KKV biztonság - adatvédelmi kisokos

Gyakorlati segítség az értékes üzleti és személyes adatok védelméhez

További témáink

KKV BIZTONSÁG ÉRTHETŐEN

Ismerje meg a vállalkozása IT biztonságát érintő fenyegetéseket, és készüljön fel hatékonyan a megelőzésükre!

Egy adatszivárgás felfedezése átlagosan 191 napot, feltartóztatása 66 napot vesz igénybe.

A vállalkozások akár az éves globális árbevételük 4%-ának megfelelő közigazgatási bírsággal is sújthatók, ha nem felelnek meg az EU adatvédelmi szabályozásának.

A KKV-k IT területen dolgozó munkavállalói az adatszivárgást tartják a legnagyobb IT biztonsági fenyegetésnek a cégnél.

Önnel is előfordult már, hogy…

...vállalkozásában rengeteg tennivaló gyűlt össze, így a szükséges anyagokat valamilyen adathordozóra másolta, hogy a hétvége alatt otthonról bepótolja a lemaradását? És arra gondolt már, hogy ezzel fenyegetésnek teheti ki cége üzleti adatait és partnerei, ügyfelei, munkavállalói személyes adatait?

A titkosítás nélküli eszközökről könnyen kikerülhetnek az értékes adatok, hiszen sosem tudhatjuk, hogy nem fognak-e elveszni, vagy nem lopják-e el őket. Minden cég életében előfordul, hogy hirtelen túl sok feladat halmozódik fel, azonban még a túlterhelt időszakokban sem szabad megfeledkeznünk arról, hogy az adatok biztonsága és védelme alapvető kötelezettség.

Milyen változásokat hozott az életünkbe a GDPR az adatvédelemi incidens kezelések kapcsán?

  • Mindenek előtt az adatkezelő és -feldolgozó kötelezettségévé teszi, hogy a tudomány és technika állása, a megvalósulás költségei valamint az adatkezelés jellege, hatóköre, célja és körülményei szempontjából megfelelő technikai és szervezeti intézkedéseket hajtsanak végre az adatbiztonság garantálásának érdekében.
  • Adatvédelmi incidens bekövetkezte esetén az első feladat, hogy felmérjük, az incidens kockázattal jár –e az érintettekre nézve.
  • Ha kockázattal jár, akkor azt tudomásszerzést követő 72 órán belül be kell jelenteni a felügyeleti hatóságnak.
  • Ha valószínűsíthetően magas kockázattal is jár az incidens, akkor az incidensről az érintetteket is tájékoztatni kell.
  • Az incidensek okáról, jellegéről, az érintettek köréről és számáról, valamint az elhárításra tett intézkedésekről nyilvántartást kell vezetni.

Az EU szabályait akkor is alkalmaznunk kell, ha a személyes adatokat az EU-n kívül kezeljük, de áruinkat és szolgáltatásainkat az EU állampolgárainak nyújtjuk, vagy tevékenységünk az érintettek EU-n belüli viselkedésének megfigyeléséhez kapcsolódik.

A beépített és alapértelmezett adatvédelem elve értelmében az adatvédelmi garanciákat a termékekbe és szolgáltatásokba is be kell építenünk már a fejlesztés legkorábbi szakaszától kezdve, és követelmény a privacybarát alapértelmezett beállítások alkalmazása is.

A GDPR előírásainak teljesítése során fontos, hogy szem előtt tartsuk, hogy az, hogy megfelelünk az előírásoknak, önmagában nem garantálja, hogy adataink biztonságban vannak.

A rengeteg előírás és intézkedés közepette természetes, hogy néha úgy érezzük, elvesztünk a szabályok tengerében. Ezért összegyűjtöttük Önnek a legfontosabb tudnivalókat, hogy segítsünk eligazodni az adatvédelem szerteágazó területén.

Mi történhet, ha nem készülünk fel megfelelően?

Egy adatvédelmi incidens vagy az adatok sérülése befolyásolhatja az adatok titkosságát (pl. jogosulatlan hozzáférés), sértetlenségét (pl. jogosulatlan módosítás) vagy hozzáférhetőségét (pl. zsarolóvírus támadás). A vállalkozásunk esetében egy ilyen incidens számos következménnyel járhat:

  • ügyfelek elvesztése, bevételkiesés
  • márkaimázs sérülése, kedvezőtlen PR
  • pénzbírságok, peres ügyek
  • az érintettek incidensről szóló értesítése, a nyilvánosság tájékoztatása
  • bizalomvesztés
  • helyreállítás

 

3 kulcsfontosságú szempont az adatok védelméhez

Az adatok védelmére egységes rendszert dolgozhatunk ki, ha szem előtt tartjuk a következő fontos szempontokat:

Bizalmasság

Akadályozzuk meg az adatokhoz történő jogosulatlan hozzáférést, felhasználást, nyilvánosságra hozatalt, illetve az adatok megismerését.

