett munkatársak
Az DPO az adatvédelmi kötelezettségek teljesítésének elsőbbsége, nem pedig a vállalati érdekek elsőbbsége alapján jár el, ezért külön védelem illeti meg. A társaságnak biztosítania kell, hogy az adatvédelmi felelőst megfelelően, időben bevonja valamennyi adatvédelmi probléma kezelésébe, de ugyanakkor azt is szavatolnia kell, hogy nem kap utasítást feladatai teljesítése tekintetében. Nem utasítható például, hogyan végezze az adatvédelmi vizsgálatot, milyen eredményt érjen el stb. De feladata, hogy segítse az adatvédelmi hatóságokat munkájukat megkönnyítse, információszerzést elősegítse.
Védettsége miatt az adatvédelmi tisztviselő feladatai ellátásával összefüggésben nem bocsátható el és nem szankcionálható, közvetlenül a menedzsment szintnek jelent (például igazgatóság) és személyében nem felelős. Az adatvédelmi felelősség, így a bírságok megfizetése is, a társaságot terheli. A DPO számára szükséges erőforrások és információk rendelkezésre bocsátásáért a társaság felel – ha ezt elmulasztja, felelősségre vonható. Erőforrás például: aktív támogatás a szenior menedzserek által (igazgatóság), szükséges idő a feladatok elvégzéséhez, pénzügyi források, infrastruktúra (helyiség, felszerelés és beosztottak), folyamatos képzés – a naprakész tudáshoz
Szakmai hibák esetén az adatvédelmi tisztviselő elméletileg felelősségre vonható, a GDPR ezt nem szabályozza. A rendelet szerint a DPO-tól elvárható a „szakmai rátermettség és az adatvédelmi jog és gyakorlat szakértői szintű ismerete”. A gyakorlatban ez a következőket jelenti: az EU-s és magyar adatvédelmi jog, hatósági iránymutatások, bírósági gyakorlat és szektor-specifikus gyakorlatok ismerete, alapvető adatbiztonsági és IT folyamatok ismerete, a vállalat szervezetének és tevékenységeinek, üzleti környezet ismerete és adatvédelmi képzéseken való rendszeres részvétel.
Új ember vagy régi ember?
Meglehetősen behatárolt, kit lehet cégen belül DPO-nak kinevezni. A GDPR megfelelési projekt fontos eleme, hogy az adatvédelmi tisztviselő tevékenységét részletesen szabályozzák a munkaszerződésben, megbízási szerződésben, munkaköri leírásban, a tevékenységével kapcsolatos belső eljárásrendben. Ezért praktikusabb új embert felvenni erre a pozícióra, nála az jelenti a kockázatot, hogy nem ismeri megfelelően a társaság belső működését. Az adatvédelmi tisztviselő tevékenységét ki is lehet szervezni, például adatvédelemre szakosodott ügyvédi irodának. Ez akkor indokolt, ha nincs annyi adatvédelmi ügy, amiért egy teljes pozíciót fenn kellene tartani.
Több dudás
Ha az adatvédelmi feladatok nagysága indokolja, több DPO is kinevezhető. A GDPR arra is lehetőséget ad, hogy egy vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelöljen, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető az adatvédelmi hatóságok, a társaság alkalmazottai, és az egyéb érintetek (például a társaság ügyfelei) számára. Az elérhetőség alatt fizikai személyes vagy biztonságos hotline-on keresztüli elkérhetőséget értünk, hogy például last minute megbeszéléseken is részt tudjon venni. Az adatvédelmi felelőssel szemben nyelvi követelmények is lehetnek, ismernie kell a felügyeleti hatóság, egyének által beszélt nyelvet.
Megfeleltető és tanácsadó egyszerre
Az adatvédelmi tisztviselő nem kizárólag compliance jellegű feladatokat lát el, hanem az adatvédelmi tanácsadásban már a kérdések felvetésében is részt vesz. Ez azt jelenti, az adatvédelmi gyakorlatot nemcsak ellenőrzi, hanem orientálja is. Szakmai véleménye kiemelten fontos, adott esetben döntő jelentőségű lehet. Ha az adatvédelmi biztos tanácsaival nem ért egyet a vállalat, akkor azt célszerű megfelelően dokumentálni a felelősségi körök azonosítása érdekében.
A DPO feladatai
A GDPR szerint az adatvédelmi tisztviselőnek a következő feladatai adódnak
Tájékoztat és szakmai tanácsot ad a társaság és az adatkezelést végző alkalmazottak részére a GDPR és egyéb adatvédelmi jogszabályok szerinti kötelezettségeikkel kapcsolatban;
Ellenőrzi a GDPR-nak, az adatvédelmi jogszabályoknak, és a társaság személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést. Ide tartozik például: feladatkörök kijelölése, az adatkezelési műveletekben vevő személyzet tudatosság-növelése és képzése, valamint a kapcsolódó auditok;
Kérésre szakmai tanácsot ad a GDPR szerinti, nagyobb kockázatú adatkezelések esetén kötelező adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
Együttműködik az adatvédelmi felügyeleti hatósággal; és
Adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál az adatvédelmi felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
GDPR tanácsadással, Adatmegsemmisítéssel és IT selejtezéssel kapcsolatban keressen minket!
