Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
X

Autentificare cont

Tine-ma minte

Ati uitat parola? Click aici pentru a recupera user/parola

Nu aveti cont?
X

Recuperare user/parola

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

Autentificare Inregistrare cont
Portal actualizat la 24 Martie 2019
Contine toate actele normative din domeniu, actualizate la zi - parteneriat Legis

Intrebari privind vanzarea de produse si servicii de securitate a datelor personale si a datelor corporative

08 Oct 2018

Companiile care furnizeaza servicii sau vand produse de securitate in mod direct sau in numele unui furnizor de software, hardware, retea sau furnizor de servicii cloud, trebuie sa actioneze ca adevarate organisme consultative, din perspectiva GDPR

Multe organizatii se bazeaza pe suportul de specialitate acordat de aceste companii cu privire la toate aspectele tehnologiei. Cu toate acestea, avand in vedere viteza naucitoare cu care amenintarile cibernetice evolueaza, organizatiile care prelucreaza date personale cauta si indrumari in ceea ce priveste securitatea informatica. Multe dintre acestea nu poseda expertiza interna, deci cauta raspunsuri cu privire la produsele si serviciile de securitate IT necesare pe care ar trebui sa achizitioneze pentru a reduce riscurile.

Intr-o piata tot mai competitiva, companiile furnizoare de produse si servicii de securitate au nevoie de o modalitate eficienta si eficace pentru a se evidentia si de a construi relatii de durata ca si consilieri de incredere ai clientilor lor. In mediul de business de astazi, abordarea traditionala a vanzarii produselor fara furnizarea de suport de specialitate adecvat va tine clientii la distanta, acestia optand in schimb pentru acele companii furnizoare care pot oferi sprijinul suplimentar de care au nevoie odata ce produsele sunt instalate in retelele lor.

Companiile furnizoare trebuie sa analizeze in detaliu ceea ce necesar efectiv pentru utilizatorii finali. Aceasta implica obtinerea unei intelegeri corecte a necesitatilor actuale ale clientilor, pentru a sugera instrumentele care vor imbunatati performanta globala. Cand vine vorba de securitatea cibernetica - si in special de securitatea serverului de fisiere companiile furnizoare de produse si servicii de securitate trebuie sa aiba in vedere urmatoarele intrebari pentru a sugera solutiile corecte si necesare pentru companiile beneficiare.

Cine are acces la date confidentiale?

Pentru a asigura securitatea datelor, companiile trebuie sa monitorizeze in permanenta cine are acces si la ce date. Aceasta activitate poate deveni complexa pentru urmarire si actualizare, mai ales pe masura ce creste numarul de utilizatori. Este esential ca angajatii sa aiba acces numai in raport cu rolul pe care il joaca in cadrul organizatiei, atenuand unele dintre riscurile pe care le prezinta amenintarile interne si acreditarile compromise.

Daca la nivelul organizatiei beneficiare nu se pot identifica cu usurinta seturile de date si informatii privind diferite drepturi de acces, acesta este un semnal de alarma, un adevarat red flag . Companiile furnizoare ar trebui, prin urmare, sa sugereze instrumente care sa ofere o vizibilitate completa privind permisiunile utilizatorilor si revocarea drepturilor de acces in timp real. Aceste capacitati le vor asigura un timp extrem de pretios in situatia in care se considera ca exista o scurgere potentiala de date din cauza acreditarilor compromise.

Exista date supraexpuse?
Intr-un departament IT ocupat peste masura si lipsit de personal (subdimensionat), poate fi tentant sa le dai pur si simplu utilizatorilor mai multe permisiuni decat au nevoie. Permisiunile excesive pot fi, de asemenea, rezultatul unor greseli sau actiuni rau-intentionate.
Pentru a usura sarcina, compania furnizoare ar trebui sa sugereze instrumente care limiteaza suprafata atacului , asigurandu-se ca drepturile de acces sunt acordate numai utilizatorilor care au nevoie de ele intr-adevar. Cu rapoarte predefinite privind permisiunile de acces excesiv, firmele pot identifica rapid utilizatorii si grupurile care au permisiuni pe care nu le utilizeaza, astfel incat accesul lor sa fie restrictionat si datele supraexpuse blocate.

Cine detine anumite fisiere?
Urmarirea proprietatii fisierelor este cruciala. Proprietarii de fisiere pot acorda privilegii de acces pentru ei si alte persoane, compromitand integritatea si confidentialitatea datelor personale si ale companiei. Chiar si accidental, o singura modificare a permisiunilor poate afecta zeci, sute sau mii de utilizatori, poate impiedica procesele de afaceri si pune datele personale si ale companiei in pericol.

