Czym jest ochrona danych?
Dowiedz się, jak chronić dane niezależnie od tego, gdzie się znajdują, oraz jak zarządzać danymi poufnymi i krytycznymi dla działania firmy w całym środowisku.
Definicja ochrony danych
Ochrona danych odnosi się do strategii i procesów bezpieczeństwa, które pomagają chronić poufne dane przed uszkodzeniem, naruszeniem zabezpieczeń i utratą. Zagrożenia związane z danymi poufnymi obejmują naruszenia zabezpieczeń danych i incydenty utraty danych.
Naruszenie zabezpieczeń danych to wynik nieautoryzowanego dostępu do informacji, sieci lub urządzeń organizacji, spowodowanego takimi źródłami jak cyberatak, zagrożenia wewnętrzne lub błędy ludzkie. Oprócz utraty danych, organizacja może narazić się na konsekwencje w postaci kar za naruszenie zgodności z przepisami, postępowania sądowego w związku z ujawnieniem danych osobowych oraz długotrwałego uszczerbku dla reputacji marki.
Zdarzenie dotyczące utraty danych to celowe lub przypadkowe zakłócenie normalnej pracy organizacji - na przykład zagubienie lub kradzież laptopa, uszkodzenie oprogramowania lub przedostanie się wirusa do sieci firmowej. Posiadanie zasad zabezpieczeń i przeszkolenie pracowników w zakresie rozpoznawania zagrożeń i sposobów reagowania — lub braku reakcji — ma kluczowe znaczenie z punktu widzenia strategii ochrony danych.
Kluczowe zasady ochrony danych
Dwie kluczowe zasady ochrony danych to dostępność danych i zarządzanie danymi.
Dostępność danych umożliwia pracownikom dostęp do danych, których potrzebują do codziennej pracy. Zapewnienie dostępności danych jest ważnym elementem planu ciągłości działania i odzyskiwania danych po awarii, który bazuje na kopiach zapasowych przechowywanych w osobnej lokalizacji. Posiadanie dostępu do tych kopii pozwala zminimalizować przestoje i zapewnić ciągłość pracy pracowników.
Zarządzanie danymi obejmuje zarządzanie cyklem życia danych oraz zarządzanie cyklem życia informacji.
- Zarządzanie cyklem życia danych obejmuje tworzenie, przechowywanie, wykorzystywanie i analizę danych oraz ich archiwizację lub usuwanie. Ten cykl życia pomaga upewnić się, że organizacja przestrzega odpowiednich przepisów i że nie przechowuje danych niepotrzebnie.
- Zarządzanie cyklem życia informacji to strategia katalogowania i przechowywania informacji uzyskanych ze zbiorów danych organizacji. Ma ona na celu określenie, na ile informacje są istotne i dokładne.
Dlaczego ochrona danych jest ważna?
Ochrona danych jest ważna z punktu widzenia ochrony organizacji przed kradzieżą, wyciekiem i utratą danych. Obejmuje ona stosowanie zasad ochrony prywatności, które spełniają wymogi dotyczące zgodności z przepisami oraz zapobieganie narażaniu na szwank reputacji organizacji.
Strategia ochrony danych obejmuje monitorowanie i ochronę danych w środowisku firmy oraz utrzymanie ciągłej kontroli w zakresie widoczności danych i dostępu do nich.
Opracowanie zasad ochrony danych pozwala organizacji określić tolerancję ryzyka w odniesieniu do każdej kategorii danych oraz zachować zgodność z obowiązującymi przepisami. Zasady te pomagają również określić proces uwierzytelniania i autoryzacji - czyli określić, kto powinien mieć dostęp do jakich informacji i dlaczego.
Rodzaje rozwiązań do ochrony danych
Rozwiązania do ochrony danych pomagają monitorować aktywność wewnętrzną i zewnętrzną, sygnalizować podejrzane lub ryzykowne zachowania związane z udostępnianiem danych oraz kontrolować dostęp do danych poufnych.
-
Ochrona przed utratą danych
Ochrona przed utratą danych to rozwiązanie z zakresu zabezpieczeń, które pomaga organizacji zapobiegać udostępnianiu, przekazywaniu lub wykorzystywaniu danych poufnych poprzez takie działania jak monitorowanie informacji poufnych w całym zbiorze danych. Pomaga również zapewnić zgodność z obowiązującymi przepisami — na przykład z Ustawą o przenoszeniu i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) i Ogólnym rozporządzeniem o ochronie danych (RODO) Unii Europejskiej. -
Replikacja
Replikacja polega na ciągłym kopiowaniu danych z jednej lokalizacji do drugiej w celu tworzenia i przechowywania aktualnej kopii danych. Umożliwia to przejście w tryb awaryjny (failover) na te dane w przypadku awarii systemu podstawowego. Oprócz ochrony przed utratą danych, replikacja pozwala na udostępnienie danych z najbliższego serwera, dzięki czemu autoryzowani użytkownicy mają do nich szybszy dostęp. Posiadanie pełnej kopii danych organizacji zapewnia również zespołom możliwość wykonywania analiz bez zakłócania codziennych potrzeb związanych z danymi.
