Logotyp PureQualityLogotyp PureQualityLogotyp PureQualityLogotyp PureQuality
  • Strona główna
  • Funkcja IOD
  • Szkolenia
  • Oferta
    • Funkcja IOD
    • Wdrożenia RODO
    • Wdrożenia ISO
    • Audyty i inspekcje
    • Szkolenia
  • Aktualności
  • O nas
  • Kontakt

Jak zabezpieczyć komputer zgodnie z wymaganiami RODO oraz ISO/IEC 27001

  • Data dodania: 3 kwietnia 2021

Jak zabezpieczyć komputer zgodnie z wymaganiami RODO oraz ISO/IEC 27001

Radosław Szczerski

Świadomi kar w dobie RODO bardzo często zadajemy sobie pytanie: Jak prawidłowo zabezpieczyć komputer? Jak sprawić, aby informacje w tym dane osobowe o nas, o pracownikach, o naszych klientach były bezpieczne? Jak prawidłowo zabezpieczyć nasze systemy informatyczne, nasze serwery i komputery?

Dość często spotykamy się w trakcie audytów, szkoleń oraz wdrożeń ISO/IEC 27001 i RODO z opinią, że zabezpieczenia sieci informatycznej, serwerów, komputerów, systemu informatycznego – nigdy nie będą w pełni gwarantować bezpieczeństwa, więc po co je wdrażać? Po co inwestować w bezpieczeństwo informatyczne? Wiele organizacji zawierza w tej kwestii swojemu informatykowi, który opiekuje się systemami informatycznymi firmy. Warto zadać kolejne pytanie czy potrafimy samodzielnie ocenić poziom zabezpieczenia informacji zgromadzonych w naszych systemach informatycznych? Czy mamy świadomość istniejących ryzyk i konsekwencji ich wystąpienia (np. wizerunkowe, finansowe, prawne)? Czy nasz “biznes” nie wyprzedził zanadto naszego “bezpieczeństwa”?

Obrazowo przedstawię problem na przykładzie zabezpieczenia domu, stosując pewne uogólnienia:

Można zgodzić się ze stwierdzeniem, że samo zamontowanie zamka w drzwiach nie daje nam gwarancji bezpieczeństwa. Po pierwsze musimy nauczyć się i pamiętać o przekręceniu kluczyka w odpowiednim momencie. Co się stanie, gdy przy tych drzwiach zamontujemy dodatkowo kamerę, postawimy strażnika, który będzie obserwować kto przez te drzwi przechodzi. Wzmocnimy drzwi, zamontujemy dodatkowe zamki, blokady, łańcuchy, zabezpieczenia biometryczne. Czy możemy już czuć się bezpiecznie?

Pomyślmy o tym, czy zabezpieczając dom i wzmacniając drzwi zastanawialiśmy się nad konstrukcją budynku, kominem, oknami, kanalizacją? Jak zabezpieczyliśmy się przed zalaniem, pożarem, trzęsieniem ziemi lub huraganem? W jakim stopniu dom jest zabezpieczony przed niewłaściwym działaniem jego mieszkańców oraz gości (ludzie, owady, gryzonie, psy i koty itd.)?

Jeżeli mamy tyle zabezpieczeń to czy kiedykolwiek oceniliśmy ich skuteczność? Sama ilość zagrożeń i ich charakter będzie zawsze zróżnicowany i zależny od przeznaczenia i zawartości budynku, jego użytkowników oraz lokalizacji. Czy potrafimy oszacować ile powinno kosztować bezpieczeństwo naszej firmy?

Analogicznie możemy pomyśleć o tym, jak zabezpieczyć komputer.

Bezpieczeństwo informacji w tym bezpieczeństwo danych osobowych powinniśmy budować kompleksowo w oparciu o ocenę ryzyka.

Pamiętajmy: intruz z Internetu szuka przeważnie “uchylonych okien” i “szybkich pieniędzy”, nie zawsze ma czas na forsowanie solidnego muru. Niestety bardzo często to My sami dajemy mu klucz do drzwi.

Jak zabezpieczyć komputer przed niechcianym gościem, utratą danych i atakami na sieć informatyczną?

Poniżej przedstawiam krótką listę podstawowych zasad, o których powinniśmy pamiętać przy pracy w systemach informatycznych (z wykorzystaniem komputera, czy smartfona):

