CyberArk. Αντίστροφη μέτρηση για τον GDPR. Πως να προστατεύσετε όλες τις διαδρομές προς τα προσωπικά δεδομένα
O Γενικός Κανονισμός για τη Προστασία των Δεδομένων (GDPR) θα τεθεί σε εφαρμογή από τις 25 Μαΐου του 2018, είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος της Ευρωπαϊκής Ένωσης, όμως παρόλο που η συγκεκριμένη ημερομηνία δεν απέχει παρά μερικούς μήνες, πολλοί είναι οι οργανισμοί που εξακολουθούν που είναι είτε μπερδεμένοι, είτε απροετοίμαστοι, παρόλο που πρόκειται για ένα μία ιδιαίτερα σημαντική νομοθεσία.
Για να βοηθήσει τους οργανισμούς να προετοιμαστούν καλύτερα για τις αλλαγές που φέρνει η νομοθεσία, υπογραμμίζοντας παράλληλα πόσο στρατηγικά πολύτιμη για μία επιχείρηση είναι η προστασία της πρόσβασης σε προσωπικά δεδομένα, η CyberArk ανέπτυξε τη σειρά GDPR Advisory που είναι ήδη διαθέσιμη. Η σειρά περιγράφει πρακτικά βήματα για την εκπλήρωση των απαιτήσεων του Γενικού Ευρωπαϊκού Κανονισμού Προστασίας των Δεδομένων (GDPR), συμπεριλαμβανομένης της προστασίας της πρόσβασης στα δεδομένα, της ταχείας αντίδρασης, της εκτίμησης κινδύνων και της επίδειξης και απόδειξης της συμμόρφωσης με τον Κανονισμό.
Προστασία των διαδρομών προς τις προσωπικές πληροφορίες
Όπως έχει ήδη γίνει γνωστό από παλαιότερες αναρτήσεις της CyberArk, ένας κυβερνο-επιτιθέμενος συνήθως ακολουθεί την “προνομιακή οδό” για να οδηγηθεί στα πιο ευαίσθητα δεδομένα και στις πληροφορίες ενός οργανισμού. Για να προστατεύσετε τον οργανισμό σας, πρέπει να ελέγχετε αυστηρά τις οδούς προνομιακής πρόσβασης, έτσι ώστε οι χρήστες με μη εξουσιοδοτημένη πρόσβαση να αποκλειστούν επιτόπου – είτε είναι κακόβουλοι είτε απλώς έχουν βρεθεί σε αυτή τη θέση από λάθος.
Οι προνομιούχοι “χρήστες”, συμπεριλαμβανομένων των εργαζομένων αλλά και τρίτων -ακόμη και συγκεκριμένες εφαρμογές ή διαδικασίες- μπορούν να έχουν πρόσβαση σε αυτή τη διαδρομή και, ως εκ τούτου, σε προσωπικά δεδομένα. Τώρα, υπό το νέο Γενικό Ευρωπαϊκό Κανονισμό Προστασίας των Δεδομένων είστε υπεύθυνοι για όλα αυτά.
Η πρώτη γνωμοδότησή μας για το GDPR διερευνά τα συγκεκριμένα άρθρα της νομοθεσίας GDPR που περιγράφουν ποιος ή τι, μπορεί (και δεν μπορεί) να έχει προνομιακή πρόσβαση σε προσωπικά δεδομένα. Για παράδειγμα:
- Το άρθρο 25 του GDPR απαιτεί την προστασία των προσωπικών δεδομένων εξ ορισμού και από προεπιλογή: Σε αυτή τη περίπτωση, διερευνάται πως η εφαρμογή της “αρχής των λιγότερων προνομίων” μπορεί να περιορίσει την πρόσβαση των χρηστών στο ελάχιστο επίπεδο δεδομένων που επιτρέπει την κανονική λειτουργία της επιχείρησης ενισχύοντας παράλληλα σημαντικά τον επιχειρησιακό έλεγχο της πρόσβασης σε προσωπικά δεδομένα.
- Το άρθρο 32 παράγραφος 2 του GDPR αναφέρει ότι οι εταιρείες και οι οργανισμοί πρέπει να παρέχουν προστασία στα προσωπικά δεδομένα από τη τυχαία ή παράνομη καταστροφή, από την απώλεια, την αλλοίωση ή την πρόσβαση: Στη συγκεκριμένη περίπτωση, περιγράφονται τα προληπτικά βήματα που μπορείτε να ακολουθήσετε για να συμμορφωθείτε με το συγκεκριμένο άρθρο, συμπεριλαμβανομένης της τοποθέτησης προνομιακών διαπιστευτηρίων σε ασφαλή ψηφιακό θησαυροφυλάκιο και την επιβολή εξατομικευμένης λογοδοσίας για κάθε ενέργεια που θα έχει αναληφθεί χρησιμοποιώντας τα απαραίτητα διαπιστευτήρια – ανά πάσα στιγμή.
Η ισχυρή προνομιακή ασφάλεια λογαριασμού απαιτεί περισσότερα από μία απλή διαχείριση των κωδικών πρόσβασης των μεμονωμένων χρηστών. Είναι επίσης απαραίτητο να έχετε απομονώσει, να ελέγχετε και να παρακολουθείτε την προνομιακή πρόσβαση κατά μήκος όλων των συστημάτων σας, των βάσεων δεδομένων και των μηχανών εικονικοποίησης (VM) σας. Στη γνωμοδότηση διερευνάται μια “λίστα ελέγχου” που παρέχει τρόπους και δυνατότητες δράσης και επέμβασης, η οποία διασφαλίζει τη πρόσβαση στο σύστημα και θα εμποδίζει τους εισβολείς και τους κακόβουλους insiders να αξιοποιούν κλεμμένα διαπιστευτήρια για να παρακάμψουν τις λύσεις παρακολούθησης και τους ελέγχους ασφαλείας.
Διαβάστε ολόκληρη τη γνωμοδότηση GDPR εδώ. Για να μάθετε περισσότερα σχετικά με την προστασία των προσωπικών δεδομένων, επικοινωνήστε με έναν αντιπρόσωπο της εταιρείας ή επισκεφθείτε αυτή τη διεύθυνση για να μάθετε με ποιο τρόπο η CyberArk μπορεί να βοηθήσει τον οργανισμό σας να προετοιμαστεί για τον GDPR.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.