Ha már ismerjük milyen adatok keletkeznek vállalatunkban, tudjuk, milyen életciklusok jellemzőek rájuk, akkor érdemes (és a rossz hírünk az, hogy a legtöbb vállalatnál kötelező) egy adatvédelmi szabályzatot elkészíteni.
Az Amerikai Egyesült Államokban már nem ritka, hogy az adatgazdag vállalatoknál chief data officert vagy adatbiztost neveznek ki. Az európai államokban az adatvédelmi rendelet, vagyis közismert nevén GDPR adatvédelmi biztos (data protection officer) kinevezését írja elő (a témával egy korábbi blogbejegyzésünkben foglalkoztunk bővebben). Így vagy úgy, nem odázhatjuk el annak az embernek a kinevezését, aki a vállalati adatokért és azok biztonságáért felelős.
Ennek az adatbiztosnak a feladata összefogni a vállalati adatok életciklusának megfelelő adatvédelmet. A vállalat különböző részlegei más-más szemszögből tekintenek az információra: az IT csapat feladata tipikusan az adatbiztonság, a jogi osztály kockázatkezelés, megfelelőség szemszögéből foglalkozik velük, míg a többiek csak ontják magukból az adatokat, használják, megosztják őket. Az adatvédelmi szabályzat, mely a GDPR hatálya alá eső vállalatoknál kötelező, az adatokkal és kezelésükkel kapcsolatos tennivalókat foglalja össze. A GDPR ebben a tekintetben előírja, hogy milyen információkat kötelező ebbe a szabályzatba összefoglalni. A teljesség igénye nélkül ezek a következők:
Milyen célból és milyen adatokat gyűjtünk
Ehhez az adathoz ki fér hozzá, mint adattulajdonos és adatkezelő egyaránt
Ki az adatkezelő, ki az adattulajdonos, pontosan kinek milyen feladata van
Hogyan osztályozzuk az adatokat
Az adatokat hogyan védjük életciklusok során
Hogyan semmisítjük meg az adatokat életciklusok végén
Az adatvédelmi szabályzat mellett érdemes időt szánni egy olyan vészforgatókönyv kidolgozására, mely adatszivárgás, adatvesztés esetén lép életbe. Ennek a forgatókönyvnek konkrétan kell tartalmaznia az egyes lépéseket, melyeket vész esetén követnünk kell: kiket és milyen sorrendben riasztunk incidens esetén, ki fogja össze az incidensre válaszoló csapatot, honnan állítjuk vissza az adatokat, hol található a biztonsági mentés, ki végzi el az adatvisszaállítást, a vállalaton kívül kit és hogyan kell értesíteni az incidensről, ki nyilatkozhat a sajtónak a történtekről.
Ha megvan a vészforgatókönyv, akkor a tűzriadóhoz hasonlóan érdemes legalább egyszer évente a gyakorlatban is kipróbálni, hogy egyáltalán működik az elméleti elképzelés. Nemcsak azt tudjuk lemérni, hogy mennyi időre van szükség az adatok visszaállításához és a vállalat akadálytalan működéséhez, hanem az esetleges hiányosságokra is fény derül – így a kézikönyvet tovább pontosíthatjuk.
Minél több információt menedzselünk, annál nagyobb kockázatnak tesszük ki vállalatunkat. Az adatvezérelt üzleti világban érdemes tisztában lenni, milyen vállalati adataink vannak, és életciklusuknak megfelelően meddig érdemes őket tárolni, hogyan lehet biztonságosan és minősítetten törölni őket.
Négy évvel ezelőtt igazán nagyot szólt a Sony esete, amikor az észak-koreai rendszer által felbérelt hackerek egy B-kategóriás komédia miatt megtámadták a vállalat rendszereit, feltörték azokat és rengeteg információ került napvilágra. A kiszivárgott filmek mellett sokkal nagyobb reputációs kárt okozott a napvilágra jutott levelezés. Ebből ugyanis kiderült például, hogy a filmstúdió másodrangúnak tartotta a női filmsztárokat, és ehhez mért gázsit is adtak nekik – holott gyakran több profitot hoztak a cégnek, mint férfi társaik.
Ezek az információk olyan levelekből derültek ki, melyeket jobb lett volna, ha időben törölnek a vállalati szerverről, a biztonsági mentésekből, a biztonsági mentések másolataiból. Mert így egy sikeres támadás után sem látták meg volna a napvilágot.