  1. System operacyjny komputera/serwera/smartfona powinien posiadać wsparcie techniczne dostawcy (aktualizacje i łatki). np starsze wersje jak Windows 7 czy XP, nie mają już wsparcia i stwarzają dodatkowe ryzyka dla wszystkich danych zgromadzonych w sieci informatycznej.
  2. Instaluj krytyczne aktualizacje wymagane przez producenta np. systemu operacyjnego, oprogramowania w tym sterowników komputera (to samo dotyczy urządzeń sieciowych: routery, UTM, serwery, Switche, drukarki sieciowe itp.)
  3. Stosuj oprogramowanie pochodzące z legalnego źródła – prawa autorskie, licencje.
  4. Szyfruj dyski w laptopie np. przez włączenie funkcji “Bitlocker” dostępnej w Windows 10 Pro.
  5. Szyfruj zewnętrzne nośniki pamięci np. pendrive. Zastanów się czy musisz ich używać (wyższe ryzyko utraty danych)?
  6. Zainstaluj oprogramowanie antywirusowe o szerokim spektrum ochrony. Warto sprawdzić przed instalacją opinie niezależnych ekspertów na temat jego skuteczności i funkcjonalności.
  7. Ważne dane zabezpiecz przez dodatkową kopię bezpieczeństwa, którą przechowujesz w innym miejscu/pomieszczeniu/budynku z uwagi na ryzyko pożaru, np. w chmurze. Pamiętaj że “jedyna kopia” danych na pendrive nie jest najbezpieczniejszym rozwiązaniem.
  8. Okresowo sprawdzaj, czy kopie bezpieczeństwa nie są uszkodzone.
  9. Przy pracy w systemie Microsoft Windows używaj konta z ograniczonymi uprawnieniami – jeżeli coś się stanie, straty mogą być mniejsze niż przy koncie z uprawnieniami administratora.
  10. Pamiętaj, że dane na “Pulpicie” są najbardziej zagrożone przy ataku – mamy przecież możliwość podzielania dysku na inne partycje i katalogi.
  11. Stosuj jedno silne hasło (np. 12-15 znaków w tym wielka i mała litera, cyfra i znak specjalny) do jednego systemu. Nie używaj tego samego hasła do komputera, do banku, do poczty, do Facebooka, do zakupów w Internecie itd. Zmieniaj hasła minimum raz w roku. Stosuj managera haseł np. KeePassXC (https://keepassxc.org/)
  12. Jeżeli możesz wdrożyć uwierzytelnienie dwuskładnikowe (ang. Two Factor Authenticaton, 2FA) do systemu informatycznego, poczty, komputera – koniecznie zrób to (np. hasło + SMS, hasło + token, hasło i klucz sprzętowy z protokołem U2F i FIDO2, hasło + Google Authenticator).
  13. Jeżeli podróżujesz z komputerem – zamontuj przed pracą w podróży filtr prywatyzujący na monitorze laptopa.
  14. Nie korzystaj z publicznych darmowych punktów WiFi (np. sklepy, hotele, lotniska) – otwórz dostęp do Internetu przez swój smartfon.
  15. Zrezygnuj z uruchamiania makra np. w plikach Microsoft Office – jeżeli nie wiesz co to jest makro i po co ono jest 😉
  16. Nie otwieraj załączników z poczty, ani nie klikaj w linki, gdzie nie jesteś pewien ich pochodzenia.
  17. Oprogramowanie pobieraj wyłącznie ze strony jego producenta. Nie korzystaj z portali typu www.superdobreprogramy.pl.
  18. Nie wkładaj do gniazda USB komputera nieznanych urządzeń np. wiatraczek (lub stosuj prezerwatywy na USB np. firm Portapow, Sabrent), nie wkładaj niezatwierdzonych nośników pamięci do portów USB  oraz używaj programu antywirusowego (skanowanie zewnętrznego nośnika pamięci przed jego uruchomieniem).
  19. …

Lista potencjalnych zagrożeń jest otwarta, a proponowane powyżej zasady są przykładem i nie dają nam 100% gwarancji bezpieczeństwa.

Zadam na koniec jeszcze raz to samo pytanie: Czy pozostawienie otwartych drzwi lub zastosowanie tylko jednego zabezpieczenia wystarczy, aby ochronić nasz dom, naszą firmę i informacje, które posiadamy?

Eksperci Pure Quality mogą pomóc w ocenie wdrożenia zabezpieczeń technicznych oraz organizacyjnych w Państwa firmie.

O temacie pisaliśmy już wielokrotnie, między innymi z okazji Dnia Bezpiecznego Internetu 2021.

Logotyp Pure Quality
  • → Strona główna
  • → Funkcja IOD
  • → Szkolenia
  • → Oferta
  • → Aktualności
  • → O nas
  • → Kontakt
TELEFON

+48 885 650 850

E-MAIL

kontakt@purequality.pl

Polityka prywatności | Polityka cookies | Centrum prywatności
Realizacja: Create WWW - Tworzenie stron internetowych
    Zarządzaj zgodami plików cookie
    Aby zapewnić jak najlepsze wrażenia, korzystamy z technologii, takich jak pliki cookie, do przechowywania i/lub uzyskiwania dostępu do informacji o urządzeniu. Zgoda na te technologie pozwoli nam przetwarzać dane, takie jak zachowanie podczas przeglądania lub unikalne identyfikatory na tej stronie. Brak wyrażenia zgody lub wycofanie zgody może niekorzystnie wpłynąć na niektóre cechy i funkcje.
    Funkcjonalne Zawsze aktywne
    Przechowywanie lub dostęp do danych technicznych jest ściśle konieczny do uzasadnionego celu umożliwienia korzystania z konkretnej usługi wyraźnie żądanej przez subskrybenta lub użytkownika, lub wyłącznie w celu przeprowadzenia transmisji komunikatu przez sieć łączności elektronicznej.
    Preferencje
    Przechowywanie lub dostęp techniczny jest niezbędny do uzasadnionego celu przechowywania preferencji, o które nie prosi subskrybent lub użytkownik.
    Statystyka
    Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do celów statystycznych. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
    Marketing
    Przechowywanie lub dostęp techniczny jest wymagany do tworzenia profili użytkowników w celu wysyłania reklam lub śledzenia użytkownika na stronie internetowej lub na kilku stronach internetowych w podobnych celach marketingowych.
    Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
    Zobacz preferencje
    {title} {title} {title}