Sértetlenség

Akadályozzuk meg az adatok jogosulatlan vagy nem megfelelő módosítását.

Rendelkezésre állás

Biztosítsuk, hogy az arra jogosult felhasználók hozzáférjenek az adatokhoz, illetve akadályozzuk meg az adatok jogosulatlan átvitelét és megsemmisítését.

Bizalmasság

Akadályozzuk meg az adatokhoz történő jogosulatlan hozzáférést, felhasználást, nyilvánosságra hozatalt, illetve az adatok megismerését.

Sértetlenség

Akadályozzuk meg az adatok jogosulatlan vagy nem megfelelő módosítását.

Rendelkezésre állás

Biztosítsuk, hogy az arra jogosult felhasználók hozzáférjenek az adatokhoz, illetve akadályozzuk meg az adatok jogosulatlan átvitelét és megsemmisítését.

Tipp: Határozzuk meg, hogy a vállalkozásunkon belül ki milyen adatokhoz fér hozzá, milyen céllal, és milyen műveleteket végezhetnek velük.

Tipp: Az adatok sértetlenségének védelmét rosszindulatú programok elleni és titkosítási megoldásokkal biztosíthatjuk.

Tipp: Az adatok hozzáférhetőségének véletlen (például törlés) vagy szándékos (például zsarolóvírus támadás) megsemmisítése elleni védekezést a biztonsági mentési és helyreállítási rendszerek szolgálják.

Tippek

  • Határozzuk meg, hogy a vállalkozásunkon belül ki milyen adatokhoz fér hozzá, milyen céllal, és milyen műveleteket végezhetnek velük.
  • Az adatok sértetlenségének védelmét rosszindulatú programok elleni és titkosítási megoldásokkal biztosíthatjuk.
  • Az adatok hozzáférhetőségének véletlen (például törlés) vagy szándékos (például zsarolóvírus támadás) megsemmisítése elleni védekezést a biztonsági mentési és helyreállítási rendszerek szolgálják.

Találja meg, és kezelje vállalkozása sebezhető pontjait

Kockázatalapú megközelítéssel megfelelően ellenőrizhetjük vállalkozásunkat, és megtalálhatjuk a sebezhető pontjait:

1. lépés - kockázat azonosítás

Mérjük fel, hogy tevékenységünk alapján milyen kockázatok jelentkezhetnek. Azonosítsuk be a vállalkozás összes olyan eszközét, amely védelmet igényel! Gondoljuk végig, milyen kockázat fenyegeti őket, és hogy ez mekkora valószínűséggel és gyakorisággal következhet be.

Például: az egyik kollégánk gyakran jár az ügyfelekhez. Látogatásai során gyakran a céges laptopot is magával viszi, amelyen ügyféladatok is megtalálhatók. Az utazás sajnos mindig együtt jár azzal a kockázattal, hogy a laptop elveszik, vagy valaki ellopja azt. Erre az esetre felkészülve megfelelő jelszóval védve kell ellátni az adatokat tároló laptopot, az adatokat pedig praktikus nem laptop merevlemezén, hanem egy központi – további jelszóval – védett szerveren vagy felhőben tárolni.

2. lépés – kockázatértékelés

Az azonosított kockázatokat soroljuk kategóriákba és határozzuk meg azok súlyát.

3. lépés – az azonosított kockázatok kezelése

Határozzunk meg intézkedési tervet a különböző kategóriájú kockázatok kezelésére.

4. lépés – kockázati kommunikációs terv

Előre tisztázzuk, hogy a kockázat valóra válása esetén ki és hogyan kommunikálja azt.

5. lépés – kockázatenyhítés

Ellenőrzéseket és egyéb intézkedéseket tehetünk annak érdekében, hogy az adott eszközzel szembeni konkrét fenyegetés hatása vagy előfordulási valószínűsége csökkenjen.

6. lépés – kockázatkerülés

A kockázatot teljesen elkerülhetjük az adott eszköz korszerűsítésével vagy leselejtezésével, illetve a kockázatot jelentő tevékenység megszüntetésével.