A vállalatok féltve őrzik adataikat, holott egy bizonyos idő eltelte után, például a törvényi kötelezettségek lejártával sokkal jobban tennék, ha minősítetten megszabadulnának tőlük.
Milyen adatokat tárol a vállalat?
A Blancco friss esettanulmánya (ingyenes regisztráció után angolul elérhető) három féle vállalati adatot különböztet meg. Persze, a vállalat tevékenységétől függően ezen adatok köre tovább bővülhet. Az ügyféladatok tartalmazzák a GDPR hatálya alá eső személyes adatok döntő többségét, mint neveket, címeket, számlaszámokat, pénzügyi adatokat, rendelési tételeket – vagyis mindent, amit ügyfelünkről tudhatunk. A személyes adatok közé tartoznak az egészségügyi adatok is, de ezek csak az egészségügyi szolgáltatóknál jelennek meg.
A második kategóriába esnek az alkalmazottakra vonatkozó adatok, amely a személyes adatok mellett tartalmazza a fizetésre és a teljesítményre vonatkozó információkat is. Egyes cégeknél egészségügyi adatokat is tárolnak, de ez egészen ritka.
A harmadik kategória a vállalati adat, ami a know-how-t, a különböző kutatási és fejlesztési információkat, terveket, marketing és értékesítési stratégiát tartalmazza, de kiterjed az ügyféllistákra is, pénzügyi eredményeket tartalmaz, belső kommunikációt is bele kell érteni. Az utóbbi időben egyre növekvő mértékben az IoT adat is a vállalati adat része: az érzékelőkből, szenzorokból származó nyers adatokról van szó, legyen szó az ellátási láncról, ipari berendezésekről vagy más tevékenységekről.
Ezek az adatok mind-mind egy adatszivárogtatás célpontjai, legyen a kiszivárogtató egy belső alkalmazott, külső partner vagy a hálózatunkba beférkőző hacker. De nem kell feltétlenül csak a rosszra gondolni, hanem elég például egy átvilágításra, auditra: minél több a feleslegesen tárolt adat, annál lassabb ez a folyamat és annál nagyobb a kockázata, hogy nem felelünk meg egy adott előírásnak, szabványnak.
Ezek az adatok életciklusai
Az adatot életciklusa szerint érdemes kezelni a vállalaton belül. Hat különböző fázist különböztethetünk meg: adat létrehozása, adat mentése, adat használata, adat megosztása, adat archiválása és adat megsemmisítése. Hogy pontosan milyen tevékenységre, milyen jellegű adatmenedzselésre van szükség az egyes fázisokban, azt két következő blogbejegyzésünkben tárgyaljuk.
Könnyű helyzetben vannak a nagyobb vállalatok, ahol ütemezetten, 3-6 évenként cserélik a teljes gépparkot. A kisebb vállalatoknál vagy a magánszemélyek esetében azonban a gépcserével járó kiadás nem mindig finanszírozható, ezért érdemes a gép elavulásához kötni annak cseréjét.
A következő kérdés önmagától adódik: mikor számít elavultnak a számítógép vagy a laptop?
Új operációs rendszer jelenik meg
Ha csak azért, mert egy újabb operációs rendszert adtak ki, nem érdemes cserélni. Az új operációs rendszerek legtöbb esetben a régebbi számítógépeken is működnek, így gond nélkül frissíthető a rendszer – a gép cseréje nélkül. Ha a legújabb operációs rendszer már nem működik számítógépünkön és a biztonsági frissítések ideje is lejárt, az már egyértelmű jele annak, hogy érdemes új számítógép után nézni. A biztonsági sérülékenységek kijavítása nélkül előbb vagy utóbb hackertámadás áldozatai lehetünk, amikor adataink épségét is kockáztatjuk.
Lassú a gépem
Az új operációs rendszer, az állandó frissítések, a vírusvédelmi megoldás mind-mind lassíthatja a gépet. Ahogy az sem a sebességet javítja, ha nincs elegendő üres hely a gépünkön. Először meg kell nézni, mi okozza a lassulást, nincs esetleg egy vírusfertőzés a háttérben? Ebben az esetben sem kell rögtön gépet cserélni: sokat javít a teljesítményen, ha új processzort vásárolunk, bővítjük a memóriát, netán a merevlemezt lecseréljük a gyorsabb SSD-re. Ezek kisebb kiadások, mellyel megnövelhetjük gépünk teljesítményét és használati idejét pár évvel.
