Sigurni osobni podaci

U Općoj uredbi o zaštiti podataka navodi se da voditelji obrade i izvršitelji obrade podataka moraju provesti odgovarajuće tehničke i organizacijske mjere kako bi osigurali razinu sigurnosti osobnih podataka primjerenu riziku.

U sljedećim informacijama utvrđuju se osnovne mjere opreza koje bi trebale razmotriti organizacije koje obrađuju osobne podatke (tj. voditelji obrade i izvršitelji obrade podataka). Cilj  nije pružiti cjelovit popis mjera koje se mogu provesti radi zaštite osobnih podataka u svim kontekstima. Voditelji obrade i izvršitelji obrade moraju prilagoditi te mjere kontekstu (uzimajući u obzir najnovija dostignuća, kontekst obrade i rizik za pojedince).

Poveznica
Članak 32. Opće uredbe o zaštiti podataka

EUR-Lex

Poveznica
Sigurna mala i srednja poduzeća

ENISA

Sigurnost: što je na kocki?

Posljedice nedostatka sigurnosti mogu biti ozbiljne: poduzeća mogu doživjeti reputacijsku štetu, izgubiti povjerenje svojih potrošača, platiti velike svote novca kako bi se oporavila od sigurnosnog incidenta (na primjer nakon povrede podataka) ili obustaviti svoju aktivnost. Sigurnost osobnih podataka u interesu je  pojedinaca i organizacija koje obrađuju podatke.

Kako bi se procijenili rizici koji proizlaze iz svakog postupka obrade, najprije se preporučuje utvrditi mogući učinak na prava i slobode dotičnih pojedinaca. Iako organizacije moraju zaštititi svoje podatke (osobne i ostale podatke) u svrhu zaštitee  vlastitog interesa, sljedeće informacije usmjerene su na zaštitu podataka pojedinaca.

Sigurnost podataka ima tri glavne komponente: zaštita integriteta, dostupnosti i povjerljivosti podataka. Stoga bi organizacije trebale procijeniti rizike za sljedeće:

  1. neovlašteni ili slučajni pristup podacima – povreda povjerljivosti (npr. krađa identiteta nakon otkrivanja platnih lista svih zaposlenika poduzeća);
  2. neovlaštena ili slučajna izmjena podataka – povreda integriteta (npr. lažno optuživanje osobe za prijestup ili kazneno djelo kao rezultat izmjene evidencije pristupa);
  3. gubitak podataka ili gubitak pristupa podacima – povreda dostupnosti (npr. neotkrivanje interakcije novog lijeka s lijekovima koje pacijent već uzima zbog nemogućnosti pristupa pacijentovoj elektroničkoj evidenciji).

Također je preporučljivo utvrditi izvore rizika (tj. tko ili što bi moglo biti uzrok svakog sigurnosnog incidenta?), uzimajući u obzir unutarnje i vanjske ljudske izvore (npr. administrator IT-a, korisnik, vanjski napadač, konkurent) te unutarnje ili vanjske izvore koji nisu ljudski (npr. oštećenje uzrokovano poplavom, opasni materijali, neciljani računalni virusi).

To utvrđivanje izvora rizika omogućit će vam da utvrdite potencijalne prijetnje (tj. koje bi okolnosti mogle dovesti do sigurnosnog incidenta?) na pomoćnoj imovini (npr. hardver, softver, komunikacijski kanali, papir itd.), a to može biti:

  • upotrebljava se na neprimjeren način (npr. zlouporaba prava, postupanje s pogreškom);
  • modificirana (npr. zamka softvera ili hardvera – keylogger, instalacija zlonamjernog softvera);
  • gubitak  (npr. krađa prijenosnog računala, gubitak USB ključa);
  • primijećeno (npr. promatranje zaslona u vlaku, geolokacija uređaja);
  • pogoršanje (npr. vandalizam, prirodno pogoršanje);
  • preopterećenost (npr. puna jedinica za skladištenje, napad uskraćivanjem usluge).
  • nedostupnost (npr. u slučaju ucjenjivačkog softvera).

