مقررات حفاظت از اطلاعات عمومی (GDPR)

وظیفه‌ی مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا، محافظت از اطلاعات خصوصی شهروندان اتحادیه اروپا است. از قبیل شماره‌ی امنیت اجتماعی، تاریخ تولد، ایمیل، آدرس IP، شماره تلفن و شماره حساب‌ها.

این‌ها مواردی هستند که از نظر امنیت داده، می‌توانید برای تبعیت از GDPR، بر روی آن‌ها تمرکز کنید :

  • طبقه‌بندی داده‌ها – بدانید که داده‌های حساس شخصی در کجا ذخیره شده‌اند. این کار هم برای حفاظت از داده‌ها بسیار مهم است و هم برای پاسخگویی به درخواست‌ها برای تصحیح یا پاک کردن اطلاعات شخصی، تقاضایی که به عنوان “حق فراموش شدن ” شناخته می‌شود.
  • نظارت مداوم- اخطار رخنه در داده، کنترل کننده‌های داده را به کار می‌گیرد تا ظرف 72 ساعت، کشف رخنه را گزارش دهند. شما باید الگوهای دسترسی غیر عادی بر روی فایل‌های حاوی اطلاعات شخصی را تشخیص دهید. در صورت عدم انجام این کار، انتظار جریمه‌های سنگینی را داشته باشید.
  • ابر داده – با الزامات GDPR برای تعیین محدودیت در نگهداری داده، باید بدانید که هدفتان از جمع‌آوری داده چیست. اطلاعات شخصی که بر روی سیستم‌های شرکت قرار دارند باید مرتبا بررسی شوند تا اگر نیاز بود بایگانی شوند و به یک حافظه‌ی ارزان‌تر منتقل شوند یا برای استفاده‌های آتی ذخیره شوند .
  • نظارت بر داده‌ها – سازمان‌ها برای نظارت بر داده‌ها به یک برنامه نیاز دارند. با امنیت داده‌ای که به صورت یک قانون طراحی شده است، سازمان‌ها باید بفهمند که چه کسی به داده‌های شخصیِ درون سیستم شرکت دسترسی دارد، چه کسی مجاز به دسترسی به این داده‌ها است و باید بر طبق نقش کارمندان و نیازهای کاری، مجوز دسترسی آن‌ها را محدود کنند.

 

چگونه یک شرکت ارائه‌دهنده خدمات امنیتی به شما در امنیت داده‌‌ها کمک خواهد کرد؟

برای شرکت‌هایی که داده‌های خود را حفظ کرده‌اند و به خاطر GDPR یا سایر الزامات نظارتی ، تعهدات امنیتی دارند ، درک ماموریت یک شرکت خدمات امنیتی به شما کمک می‌کند که حفاظت از داده را مدیریت کنید و الزامات مقررات محرمانگی را برآورده کنید.

ماموریت یک شرکت ارائه دهنده خدمات امنیتی ساده است: داده‌های شما در مرکز توجه آنهاست و برنامه‌ی امنیت داده‌ی آن‌ها از فایل‌ها و ایمیل‌های شما در برابر حملات سایبری و تهدیدات داخلی محافظت می‌کند. آن‌ها هم در حالت ابری و هم بر روی منابع داخلی، به طور پیوسته در حال جمع‌آوری و تحلیل فعالیت‌های انجام شده بر روی داده‌های شرکت‌تان هستند. غالبا شرکت‌ها 5 جریان ابرداده را به کار می‌گیرند تا از محرمانگی، یکپارچگی و دسترس پذیریِ داده‌های شرکت‌تان اطمینان حاصل کنند:

  • کاربران و گروه‌ها: یک شرکت امنیتی اطلاعات گروه‌ها و کاربران را جمع‌آوری می‌کند و برای ارائه‌ی یک تصویر کامل از سازمان کاربر‌ها ، روابط بین‌شان را به شکل یک نقشه ترسیم می‌کند .
  • مجوزها: از برنامه‌هایی که بر آن‌ها نظارت می‌کنند، ساختار سیستم فایل و مجوز‌ها را اضافه می‌شود و برای تجزیه و تحلیل و خودکار سازی و تصویر سازیِ دسترسی، همه چیز را در یک چارچوب واحد باهم ترکیب می‌کنند.
  • فعالیت دسترسی: به طور پیوسته تمام فعالیت‌های دسترسی را بررسی می‌کنند و تمام تماس‌ها بوسیله‌ی تمام کاربران را ثبت و تحلیل می‌کند. به صورت خودکار، مدیران، حساب‌های خدماتی و مدیران اجرایی را تشخیص می‌دهند و یک خط مبنا از تمام فعالیت‌ها ایجاد می‌کند. اکنون می‌توانید رفتارهای مشکوک را تشخیص دهید : اگر یک شخص داخلی در حال دسترسی به محتوای حساس است، یعنی یا یک مدیر از امتیازات خود سوء استفاده کرده است یا کار باج‌افزاری مانند CryptoLocker است.
  • اندازه گیری محیط پیرامون: داده‌های بدست آمده از دستگاه‌های محیط پیرامون مانند VPN ، سرورهای proxy و DNS را تحلیل می‌کنند و این اطلاعات را با فعالیت دسترسیِ داده‌ها ترکیب می‌کنند تا نفوذ بدافزار‌ها و برون نشت داده‌ها را تشخیص دهد و جلوی آن‌ها را متوقف کنند.
  • طبقه بندی محتوا : به دنبال داده‌های حساس و مهم می‌گردند و می‌توانند طبقه‌بندی را از ابزار‌های دیگری مثل DLP یا e-Discover، فرا بگیرد.حالا می‌دانیم که داده‌های حساس در کجا قرار دارند و در کجا در معرض خطر قرار می‌گیرند.

این 5 جریان ابرداده برای دستیابی به امنیت داده‌ی nirvana بسیار مهم هستند . وقتی آن‌ها را با هم ترکیب ‌کنید می‌توانید گزارش‌هایی درمورد داده‌های حساسی که در دسترس گروه‌های سراسری هستند، داده‌های قدیمی، مالکیت داده‌ها، تغییر مجوز‌ها و غیره بدست آورید. سپس می‌توانید گزارش‌های خود را اولویت بندی کنید و اقدام به اصلاح ریسک‌ها نمایید. در همین حین، می‌دانید که داده‌هایتان به طور پیوسته کنترل می‌شوند و در صورت بروز رفتار مشکوک، بلافاصله هشدار دریافت می‌کنید.