Nincs elég hely a merevlemezen
A helyhiányon lehet a legkönnyebben segíteni: a merevlemezt SSD-re cseréljük (és ezzel a gyorsaság is megnő) vagy nagyobb kapacitású merevlemezt szerzünk be. Nyilván, senki sem akar operációs rendszert migrálni, így a legkézenfekvőbb megoldás, ha egy USB-re csatlakoztatható merevlemezbe vagy SSD-tbe fektetünk bele.
Eltört a laptop képernyője
A laptop képernyője kényes dolog, nem szabad gyermekek közelében hagyni – a családban nálunk legutóbb úgy tört el egy képernyő, hogy a gyerkőc ráült. A laptopok képernyőjét könnyű cserélni, erre rengeteg oktatóvideó található az interneten.
Rossz az akkumulátor
Az akkumulátor cseréje is egyszerű dolog és nem érdemes az egész gépet kicserélni csak azért, mert 15 percnél többet nem bír áram nélkül. Érdemes szakszerviz segítségét kérni, mert ott a régi, veszélyes hulladéknak minősülő akkumulátort szakszerűen selejtezik le.
Nem tölti az akkumulátort
Leggyakrabban a kábel a gyenge pontja a töltési hibáknak, mert megtöredezett, rosszul érintkező szálakról van szó. A kábelt is könnyű cserélni, mi több relatíve olcsó beszerezni.
Nyilván, ha egy számítógép összes fentebb felsorolt hibája jelentkezne, akkor nem érdemes a pót alkatrészekkel bajlódni. Ez már annak az egyértelmű jele, hogy itt az ideje új gépet vásárolni. És ekkor sem muszáj egy új gépet vásárolni, nagyon jó minőségű használt laptopok érhetőek el a piacon. Ha nem vagyunk nagy játékosok és nem kell szöveget írni, akkor otthoni használatra, filmnézésre, zenehallgatásra, internetezésre kényelmesebb lehet egy tablet.
Minden esetre, mielőbb régi számítógépünket netán laptopunkat elvinnénk a szeméttelepre, győződjünk meg, hogy minden adatot lemásoltunk az adathordozóról. Ha a merevlemezt is ki szeretnénk dobni, előtte töröljük le az adatokat és írjuk át a merevlemezt, hogy később senki se tudjon az adatokhoz hozzáférni. Ha vállalkozásként nagyobb mennyiségű számítógépet cserélne le, hívja a DataD munkatársait a szakszerű segítségért!
Van olyan munkahely, ahol
eltűrik a saját eszköz használatát vállalati célra, van olyan, ahol ezt kérik
és létezik olyan is, ahol a céges telefon és laptop biztosításában látják a
könnyen menedzselhető mobilflotta garanciáját. Minden esetben,
tulajdonosváltáskor az adatokat érdemes akkor is minősítetten törölni, ha cégen
belül marad az eszköz.
Egy nagy biztosítónál dolgozó
ismerősöm legújabb iPhone-jával dicsekedett a minap, amit nem saját zsebből
vásárolt meg, hanem a vállalat biztosított számára. Nem kell egy drága darabra
gondolni, egy vagy két verzióval van elmaradva a kezében lévő készülék a
legújabb modelltől – érthető módon a vállalat egy kipróbált, érett készülék típust
részesített előnyben. Ismerősöm korábban a saját almás készülékéről használta a
céges levelezést is, de csak feltételekkel tehette: például kötelező volt
jelkódot beállítania.
Hozd a saját eszközöd!
Ismerősöm esete egy régóta jelen lévő jelenségre irányította újra a figyelmemet, ami angol nyelven a Bring Your Own Device (BYOD) vagyis hozd a saját eszközöd elnevezést kapta. Az emberek hamarabb vásároltak maguknak okostelefont, mint ahogy kaptak volna a vállalattól. Ezen a saját okostelefonon keresztül szerették volna elérni nemcsak a magán, hanem a céges levelezést is, a céges rendszereket. A vállalatok pedig szerették volna a cég keretein belül tudni adataikat, ezért hosszú időn át ellenálltak és tiltották a saját eszköz céges jellegű használatát.
Végül beadták a derekukat és
feltételekkel ugyan, de engedélyezték a BYOD eszközök használatát. Mert látták,
hogy ettől boldogok az alkalmazottak. És hogy hiába a tiltás, ha egyszer
kipróbálják a kényelmes, távmunkát, akkor nincs visszaút, büntetésként élik meg
a munkatársak a lehetőség eltörlését. Addig sok mindent tanultak és okosodtak a
vállalatok is, és rájöttek, hogy ellenőrzött módon ugyan, de a cég fizikai
határain kívülre engedhetők ezek az adatok.