Također je preporučljivo:

  • utvrditi postojeće ili planirane mjere za rješavanje svakog rizika (npr. kontrola pristupa, sigurnosne kopije, sljedivost, sigurnost prostora, šifriranje);
  • procijeniti ozbiljnost i vjerojatnost rizika na temelju prethodno navedenih elemenata (primjer ljestvice koja se može upotrijebiti za procjenu: zanemariv, umjeren, značajan, maksimum);
  • provoditi i provjeravati planirane mjere ako se postojeće i planirane mjere smatraju primjerenima, osigurati njihovu provedbu i praćenje provedbe;
  • provoditi povremene sigurnosne revizije: svaka revizija trebala bi rezultirati akcijskim planom čiju bi provedbu trebalo pratiti na najvišoj razini organizacije.

U Općoj uredbi o zaštiti podataka uvodi se pojam „procjene učinka na zaštitu podataka”, koja je obvezna za svaku obradu osobnih podataka koja bi mogla dovesti do visokog rizika za pojedince. Procjena učinka na zaštitu podataka mora sadržavati mjere predviđene za uklanjanje utvrđenih rizika, uključujući zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka.

U praksi

  • Kako biste imali jasniji prikaz sigurnosnih rizika, možete, na primjer, izraditi tablicu za upravljanje rizicima i redovito je ažurirati. Ova tablica može uključivati materijalne i ljudske rizike povezane s poslužiteljima, računalima ili prostorima. Dovoljno očekivani rizici mogu pomoći u ublažavanju posljedica u slučaju incidenta.

Organizacijske mjere

Podizanje svijesti korisnika

Ključno je zaposlenike ili korisnike koji rukuju osobnim podacima (obrađivačima podataka) osvijestiti o rizicima povezanima s privatnošću, obavijestiti ih o mjerama poduzetima kako bi se uklonili rizici i moguće posljedice u slučaju neuspjeha.

U praksi

Podizanje svijesti korisnika može biti u obliku:

  • treninga (edukacija) za podizanje svijesti;
  • redovita ažuriranja postupaka koji se odnose na funkcije zaposlenika i osoba koje rukuju podacima;
  • interna komunikacija, putem podsjetnika e-poštom itd.

Druga je mjera opreza dokumentirati operativne postupke, ažurirati ih i učiniti ih lako dostupnima svim osobama koje rukuju podacima. Konkretno, svaku aktivnost obrade osobnih podataka, bilo da se radi o administrativnim postupcima ili jednostavnoj upotrebi aplikacije, trebalo bi objasniti jasnim jezikom i prilagoditi svakoj kategoriji rukovatelja u dokumentima na koje se mogu odnositi.

 

Uspostaviti unutarnju politiku

Podizanje razine svijesti osoba koje obrađuju osobne podatke unutar organiacije,  može biti u obliku dokumenta, koji bi trebao biti obvezujući i integriran u unutarnje propise. Unutarnja politika trebala bi posebno uključivati opis pravila o zaštiti podataka i sigurnosti.

Ostale organizacijske mjere

  • Provesti politiku klasifikacije informacija kojom se definira nekoliko razina i zahtijeva označivanje dokumenata i poruka e-pošte koji sadržavaju povjerljive podatke.
  • Dati vidljivu i izričitu izjavu na svakoj stranici papirnatog ili elektroničkog dokumenta koji sadržava osjetljive podatke.
  • Provoditi obuku o informacijskoj sigurnosti i tečajeve za podizanje svijesti. Periodični podsjetnici mogu se pružati putem e-pošte ili drugih internih komunikacijskih alata.
  • Osigurati potpisivanje izjaveo povjerljivosti ili uključiti posebnu klauzulu o povjerljivosti osobnih podataka u ugovore sa zaposlenicima i drugim osobama koje rukuju podacima.

 

Tehničke mjere

Sigurna oprema

Povjerenje u pouzdanost vaših informacijskih sustava je ključno pitanje, a provedba odgovarajućih sigurnosnih mjera, koje je GDPR učinio obveznim, jedan je od načina da se to osigura.