Nem kell az adathordozót fizikailag megsemmisíteni ahhoz, hogy a véglegesen és biztonságosan megszabaduljunk adatainktól. A minősített adattörlés választásával költséghatékony és környezetbarát módon szabadulunk meg az adatoktól.
A magyar vállalati kultúra kellőképpen érett ahhoz, hogy az üzleti döntéshozók megértsék, az üzleti adatokkal valamit kezdeni kell. Miután feldolgoztuk, elemeztük és átforgattuk őket a tárolás osztályrésze jut nekik. Arról már korábban írtunk, hogy esetenként az adattárolás költsége magasabb, mint az egyszeri minősített adattörlés. A törvényi szabályozás miatt vannak olyan adatok, melyeket nem tárolhatunk örökké, azokkal valamit kezdenünk kell. De ha a tervek szerint selejtezett számítógépek adathordozóira gondolunk, az is munkát ad nekünk adatkezelés terén.
Szerencsére a GDPR és a törvényi kényszer hatására a cégek megértették, miért kell az adatokat korszerűen, minősített módon megsemmisíteniük. Az viszont nem mindegy, hogy az adat megsemmisítésnek milyen módját választják a cégek. És mi közül választhatnak: a minősített adattörlés és az adathordozó fizikai megsemmisítése a két lehetséges opció (na jó, vagy egy harmadik út is, amikor egy nagy tüzet rakunk a vállalat udvarán és elégetjük az adathordozót, de ezt nehezen tudjuk dokumentálni, arról nem is beszélve, hogy veszélyes és komolyan szennyezi a környezetet).
Mikor zúzzuk szét az adathordozót?
Ebben az esetben a helyszínre megyünk, hordozható megsemmisítő berendezésünket magunkkal visszük. Azt is gyakran előírják, hogy milyen vastagságú szeletekre kell felvágni az adathordozót. A kisebb vastagságú csíkokból nehezebben rekonstruálható az eredeti adathordozó, bár a nagyobb csíkok esetében is sziszifuszi munkát és óriási erőfeszítést igényel a rekonstrukció. Az esetleg ily módon helyreállított adathordozóból a digitális adatok visszanyerése egyébként lehetetlen.
Az adathordozó fizikai megsemmisítése tehát a fizikai, látható bizonyítéka annak, hogy az adatok biztosan és helyreállíthatatlanul eltűntek. Míg sok cégvezetőnek ilyen fajta bizonyosságra valóban szükség van, a vállalat szempontjából indokoltabb és költséghatékonyabb, ha a minősített adattörlést választjuk.
Mikor válasszuk a minősített adattörlést?
A minősített adattörlés azt jelenti, hogy dokumentáltan, az adatokat felülírva töröljük üresre az adathordozót (az adatok felülírásának szükségességéről egy korábbi bejegyzésben már részletesen írtunk). Az adathordozó fizikailag nem semmisül meg, így használtan el lehet adni – akár alkalmazottjainknak, de mi is nyitottak vagyunk az üzletre.
Legtöbb esetben a minősített adattörlés költségét maga az adathordozó értéke állja, de olyan esetek is vannak, amikor még pluszban fizetünk is az adathordozóért. Vagyis amellett, hogy a vállalat környezetbarát, minősített módon töröli adatait, még plusz jövedelemhez is jut.
A minősített adattörlés esetében nem keletkezik elektronikai hulladék, amit kezelni kell és amitől szakszerűen meg kell szabadulni. Az adathordozót magába foglaló laptop vagy számítógép új életet kezd, így megóvtuk környezetünket a felesleges elektronikai hulladéktól. Környezettudatos cégként mindenképp vizsgáljuk felül szigorú szabályzatunkat, ha az az adathordozó fizikai megsemmisítését írja elő.
A Blancco saját kutatása ijesztő adatokat mutat ezen a téren. Az adattörlés piacán vezető cég szakértői online piacterekről vásároltak 120 használt merevlemezt és mobil eszközt. A használt merevlemezek 48 százalékán találtak felhasználható adatot. A mobileszközök 40 százaléka pedig több ezer email üzenetet, SMS-t, azonnali üzenetet, híváslistát, fotókat és videókat tartalmazott. Az uniós döntéshozók megalkották az egységes európai adatvédelmi törvényt, amely kezeli a tarthatatlan helyzetet. (tovább…)
Az elmúlt évben az Európai Unió új adatvédelmi rendeletével érintett vállalatok közel fele kapott az ügyfeleitől adattörlési kérelmeket, több mint 40 százalékuk még nem alakította ki a megfelelő törlési és dokumentációs eljárásokat.
Legyen hazai kis-, közepes és nagyvállalat, közigazgatási szervezet, az unión belül adatokat kezelő vagy feldolgozó európai szervezet és vállalat, ha uniós állampolgárok adatait kezelik vagy dolgozzák fel, akkor az Európai Unió új adatvédelmi rendelete kiterjed rá és jelenleg is hatályos.
Az Európai Parlament tájékoztatása szerint az új adatvédelmi szabályokkal olyan egységes uniós rendszer születik, amely lehetőséget biztosít az internetezőknek arra, hogy önmaguk döntessenek arról, milyen személyes adatokat akarnak (tovább…)
Két év múlva lép életbe az egységes európai adatvédelmi rendelet, amely számos új feladatot ró a Nemzeti Adatvédelmi és Információszabadság Hatóságra. „Az új rendelethez harmonizálni kell az EU-tagállamok eljárási szabályait, ennek érdekében (tovább…)