Én adom a készüléket!
Hogy pontosan milyen
biztonsági előírások betartását javasolják a BYOD szakértői, azt keretes
írásunkban részletezzük. A BYOD tapasztalatai rávilágítottak, hogy az
alkalmazottak mobilitást szeretnének. A különböző típusú, technikai
felszereltségű eszközök menedzselése egyre nehezebbé vált, majd a szigorú
adatvédelmi intézkedések (GDPR) hatására egyre több vállalat dönt úgy, hogy
saját kezébe veszi a mobilitás kérdését. Egyszerűbb és hatásosabb, ha egységes
mobilflottát kell kezelnie egy cégnek, így természetesen érthető, hogy
bevállalják az eszköz beszerzésének és menedzselésének költségeit, mintsem
óriási adatvédelmi bírságokat kockáztassanak. Időközben az alkalmazottak
elvárásai is változtak, a mobiltelefon ma a munkáltatók által elvárt céges
juttatások közé tartozik, vagyis senki sem megy dolgozni egy céghez csak mert
mobiltelefont biztosítanak neki.
Hogy vállalatunknak a BYOD engedélyezése vagy a saját céges eszköz biztosítása a járható út, az tőlünk függ. Egy fontos dologról ne feledkezzünk el: még ha cégen belül is cserél gazdát a készülék, előtte az adatokat minősítetten, a vállalat előírásainak megfelelően szükséges törölni. Hiszen belső biztonsági incidenst kockáztat a vállalat akkor is, ha például a marketinges munkatárshoz kerül a korábban értékesítői munkakörben, ügyfelekkel és ügyféladatokkal dolgozó kolléga készüléke.
Így védd a BYOD eszközöket
Attól, hogy a kolléga hozza a saját eszközét a munkahelyre, a vállalatnak is költenie kell az eszközök és főleg a rajtuk keresztül elérhető adatok biztonságáért. A következő tippek betartásával biztonságban tudhatja az adatokat még akkor is, ha munkatársa birtokában van a készülék.
1. Tároljuk titkosítva az adatokat a laptopon és a mobiltelefonon egyaránt. Az almás készülékek alapból titkosítják az adatokat, ha használunk egy jelkódot, sok androidos eszközön is elérhető ez a lehetőség. Így, ha el is hagyjuk vagy netán ellopják a készüléket, az adatok valamennyire biztonságban vannak.
2. Írjuk elő a VPN szoftver használatát, ha a vállalati hálózaton kívülről csatlakozik a készülék a céges hálózathoz.
3. Úgy állítsuk be a készülékeket, hogy fél év leteltével kikényszerítsük a jelszó változtatást.
4. Telepítsünk biztonsági megoldást a gépre, mobileszközre.
5. Engedélyezzük az operációs rendszer automatikus frissítését, így mindig a javított operációs rendszer fut a készüléken. 6. Szabályzatban rögzítsünk, milyen elfogadható alkalmazásokat és felhőszolgáltatásokat használhat az alkalmazott a vállalati adatok tárolása céljából.
Hacsak nem közeli barátunktól, ismerősünktől vásároljuk a használt okostelefont, érdemes a vásárlásra időt szánni és meggyőződni, hogy minden rendben van a készülék körül, minden adatot törölt előző tulajdonosa.
Az Apple az első olyan gyártó, aki egy nem luxus (értsd ez alatt, hogy nem gyémántokkal kirakott, aranybevonatú, kristályokkal díszített, limitált kiadású) okostelefont 1000 dollárnál drágábban értékesít. Vagyis a 300 ezer forintot súrolja az alapkészülék ára, a mobilszolgáltatók esetében is a támogatott árú készülékért esetenként 250 ezer forintot is elkérnek. Ezt az összeget (ami egyébként egy strapabíró laptop ára) nem mindenki képes vagy akarja kifizetni, így érdemes megfontolni a használt okostelefonok vásárlását. A régebbi modellek egészen kedvezményesen vásárolhatók meg, de azért érdemes pár kérdést feltenni, mielőtt kezet rázunk az üzlet felett.
Lopott vagy sem a készülék?