Osobito je preporučljivo osigurati:

  • hardver (npr. poslužitelji, radne stanice, prijenosna računala, tvrdi diskovi);
  • softver (npr. operativni sustav, poslovni softver);
  • komunikacijske kanale (npr. optička vlakna, Wi-Fi, internet);
  • papirnati dokumenti (npr. tiskani dokumenti, preslike);
  • prostorije.

Sigurne radne stanice

Pri osiguravanju radnih stanica mogle bi se uzeti u obzir sljedeće mjere:

  • osigurati mehanizam automatskog isključivanja sesije kada se radna stanica ne koristi u određenom vremenskom razdoblju;
  • instalirati softver vatrozida i ograničiti otvaranje komunikacijskih priključaka na one koji su strogo potrebni za pravilno funkcioniranje aplikacija instaliranih na radnoj stanici;
  • koristiti se redovito ažuriranim antivirusnim softverom i imati politiku redovitog ažuriranja softvera;
  • konfigurirati softver da se automatskiažurirakad god je to moguće;
  • poticati pohranu korisničkih podataka na redovito sigurnosnom prostoru za pohranu koji je dostupan preko mreže organizacije, a ne na radnim stanicama. Ako se podaci pohranjuju lokalno, zaposlenicima je potrebno pružiti mogućnost sinkronizacije ili izrade sigurnosnih kopija te ih osposobiti za njihovu upotrebu;
  • ograničiti povezivanje mobilnih medija (USB stickovi, vanjski tvrdi diskovi itd.);
  • onemogućiti autorun iz prenosivih medija.

Što ne raditi 

  • koristiti zastarjele operacijske sustave;
  • dajte administratorska prava korisnicima koji nemaju računalne sigurnosne vještine.
     

 

Dodatne mjere 

  • zabraniti upotrebu preuzetih aplikacija koje ne dolaze iz sigurnih izvora;
  • ograničiti upotrebu aplikacija za koje su potrebna prava na razini administratora;
  • sigurno izbrisati podatke na radnoj stanici prije nego što ih se preraspodjeljuje drugom pojedincu;
  • u slučaju da je radna stanica ugrožena, tražiti izvor i bilo koji trag upada u informacijski sustav organizacije kako bi se otkrilo jesu li drugi elementi ugroženi;
  • provoditi sigurnosni nadzor softvera i hardvera koji se upotrebljavaju u informacijskom sustavu organizacije;
  • ažurirati aplikacije ako su utvrđene kritične ranjivosti i otkloniti te ranjivosti;
  • instalirati kritična ažuriranja operativnog sustava bez odgode zakazivanjem tjedne automatske provjere;
  • svim korisnicima širiti pravilan tijek djelovanja i popis osoba s kojima se treba obratiti u slučaju sigurnosnog incidenta ili neuobičajenog događaja koji utječe na informacijske i komunikacijske sustave organizacije.

U praksi

  • Vaš ured ima koncept otvorenog prostora i imate mnogo zaposlenika, ali i mnogo posjetitelja. Zahvaljujući automatskom zaključavanju sesije, nitko izvan tvrtke ne može pristupiti računalu zaposlenika na pauzi ili vidjeti na čemu rade. Osim toga, vatrozid i ažurni antivirusni program štite pregledavanje interneta vaših zaposlenika i ograničavaju rizik od upada u vaše poslužitelje. Što se više mjera provodi, to je osobama sa zlonamjernim namjerama ili zaposleniku iz nepažnje teže nanijeti štetu.

Zaštita poslovnih prostora poduzeća

Pristup prostorijama mora se nadzirati kako bi se spriječio ili usporio izravan, neovlašten pristup papirnatim datotekama ili računalnoj opremi, posebno poslužiteljima.