Tipp: az információbiztonsággal kapcsolatban bevált gyakorlat a lehető legkevesebb jogosultság elve, melyben a végfelhasználóknak csak egy adott feladat elvégzéséhez szükséges minimális szintű hozzáférést biztosítanak.

Tipp: az információbiztonsággal kapcsolatban bevált gyakorlat a lehető legkevesebb jogosultság elve, melyben a végfelhasználóknak csak egy adott feladat elvégzéséhez szükséges minimális szintű hozzáférést biztosítanak.

Hogyan előzhetjük meg az adatszivárgást?

Az adatszivárgás az általunk kezelt adatoknak az elvesztését, megsemmisülését jelenti. Mindenek előtt azt kell meghatározzuk, hogy az adatszivárgásra miként kerül sor cégünknél. Az adatszivárgás ugyanis történhet behatolással, ami lehet emberi tényező által előidézett (például adathalászat vagy vis maior helyzet - tűzkár), illetve belső adatvesztéssel (szándékos vagy gondatlan törlés) egyaránt. Az adatszivárgás elsődlegesen adatbiztonsági kérdés, ami magával vonja az adatvédelmi intézkedéseket is. Adatbiztonsági szempontból az adatszivárgás megelőzésére három védelmi kategóriát különböztetünk meg: fizikai, adminisztratív és logikai védelem.

A fizikai védelem célja, hogy ne lehessen könnyen hozzáférni a hálózathoz, belépni egy szerver szobába, felmarkolni a laptopot. A védelem ezen formája az élőemberes védelemre, biztonsági rendszerekre, a riasztókra, a zárakra, a villám-hárítókra, a tartalék áram ellátás biztosítására illetve a kamerás megfigyelésekre vonatkozik.

A védelem másik formája az adminisztratív védelem, ami gyakorlatilag annyit jelent, hogy szervezeti szinten rögzítjük pl: egy belső szabályzatban, hogy hogyan kell kezelni, használni belső informatikai hálózatunkat. Egy ilyen szabályzat egységes szemlélettel fogalmazza meg minden munkatárs viszonyát az informatikai rendszerek által kezelt adatok bizalmasságának, hitelességének, sértetlenségének, rendelkezésre állásának és funkcionalitásának megőrzéséhez. Ide sorolható a jelszó-, mentési és belső hálózati protokollok kialakítása.

A logikai védelemhez tartoznak mindazok az intézkedések, amivel a már kiépített rendszerünket óvhatjuk meg. Ilyen például a hozzáférés-vezérlés, azaz az azonosítás, hitelesítés, hozzáférés engedélyezési/jogosultsági kérdések, de ide tartoznak a hálózatbiztonsági kérdések, mint például a tűzfalak, távoli hozzáférések vagy a vezeték nélküli hálózatok beállításai. Ebbe a védelmi kategóriába tartozik a rosszindulatú programok elleni védekezés illetve a felhasználó által futtatott különböző alkalmazásokkal kapcsolatos biztonsági intézkedések is.

Mi a teendő adatszivárgás esetén?

Az incidens felfedezésétől számítva legkésőbb 72 órán belül értesítenünk kell a felügyelő hatóságot, melynek szerepét Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tölti be.

Súlyosabb esetekben magukat az érintetteket is értesítenünk kell, amilyen gyorsan csak lehetséges. Azonban ez nem kötelező, ha az eset azután történik, hogy a vállalkozás megfelelő technikai (titkosítás) és szervezeti intézkedéseket tett.

Tipp: A vállalkozása által kezelt adatok titkosításával megvédheti magát a rendszer hibája/megsértése esetén, ugyanis a hatóságok kisebb valószínűséggel tekintik ezeket az eseteket megfelelőségi hibának, amennyiben az adatok megfelelően titkosítva vannak.

Tipp: A vállalkozása által kezelt adatok titkosításával megvédheti magát a rendszer hibája/megsértése esetén, ugyanis a hatóságok kisebb valószínűséggel tekintik ezeket az eseteket megfelelőségi hibának, amennyiben az adatok megfelelően titkosítva vannak.

Hatékony megoldásaink adatainak védelméhez

Az ESET az alábbi megoldásokat kínálja, amelyekkel nagyobb biztonságban tudhatja bizalmas adatait:

Végpontvédelem

Proaktív technológiákon alapuló végpontvédelmi megoldásaink többrétegű védelmet biztosítanak a mai dinamikus kártevők ellen, és könnyen kezelhetők az ingyenes központi menedzsment megoldásnak köszönhetően.

