דלג לתוכן

עסק חייב לעמוד בתקני GDPR, איך עושים את זה בענן?

עמוד ראשי » בלוג » אבטחת מידע » עסק חייב לעמוד בתקני GDPR, איך עושים את זה בענן?

עמידה בתקני GDPR בענן

אם גם אתם עוסקים במאגרים עתירי מידע מדי יום,
סביר להניח שאתם מעודכנים בחוק המשמעותי ביותר להגנה על נתונים אשר נכנס לתוקפו ב25 במאי 2018.
אם עוד לא התארגנתם על הכנות מתאימות לקראת עמידה בתקני GDPR והארגון שלכם מנוהל בענן, הגיע הזמן לפעול בהתאם.

GDPR בענן ?

מההתחלה: מה זה GDPR? ובענן?

למי שעוד לא ממש שוחה בתחום, אולי יעזור ביאור קצרצר.
EU General Data Protection Regulation, או בקצרה, GDPR,
היא התקנה הכללית להגנה על נתונים המבקשת לחזק את
זכויותיהם של יחידים לגבי המידע האישי שלהם
וכל הנתונים הקשורים לחייהם האישיים.

בנוסף, תקנות ה-GDPR אמונות על האחדת החוקים
והתקנים הרלוונטיים בכל הנוגע לנתונים אישיים,
בלי הגבלת מיקום, מדינה או אזור.
האיחוד האירופי נמצא כאן לא רק על מנת לחוקק חוקים בהיבטים החברתיים היומיומיים,
ונראה שיש מי ששומר על הצרכנים הפרטיים בעידן הפוסט מודרני.

ה-GDPR בעצם מסדירים את אופן איסוף המידע, שמירתו, העיבוד שלו
וכל מה שנוגע למידע אודות לקוחות ונתונים פרטיים.
הענישה בגין עברה על תקנות ה-GDPR היא בלתי מתפשרת
ויכולה להגיע עד לגובה של 20 מיליון דולר.
אם אתם רוצים לשמור את הכסף למטרות יעילות אחרות,
עליכם לעמוד בדרישות התקנות הללו שאחרת תוצאו מהמשחק.

כשארגון שלך בענן, כדי להכיר את תקני הGDPR

ואם העסק בענן? איך שומרים על תקנות הGDPR?

אם העסק שלכם בענן, אתם כבר בכיוון הנכון.
ועדיין, בכל הנוגע למעבר לעמידה בתקנות ה-GDPR,
יש משהו חסר שאינו מדובר מספיק, וזהו נושא השמירה על תקנות ה-GDPR בענן.
איך בדיוק עושים את זה?
איך שומרים על תקנות ה-GDPR כשעובדים עם אפליקציות כמו drive, dropbox, google ואחרים?
היישומים הארגוניים השונים הופכים יותר ויותר תלויים בכוחם הבלתי מוגבל של ארגונים גדולים המספקים שירותי ענן,
תוך סיכון משמעותי ביותר של חשיפת מידע ללא כל פיקוח.

על פי הערכות, ארגונים משתמשים באפליקציות ארגוניות
לטיפול ב-90% מתהליכי העבודה בארגון.
נתונים אלו מדאיגים ביותר שכן בראש ובראשונה הם מעלים את השאלה המתחייבת –
האם אי פעם בכלל יהיה ניתן לפקח במאת האחוזים על מידע הנמצא בענן?

הרי תמיד יכול להיגנב מידע מצד שלישי, תמיד יכול להיות עובד שייפרץ חשבונו הפרטי
ודרכו יגיע אל חשבון הארגון,
תמיד יכולה להיוותר פרצה אחת קטנה שתוביל את הווירוס הבא לדלות פרטים ונתונים אישיים
ומפה הדרך לחשיפה ולתביעה יכולה להיות מהירה כהרף עין.

כדי להיערך בהתאם לתקנות ה-GDPR בלי לוותר על אחסון המידע בענן,
יש מספר פעולות חיוניות שעליכם לבצע. פשוטות, ממוקדות והעיקר: יעילות.

זמנים, תקנים, יעדים ומשימות בנושאי GDPR בענן

1. מיפוי

מיפוי מיקומי המידע והאפליקציות בהן הנתונים שלך מאוחסנים הוא הפעולה הבסיסית
והראשונית ביותר למשתמשים בשירותי ענן בעידן ה-GDPR.
רוצה להיות בטוח שאתה יודע אילו מאגרים בטוחים יותר ואילו פחות?
גלה איפה ממוקם ספק האפליקציות שלך
והעבר מפעם לפעם את הנתונים ממרכז אחד לאחר.