Daca organizatiile se straduiesc sa controleze proprietatea datelor, instrumentele de acces le permit sa monitorizeze activitatea proprietarilor de date si sa verifice daca fiecare modificare a permisiunii a fost autorizata. in plus, unele instrumente pot furniza alerte automate cu privire la orice schimbari de permisiune, ceea ce asigura faptul ca administratorii de sistem sunt imediat constienti de eventualele modificari si le pot inversa rapid daca fisierele sensibile sunt brusc prea accesibile.

Cine a accesat date sensibile in perioada "X"?
Organizatiile trebuie sa poata examina nu numai permisiunile de acces, ci si totalitatea evenimentelor de acces. Cu toate acestea, controlul accesului la informatii sensibile si mentinerea acestuia in siguranta este extrem de dificil fara o solutie IT dedicata, iar activitatea de tip insider orientata spre exfiltrarea datelor poate fi afectata , daca nu se efectuteaza in mod continu o pista de audit (audit trail- audit log) completa.

Compania furnizoare trebuie sa consilieze beneficiarii cu privire la instrumentele care pot sa colecteze si sa stocheze in mod automat date despre evenimente de acces realizate si esuate. Acest lucru va permite echipelor IT sa ramana la curent cu privire la incidentele de securitate si sa ia masuri in timp util pentru a preveni pierderea datelor.
Multe tools-uri moderne se indreapta spre o interfata de utilizator asemanatoare cu cea a companiei Google, facand functiile de cautare interactiva incredibil de simpliste. Companiile pot specifica doar un nume de fisier sau un nume de folder si o perioada de timp pentru a afla exact ce utilizatori incearca sa acceseze date sensibile si cand anume au facut-o.

Au existat modele anormale, neobisnuite de acces la date?
Pe langa faptul ca organizatiile trebuie sa fie capabile sa detecteze si sa investigheze evenimente de acces neautorizate unice, este important ca acestea sa aiba veritabili ochi de vultur pentru tot ceea ce se intampla cu datele de pe serverele lor de fisiere. Lipsa de vizibilitate se poate dovedi costisitoare daca amenintarile - cum ar fi atacurile automate, care genereaza de obicei un numar mare de evenimente - nu sunt reperate rapid.

Orice companie trebuie sa beneficieze de instrumente care furnizeaza statistici consolidate privind modelele de utilizare a datelor. O astfel de raportare le permite companiilor sa detecteze imediat si sa investigheze tentativele de activitati suspecte care ar putea indica amenintari asupra datelor.

Orice valuri sunt suspecte in activitatea esuata?
Desi un anumit numar de evenimente nereusite este inevitabil, aspectele aparute brusc, pe neasteptate in activitatea esuata indica faptul ca se intampla ceva suspect. Indiferent daca situatia este cauzata de un atac automatizat sau de un comportament necorespunzator al utilizatorilor, organizatiile nu pot avea servere de fisiere sigure pana cand nu au o modalitate eficienta si eficace de a detecta si investiga incidentele. Companiile furnizoare ar trebui sa intrebe daca organizatiile beneficiare pot identifica o astfel de activitate.

Daca raspunsul este "nu", organizatia beneficiara are nevoie de instrumente adecvate care identifica si monitorizeaza o activitate esuata, astfel incat aceasta sa poata reactiona rapid la schimbarile anormale in numarul incercarilor esuate de a accesa, modifica, copia sau elimina datele.

Asadar, companiile furnizoare care incearca sa vanda produse, servicii si solutii de securitate a datelor personale si a datelor corporative, fara sa isi puna astfel de intrebari, vor incepe in curand sa ramana in urma. Numai prin oferirea de consultanta dedicata si solutii care sa adauge o valoare reala clientilor finali, realizata printr-o analiza cuprinzatoare a situatiei existente, companiile furnizoare de produse si servicii de securitate pot construi relatii de business durabile si profitabile.

Newsletter portalprotectiadatelor.ro

Top 10 intrebari si raspunsuri referitoare la implementarea GDPR

Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul portalprotectiadatelor.ro si primesti cadou Raportul special "Top 10 intrebari si raspunsuri referitoare la implementarea GDPR"!

Da, doresc sa ma abonez si sa primesc informatii despre produsele, serviciile, evenimentele etc. oferite de Rentrop & Straton. Termeni si conditii de utilizare a site-ului Nota de informare

x