Tudjon meg többet végpontvédelmi megoldásainkról

Merevlemez titkosítás

Az ESET távoli menedzsment felületeibe beépülő ESET Full Disk Encryption erős, teljes merevlemez titkosítást biztosít, amely hatékonyan védi értékes vállalati adatait, és hozzájárul a megfelelőségi előírások teljesítéséhez.

Tudjon meg többet merevlemez titkosítási megoldásunkról

Többfaktoros hitelesítés

Egyszerű és hatékony megoldás különböző méretű szervezetek számára a többfaktoros hitelesítés megvalósításához. Támogatja a mobil alkalmazássokkal, illetve a push értesítésekkel történő hitelesítést, a hardver tokeneket, a FIDO biztonsági kulcsokat, valamint a teljesen egyedi megoldásokat is.

Tudjon meg többet az ESET hitelesítési megoldásáról

Szervervédelem

Megbízható vírusvédelmi megoldások fájlszerverek, levelezőszerverek és átjárószerverek védelmére.

Tudjon meg többet az ESET szervervédelmi megoldásairól

Szeretné kipróbálni megoldásainkat? Találja meg az Önhöz legközelebb eső viszonteladó partnereinket!

Partnerkeresőnkkel Ön is megtalálhatja a vállalkozásához közeli viszonteladó partnereinket, akik megbízható szaktudással rendelkeznek az ESET termékeire vonatkozóan.

ESET vizsgával rendelkező szakértő és kiemelt viszonteladó partnereink kereséséhez kérjük, kattintson a térképre, vagy az alábbi gombra.

Partnerkeresőnkkel Ön is megtalálhatja a vállalkozásához közeli viszonteladó partnereinket, akik megbízható szaktudással rendelkeznek az ESET termékeire vonatkozóan.

ESET vizsgával rendelkező szakértő és kiemelt viszonteladó partnereink kereséséhez kérjük, kattintson a térképre, vagy az alábbi gombra.

Kérdezzen szakértőinktől díjmentesen!

Bizonytalan abban, hogy vállalkozásának milyen szintű védelemre lenne szüksége? Szeretné kötelezettségek nélkül kipróbálni megoldásainkat? Szeretne többet megtudni a fenyegetésekről és kivédésükről? Magyar szakértői csapatunk díjmentesen segít Önnek már a legelső lépések során is - forduljon hozzánk bizalommal! Kérjük, pontosan adja meg elérhetőségeit, hogy kollégáink fel tudják venni Önnel a kapcsolatot.

Kérjük, ezt a mezőt is legyen szíves kitölteni!
Kérjük, ezt a mezőt is legyen szíves kitölteni!
Kérjük, ezt a mezőt is legyen szíves kitölteni!
Kérjük, ezt a mezőt is legyen szíves kitölteni!
Igazolja, hogy Ön nem robot.

Tesztelje le frissen szerzett tudását adatvédelmi kvízünkkel!

Az Ön által megadott válasz helytelen: Az incidens felfedezésétől számítva legkésőbb 72 órán belül értesítenünk kell a felügyelő hatóságot, melynek szerepét Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tölti be.

Az Ön által megadott válasz helyes.

Az Ön által megadott válasz helytelen: A rosszindulatú programok elleni és titkosítási megoldásokkal biztosíthatjuk, hogy illetéktelenek ne férjenek hozzá az adatokhoz, legyen szó a kártevők kivédéséről, vagy az elvesztett céges eszközökön lévő fájlok védelméről.

Az Ön által megadott válasz helyes.

Az Ön által megadott válasz csak részben helyes, a fenti lehetőségek mindegyike a rendelkezésére áll, attól függően, hogy kockázatenyhítő, -átruházó vagy –kerülő stratégiát választ.

Az Ön által megadott opció a legésszerűbb döntés, hiszen a fenti lehetőségek mindegyike a rendelkezésére áll, attól függően, hogy kockázatenyhítő, -átruházó vagy –kerülő stratégiát választ.

Az Ön által megadott válasz helytelen: A céges eszközök titkosításával a rajtuk tárolt adatainkat hozzáférhetetlenné tehetjük, így akkor is biztonságban vannak, ha az eszköz illetéktelen kezekbe kerülne.

Az Ön által megadott válasz helyes.

Ismeretlen kifejezést talált a szövegben?

Összegyűjtöttük Önnek a legfontosabb IT biztonsági kifejezéseket, amelyekkel könnyebben értelmezheti adatvédelmi és informatikai témájú cikkeinket. Kattintson ide, és keresse meg az Ön által még nem ismert kifejezést!