A mobiltelefonok IMEI számuk alapján egyedileg azonosíthatók. A weben léteznek olyan keresők, ahol az IMEI szám alapján nézhetjük meg, hogy a telefon lopott vagy sem. Azonban ezek az oldalak úgy működnek, hogy az IMEI szám akkor kerül be az adatbázisba, ha azt a tulajdonos bejelenti – többnyire az amerikai fogyasztók élnek ezzel a lehetőséggel. A hazai mobilszolgáltatóknál nincs egységes, a lakosság számára elérhető nyilvántartás a lopott készülékekről – annak ellenére, hogy a SIM kártya tiltása miatt a legtöbb tulajdonos bejelenti, ha ellopták készülékét.
Szóval, hiába az IMEI szám, ha nem igazán tudunk kezdeni vele semmit. Ennek ellenére, a régi tulajdonostól még vásárlás előtt, online egyezkedéskor elkérhetjük a készülék IMEI számát, ha vonakodik megadni, akkor gyanakodhatunk, hogy valami nincs rendben a készülékkel.
Hálózatfüggő vagy sem a telefon?
A mobilszolgáltatók saját hálózatukhoz láncolják azokat a telefonokat, melyeket kedvezményesen értékesítik. Ebben az esetben mind a két fél jól jár: a fogyasztó olcsóbban jut hozzá a kiszemelt készülékhez, a szolgáltató viszont két évre biztosan fizető ügyfelet kap. A hűségszerződés lejárta után minden szolgáltató ingyen függetleníti a készüléket, feltéve, ha azt az előfizetést megkötő személy kéri. A második vagy harmadik tulajdonosnak már csak a törvénytelen és a telefont valószínűleg tönkre tévő alternatívák maradnak – hacsak nem sikerül felkutatnia az első tulajdonost, majd elrángatni őt egy ügyfélszolgálatra.
Ezért vásárlás előtt érdemes kérni a telefon függetlenítését, még akkor is, ha ugyanazon a hálózaton tervezzük használni a készüléket. Ha a megunt telefont magunk is el szeretnénk adni (vagy csak gyermekünknek tovább passzolni), akkor nehezebben meg az eladás, ha szolgáltatóhoz kötött telefonról van szó. Előfordulhat, hogy a régi tulajdonosnak nem kell megjelennie az ügyfélszolgálaton, személyesen, elegendő egy meghatalmazást adnia az új tulajdonosnak – mindenképp érdeklődjünk az ügyfélszolgálaton a kikódolás pontos menetéről.
Minden adatot törölt az előző tulajdonos?
Az okostelefonok egy adott felhasználóhoz kötődnek, email címmel és jelszóval lehet belépni a készülékre – ha valamelyiket nem ismernénk, akkor használhatatlan a készülék. A régi és új tulajdonos érdeke, hogy a korábbi adatokat töröljük a készülékről, vagyis állítsuk vissza a gyári beállításokat. Ezt minden telefonnál megoldható, külön beépített menüpont van a telefonban erre.
Más az eset vállalati mobiltelefon, amikor a céges szabályzat, törvényi előírás miatt a készülékről az adatokat minősítetten és üres adatokkal felülírva kell törölni, ehhez a Datadestroy minden segítséget megad.
Érte vízkár a telefont?
Használt készülék esetében a telefon képernyőjén, hátoldalán található apróbb, nagyobb karcolások elvárhatók, ezek a mindennapi rendeltetésszerű használatból adódnak. Törött kijelzőnél vizsgáljuk meg, hogy a telefon kerete nem torzult esetleg az ütés-esés következtében. Amire azonban ezek a telefonok nagyon kényesek, az a vízkár, ami később jelentkező hibához is vezethet. Ha vízbe esett a használt okostelefon, akkor ezt jelzi egy telefon belsejében lévő elszíneződés – amit a gyártók pont a vízkár kiszűrésére építettek be a telefonba. Sok esetben a garanciális javítás is úszik, ha vizes lett a készülék belseje – ezt a vízjelző mutatja meg a javítást végző kollégának, de több telefonnál magunk is megnézhetjük ezt. Hogy pontosan hol, hogyan és mit kell nézni, az a megvásárolni kívánt telefont típusától függ.
Cseréljünk benne akkumulátort!
És ha már vásároltunk egy használt okostelefont, kedvező áron, érdemes még egy kis pénzt költeni rá és egy új akkumulátort venni belé – a régit biztos már alaposan leharcolta előző tulajdonosa.