Što napraviti 

  • instalirajte alarme za upad i periodično  ih provjeravajte;
  • ugradite detektore dima i opremu za gašenje požara te ih svake godine pregledavajte;
  • zaštitite ključeve koji se koriste za pristup prostorijama i alarmne kodove;
  • razlikujtepristup pojedinim prostorijama područja prema riziku (npr. osiguraajte namjensku kontrolu pristupa računalnoj sobi);
  • vodite popis pojedinaca ili kategorija osoba ovlaštenih za ulazak u svako područje;
  • utvrdite pravila i sredstva za kontrolu  pristupa posjetitelja, barem tako da osobe iz organizacije prate posjetitelje izvan javnih prostora;
  • fizički zaštitite računalnu opremu posebnim sredstvima (namjenski protupožarni sustav, nadmorska visina od mogućih poplava, dodatno napajanje i/ili klimatizacija itd.).

Što ne raditi

Imati nedovoljno veliku prostoriju ili zanemarivati održavanja serverske prostorije (klimatizacija, UPS itd.). Kvar u tim instalacijama često dovodi do isključivanja strojeva ili otvaranja pristupa prostorijama (protok zraka), čime se de facto neutraliziraju sigurnosne mjere.

Dodatne mjere

Preporučamo voditi evidenciju o pristupu prostorijama ili uredima (ukoliko je primjenjivo) u kojima se nalazi materijal koji sadržava osobne podatke, a koji bi mogao ozbiljno negativno utjecati na dotične pojedince. Preporučam obavijestiti osobe zadužene za obradu podataka o provedbi takvog sustava nakon obavješćivanja i savjetovanja s predstavnicima osoblja.

Također, potrebo je osigurati da je u ograničenim područjima doupušten prisup samo ovlaštenom osoblju. Na primjer:

 

  • unutar ograničenih područja zahtijevati da svi pojedinci nose vidljivo sredstvo za identifikaciju (oznaka/bedž);
  • posjetitelji (tehničko osoblje itd.) trebali bi imati ograničen pristup. Mora se zabilježiti datum i vrijeme dolaska i odlaska takvog osoblja;
  • redovito pregledavati i ažurirati dozvole za pristup sigurnim područjima i prema potrebi ukloniti dozvole.

U praksi

  • Tvrtka je specijalizirana za e-trgovinu. Osobne podatke klijenata smještenih na poslužiteljima čuvate u odvojenim prostorijama. Kako bi se osigurao pristup tim podacima, ulaz u te prostorije zaštićen je čitačem iskaznica. Međutim, požar je izbio zbog kratkog spoja. Zahvaljujući detektoru dima, vatrogasci su brzo obaviješteni i uspjeli su ograničiti gubitak podataka.

Provjera autentičnosti korisnika

Kako bi se osiguralo da korisnici pristupaju samo podacima koji su im potrebni, trebalo bi im dati jedinstveni identifikator i trebali bi se autentificirati prije upotrebe računalne opreme.

Mehanizmi za postizanje autentifikacije osobe kategoriziraju se prema tome uključuju li:

  • ono što znamo, npr. lozinka;
  • što imamo, npr. pametna kartica;
  • osobina specifična za osobu, na primjer način na koji se prati vlastoručni potpis.

Odabir mehanizma ovisi o kontekstu i različitim čimbenicima. Autentifikacija korisnika smatra se snažnom ako upotrebljava kombinaciju najmanje dvije od tih kategorija.

U praksi

  • Kako biste pristupili sigurnoj sobi s povjerljivim informacijama, možete instalirati čitač iskaznica („ono što imamo”) zajedno s pristupnim kodom („ono što znamo”).

Upravljanje odobrenjima

Diferencirane razine autorizacijskih profila trebalo bi provoditi u skladu s potrebama. Korisnici bi trebali imati pristup podacima samo na temelju potreba za znanjem.