אמצעי אבטחה בתקני GDPR בענן

2. אמצעי אבטחה

אמצעי אבטחה בסיסיים היוצרים תנאים נאותים להגנה מפני אובדן,
שינוי או שימוש לא מורשה בנתונים הם אלמנט חיוני
לארגונים השואפים לשמור על עצמם ועל הלקוחות שלהם.

כמנהל ארגון או כ-CISO של  הארגון, כ-IT Manager או כמתכנת הארגון,
עליך לדעת בדיוק אילו אפליקציות עומדות בתקני האבטחה ואילו אפליקציות מסכנות את המידע הארגוני שלך.
תוכנות מתמחות יעשו זאת עבורך ויספקו לארגון שלך תמונה רחבה
אודות רמת האבטחה הארגונית.
אפליקציות שאינן בטוחות דיין עבור הארגון צריכות להיחסם או
להיות מנוהלות על ידי תכניות בקרה מתאימות.

אל תאפשר ליישומי ענן להשתמש בנתונים אישיים למטרות אחרות.
ודא באמצעות הסכם עיבוד הנתונים שלך,
וכדי לאמת את בדיקת ההתמדה של האפליקציה שלך,
האפליקציות מציינות בבירור במונחים שלהן שהלקוח מחזיק בנתונים
וכי הוא אינו משתף את הנתונים עם צדדים שלישיים.

הסכמי GDPR בענן ברורים מראש

3. הסכמים ברורים

כדי להבטיח שהארגון שלך מוגן בעבודה עם אפליקציות נבחרות,
סגור הסכם ברור ומפורט עם היישומים
והחברות הגדולים שמעניקים לארגון שלך שירותים.
סגירת הסכמים המוודאים כי יישומים אלו עומדים בדרישות ההגנה
על פרטיות הנתונים הינה חיונית לצורך הגנה
על הלקוחות והמוניטין הארגוני שלך.

רשימת צ'ק ליסט ברורה בכל נושאי הGDPR שצריך

4. הפרדה בין נתונים חיוניים לאחרים

בהסכמים הנחתמים עם היישומים המעניקים שירותים לארגון שלך,
צור חלוקה ברורה בין המידע שהאפליקציה
באמת צריכה על מנת לבצע את הייעוד שלה
ובין המידע שאינו נחוץ בהכרח ליישום הפעולות החיוניות לפעילות.
חשוב לזכור כי הגבלות על איסוף נתונים המוגדרים כנתונים החושפים
חלוקה לפי גזע, מוצא אתני, הרשעות פוליטיות, דת ועוד –
חושפות את הארגון לתביעות חיצוניות ומצריכות זהירות יתרה.

לגבה את עצמך בכל סעיף מול יישומי הענן

5. הסלקטור האישי של הארגון

כדי להיות בטוח שאפליקציות שונות אינן משתמשות
בנתוני הארגון שלך למטרות שיווקיות,
פרסומיות, איסוף מידע או כל מטרה אחרת החושפת את
הארגון שלך לפרצות באבטחת המידע,
ודא באמצעות הסכם כי יישומי הענן אינם עושים שימוש
בנתונים הארגוניים לכל מטרה אחרת שאינה המטרה שהוגדרה מראש.
על מנת לדעת פרט זה בבירור,
בדוק כי היישום הספציפי של הענן מתחייב בסעיף נפרד
וחד משמעי כי אינו עושה שימוש ואינו משתף את המידע עם צד שלישי.

חוסר יכולת למחוק טעות, גם תקני GDPR בענן

6. טעות לעולם חוזרת? כן, גם בענן

כדי להיות בטוח שתמיד תוכל לקחת חזרה את השליטה המלאה על הנתונים הארגוניים שלך,
ודא עם כל אפליקציה או יישום בענן כי בתום השימוש תוכל למחוק את הנתונים
ולא יהיה להם כל זכר או שימוש אחר עם תום קבלת השירות מהאפליקציה.

רוצה להיות בטוח שהמידע שלך לא משמש למטרות אחרות?
משך זמן מחיקת המידע מהווה קנה מידה למידת הבטיחות.
ככל שמחיקת המידע אורכת יותר זמן,
כך הסיכוי לחשיפה גבוה יותר.

כדי להיות בטוח שהמידע שלך מאובטח גם בשימוש באפליקציות בענן,
עליך להיות עם היד על הדופק.
בתור מנהל הארגון, ה-IT או ה-CISO של הארגון,
עליך להכיר את האפליקציות הארגוניות השונות
ולדעת להיערך מול כל אחת מהן בהתאם.