Dobra praksa za provjeru autentičnosti i upravljanje odobrenjima:

  • odredite jedinstveni identifikator za svakog korisnika i zabranite dijeljenje računa s nekoliko korisnika. U slučaju da je uporaba generičkih ili zajedničkih identifikatora neizbježna, zahtijevajte internu validaciju i primjenu sredstava za njihovo praćenje (logovi);
  • nametnuti primjenu dovoljno strogih pravila o složenosti lozinke (npr. najmanje 8 znakova, veliki broj i posebni znakovi);
  • sigurno pohranitelozinke;
  • uklonite zastarjele dozvole za pristup;
  • redovito provoditepreispitivanje (npr. svakih šest mjeseci);

 

Što ne raditi

  • stvarati ili korištiti  račune koje koristi nekoliko osoba;
  • dati administratorska prava korisnicima koji ih ne trebaju;
  • korisniku dati više privilegija nego što je potrebno;
  • zaboraviti ukloniti privremena odobrenja dodijeljena korisniku (npr. za zamjenu);
  • zaboraviti izbrisati korisničke račune osoba koje su napustile organizaciju ili promijenile posao.

Dodatne mjere 

Uspostaviti, dokumentirati i redovito preispitivati sve politike kontrole pristupa koje se odnose na obrade koje provodi organizacija, a koje bi trebale uključivati:

  • postupke koji se sustavno primjenjuju pri dolasku, odlasku ili promjeni dodijeljivanja prava pristupa osobi koja ima pristup osobnim podacima;
  • posljedice za pojedince s legitimnim pristupom podacima u slučaju nepoštovanja sigurnosnih mjera;
  • mjere za ograničavanje i kontrolu dodjele i korištenja pristupa obradi.

U praksi

  • Kada se novi zaposlenik pridruži tvrtki, morate stvoriti novi namjenski korisnički račun s jakom lozinkom. Zaposlenici ne bi trebali dijeliti svoje vjerodajnice jedni s drugima, posebno ako nemaju istu akreditaciju. U slučaju da promijene položaj, trebali biste pregledati njihove dozvole za pristup određenim datotekama ili sustavima.

Pseudonimiziranje podataka

Pseudonimizacija je obrada osobnih podataka na način da više nije moguće pripisati osobne podatke određenoj fizičkoj osobi bez korištenja dodatnih informacija. Takve dodatne informacije moraju se čuvati odvojeno i podlijegati tehničkim i organizacijskim mjerama.

U praksi se pseudonimizacija sastoji od zamjene izravno identificirajućih podataka (ime, ime, osobni broj, telefonski broj itd.) u skupu podataka s neizravno identificirajućim podacima (alias, sekvencijalni broj itd.). Omogućuje obradu podataka pojedinaca, a da ih se ne može izravno identificirati. Međutim, moguće je pratiti identitet tih pojedinaca zahvaljujući dodatnim podacima. Pseudonimizirani podaci i dalje su osobni podaci i podliježu GDPR-u. Pseudonimizacija je također reverzibilna, za razliku od anonimizacije.

Pseudonimizacija je jedna od mjera preporučenih u GDPR-u kako bi se ograničili rizici povezani s obradom osobnih podataka.

Poveznica
Članak 32. Opće uredbe o zaštiti podataka

EUR-Lex

Šifriranje podataka

Enkripcija je proces koji se sastoji od pretvaranja informacija u kod kako bi se spriječio neovlašteni pristup. Te se informacije mogu ponovno pročitati samo pomoću ispravnog ključa. Šifriranje se koristi kako bi se zajamčila povjerljivost podataka. Šifrirani podaci su još uvijek osobni podaci. Kao takva, enkripcija se može smatrati jednom od tehnika pseudonimizacije.

Osim toga, funkcije raspršivanja mogu se koristiti kako bi se osigurala cjelovitost podataka. Digitalni potpisi ne samo da osiguravaju integritet, već omogućuju i provjeru podrijetla informacija i njihove vjerodostojnosti.

 

Anonimizirati podatke

 

Osobni podaci mogu biti anonimni na takav način da se pojedinac ne može ili više ne može identificirati. Anonimizacija je postupak koji se sastoji od korištenja skupa tehnika za anonimiziranje osobnih podataka na način da postane nemoguće identificirati osobu na bilo koji način za koji je razumno vjerojatno da će se koristiti.

Anonimizacija, kada se pravilno provodi, može vam omogućiti korištenje podataka na način kojim se poštuju prava i slobode pojedinaca. Naime, anonimizacija otvara potencijal za ponovnu uporabu podataka koji u početku nisu dopušteni zbog osobne prirode podataka te stoga organizacijama može omogućiti da upotrebljavaju podatke u dodatne svrhe bez uplitanja u privatnost pojedinaca. Anonimizacija omogućuje i čuvanje podataka nakon razdoblja zadržavanja.

Kada se anonimizacija pravilno provodi, GDPR se više ne primjenjuje na anonimizirane podatke. Međutim, važno je imati na umu da anonimizaciju osobnih podataka u praksi nije uvijek moguće ili lako postići. Treba ocijeniti može li se anonimizacija primijeniti na predmetne podatke i može li se uspješno održati, uzimajući u obzir posebne okolnosti obrade osobnih podataka. Često bi bilo potrebno dodatno pravno ili tehničko stručno znanje za uspješnu provedbu anonimizacije u skladu s Općom uredbom o zaštiti podataka.

Kako provjeriti učinkovitost anonimizacije?

Europska tijela za zaštitu podataka definiraju tri kriterija kako bi se osigurala istinska anonimnost skupa podataka:

  1. Izdvajanje: ne bi trebalo biti moguće izolirati informacije o pojedincu u skupu podataka.
  2. Mogućnost povezivanja: ne bi trebalo biti moguće povezati zasebne dijelove podataka o istom pojedincu.
  3. Zaključak: ne bi trebalo biti moguće sa sigurnošću zaključiti informacije o pojedincu.

U praksi

  • Izdvajanje: u bazi podataka životopisa u kojoj su samo ime i prezime osobe zamijenjeni brojem (koji odgovara samo toj osobi), i dalje je moguće izdvojiti određenu osobu na temelju drugih značajki. U tom se slučaju osobni podaci smatraju pseudonimiziranima, a ne anonimiziranima.
  • Mogućnost povezivanja: baza podataka za mapiranje koja sadržava adrese pojedinaca ne može se smatrati anonimnom ako druge baze podataka, koje postoje drugdje, sadržavaju te iste adrese s drugim podacima koji omogućuju identifikaciju pojedinaca.
  • Zaključak: ako navodno anonimni skup podataka sadržava informacije o poreznoj obvezi ispitanika u upitniku, a svi ispitanici u dobi od 20 do 25 godina nisu oporezivi, onda se može zaključiti da je određeni ispitanik oporeziv ili ne, ako su njihova dob i spol poznati.
Poveznica
Mišljenje 05/2014 o tehnikama anonimizacije

WP29

Posebne situacije

Sigurnosne mjere za rad na daljinu

U kontekstu rada na daljinu potrebno je zajamčiti sigurnost obrađenih podataka uz poštovanje privatnosti pojedinaca.

Što napraviti :

  • Izraditi  sigurnosnu politiku rada na daljinu ili barem skup minimalnih pravila koja treba poštovati i priopćiti ovaj dokument zaposlenicima u skladu sa svojim internim propisima;
  • Ako trebate promijeniti poslovna pravila svojeg informacijskog sustava kako biste omogućili rad na daljinu (npr. promjena pravilaprovjere koja definiraju način na koji se odobrava pristup određenim informacijama, prostorima ili resursima , administratorski pristup  na daljinu itd.), razmotrite uključene rizike i, ako je potrebno, poduzmete korake za održavanje razine sigurnosti;
  • Opremite sve radne stanice svojih zaposlenika barem vatrozidom, antivirusnim softverom i alatom za blokiranje pristupa zlonamjernim stranicama. Ako zaposlenici mogu koristiti vlastitu opremu, dati smjernice kako bi je osigurali (vidjeti „Sigurnosne mjere za BYOD”);
  • Postavite VPN kako biste izbjegli izravnu izloženost vaših usluga internetu kad god je to moguće. Omogućiti dvofaktorsku provjeru autentičnosti VPN-a ako je to moguće;
  • Pružite svojim zaposlenicima popis komunikacijskih alata i alata za suradnju prikladnih za rad na daljinu, koji jamče povjerljivost razmjena i dijeljenih podataka. Odaberite alate koje kontrolirate i osigurajte da pružaju barem najsuvremeniju provjeru autentičnosti i šifriranje komunikacija te da se podaci u tranzitu ne upotrebljavaju u druge svrhe (poboljšanje proizvoda, oglašavanje itd.). Neki softveri na tržištu mogu  prenijeti korisničke podatke trećim stranama i stoga su posebno neprikladni za korporativnu upotrebu.

Sigurnosne mjere za BYOD (donesite vlastiti uređaj)

Razvojem BYOD-a, posebno u malim i srednjim poduzećima, nestaje granica između profesionalnog i privatnog života. Čak i ako BYOD sam po sebi ne predstavlja obradu osobnih podataka, i dalje je potrebno osigurati sigurnost podataka.
Akronim „BYOD” znači „Bring Your Own Device” i odnosi se na korištenje osobne računalne opreme u profesionalnom kontekstu. Primjer toga bio bi zaposlenik koji koristi osobnu opremu kao što su računalo, tablet ili pametni telefon za povezivanje s mrežom tvrtke.

Mogućnost korištenja osobnih alata prvenstveno je pitanje izbora poslodavca i nacionalnog zakonodavstva. GDPR zahtijeva da razina sigurnosti obrađenih osobnih podataka bude ista, bez obzira na opremu koja se koristi. Poslodavci su odgovorni za sigurnost osobnih podataka svojeg poduzeća, uključujući i kada su pohranjeni na terminalima nad kojima nemaju fizičku ili pravnu kontrolu, ali čiju su upotrebu ovlastili za pristup IT resursima tvrtke.

Rizici od kojih je bitno zaštititi vašu organizaciju kreću se od jednokratnog napada na dostupnost, cjelovitost i povjerljivost podataka do općeg ugrožavanja informacijskog sustava tvrtke (upad, virus itd.).

Primjer kontrolnog popisa

Primjer kako bi mogao izgledati kontrolni popis za poboljšanje razine sigurnosti u vašoj organizaciji:•    Redovito informirati i educirati osobe zadužene za obradu podataka o rizicima povezanima s privatnošću

  • Uspostaviti unutarnju politiku koja je obvezujuća 
  • Provedba tehničke i integrirane zaštite podataka
  • Osigurati da su obrađeni podaci primjereni, relevantni i ograničeni na ono što je potrebno (smanjenje količine podataka)
  • Provedba politike klasifikacije informacija za povjerljive podatke
  • Staviti posebnu naznaku na dokumente koji sadržavaju osjetljive podatke
  • Provoditi obuku o informacijskoj sigurnosti i tečajeve za podizanje svijesti, zajedno s periodičnim podsjetnicima.
  • Potpišite izjavu o povjerljivosti sa svojim zaposlenicima ili uključite posebne klauzule o povjerljivosti
  • Osigurati automatsko zaključavanje sesije, ažurni vatrozid i antivirusni sustav za pohranu sigurnosnih kopija za korisnike
  • Ograničite fizičku vezu (USB stikovi, vanjski tvrdi diskovi itd.) 
  • Zaštitite poslovne prostore poduzeća (npr. alarmi za neovlašteni ulazak, detektori dima, zaštićeni ključevi, izdvojena prostorija prema riziku, odobrenja za pristup određenim područjima, namjenski protupožarni sustav)
  • Korisnicima dodijeliti  jedinstveni identifikator 
  • Zahtijevajte provjeru autentičnosti za pristup računalnoj opremi
  • Upravljajte odobrenjima (npr. odvojeni profili u skladu s potrebama, jedinstveni identifikator, jake lozinke)
  • Usvojite i primjenjujte sigurnosnu politike rada na daljinu
  • Uklonite  zastarjele  dozvola za pristup
  • Redovito preispitujte odobrenja
  • Pseudonimizirajte  ili anonimizirajte  podatke kako bi se ograničila ponovna identifikacija pojedinaca
  • Šifrirajte  podataka kako bi se spriječio neovlašteni pristup
  • Instalirajte VPN za rad na daljinu
  • Osigurajte  zaštitu osobnih uređaja koji se koriste za rad (BYOD)