-
Magazyn z wbudowanymi zabezpieczeniami
Rozwiązanie do przechowywania danych powinno zapewniać ochronę danych, ale także umożliwiać odzyskiwanie danych, które zostały usunięte lub zmodyfikowane. Na przykład, kilka poziomów redundancji pomaga chronić dane przed takimi sytuacjami jak przerwy w dostawie usług, problemy sprzętowe i klęski żywiołowe. Przechowywanie wersji pozwala zachować poprzednie stany danych, gdy operacja nadpisywania tworzy nową wersję. Skonfiguruj blokadę (np. tylko do odczytu lub nie można usunąć) kont magazynu, aby zabezpieczyć je przed przypadkowym lub złośliwym usunięciem.
-
Zapory
Zapora pomaga zagwarantować, że tylko autoryzowani użytkownicy mają dostęp do danych organizacji. Działa na zasadzie monitorowania i filtrowania ruchu sieciowego zgodnie z regułami zabezpieczeń użytkownika i pomaga blokować zagrożenia takie jak wirusy i oprogramowanie ransomware. Ustawienia zapory zwykle oferują opcje tworzenia reguł ruchu przychodzącego i wychodzącego, określania reguł zabezpieczeń połączeń, przeglądania dzienników monitorowania oraz otrzymywania powiadomień o zablokowaniu czegoś przez zaporę.
-
Odnajdowanie danych
Odnajdowanie danych to proces ustalania, jakie zbiory danych istnieją w organizacji w centrach danych, na laptopach i komputerach stacjonarnych, różnych urządzeniach mobilnych oraz na platformach w chmurze. Kolejnym krokiem jest skategoryzowanie danych (np. oznaczenie ich jako zastrzeżone, prywatne lub publiczne) i sprawdzenie, czy są zgodne z przepisami.
-
Uwierzytelnianie i autoryzacja
Kontrole uwierzytelniania i autoryzacji weryfikują poświadczenia użytkowników i potwierdzają, że uprawnienia dostępu są przypisywane i stosowane prawidłowo. Kontrola dostępu na podstawie ról to przykładowe rozwiązanie zapewniania dostępu tylko tym osobom, które potrzebują go do wykonywania obowiązków. Może być używana w połączeniu z zarządzaniem tożsamościami i dostępem, ułatwiając kontrolę nad tym, do czego pracownicy mogą mieć dostęp, a do czego nie, w celu zapewnienia większego bezpieczeństwa zasobów organizacji - aplikacji, plików i danych.
-
Kopia zapasowa
Kopie bezpieczeństwa zaliczają się do kategorii zarządzania danymi. Mogą być wykonywane z dowolną częstotliwością (na przykład pełne kopie zapasowe każdej nocy i przyrostowe kopie zapasowe w ciągu dnia) i pozwalają na szybkie przywrócenie utraconych lub uszkodzonych danych w celu zminimalizowania przestojów. Typowa strategia tworzenia kopii zapasowych obejmuje zapisywanie kilku kopii danych i przechowywanie pełnego zestawu kopii na oddzielnym serwerze, a kolejnego w lokalizacji poza siedzibą firmy. Strategia tworzenia kopii zapasowych będzie dostosowana do planu odzyskiwania danych po awarii.
-
Szyfrowanie
Szyfrowanie pomaga zapewnić bezpieczeństwo, poufność i integralność danych. Stosuje się je w przypadku danych w spoczynku lub w ruchu, aby uniemożliwić nieautoryzowanym użytkownikom podgląd zawartości plików, nawet jeśli uzyskają dostęp do ich lokalizacji. Tekst jawny jest przekształcany w niemożliwy do odczytania tekst zaszyfrowany (innymi słowy, dane są przekształcane w kod), do którego odczytania lub przetworzenia potrzebny jest klucz deszyfrujący.
-
Odzyskiwanie po awarii
Odzyskiwanie po awarii to element bezpieczeństwa informacji (InfoSec), który jest ukierunkowany na sposób, w jaki organizacje wykorzystują kopie zapasowe w celu przywracania danych i powrotu do normalnych warunków funkcjonowania po wystąpieniu katastrofy (na przykład klęski żywiołowej, awarii sprzętu na dużą skalę lub cyberataku). Jest to podejście proaktywne, które pomaga organizacji zmniejszyć wpływ nieprzewidywalnych zdarzeń i szybciej reagować na planowane lub nieplanowane zakłócenia.
-
Ochrona punktów końcowych
Punkty końcowe to urządzenia fizyczne łączące się z siecią, takie jak urządzenia przenośne, komputery stacjonarne, maszyny wirtualne, urządzenia osadzone i serwery. Ochrona punktów końcowych pomaga organizacji monitorować te urządzenia i zabezpieczać się przed źródłami zagrożeń, które próbują znaleźć luki w zabezpieczeniach lub błędy ludzkie i wykorzystują słabości zabezpieczeń.
-
Migawki
Migawka to obraz systemu plików w określonym momencie; utrwala ten obraz i śledzi wszelkie zmiany dokonane po tym momencie. To rozwiązanie ochrony danych odwołuje się do macierzy magazynowych, które korzystają ze zbioru dysków zamiast serwerów. Macierze zazwyczaj tworzą katalog, który wskazuje na lokalizację danych. Migawka kopiuje macierz i ustawia dane jako tylko do odczytu. W katalogu tworzone są nowe wpisy, natomiast stare katalogi są zachowywane. Migawki zawierają również konfiguracje systemowe umożliwiające odzyskiwanie serwerów.
-
Wymazywanie danych
Wymazywanie to usuwanie przechowywanych danych, które nie są już potrzebne. Proces ten jest również znany jako czyszczenie danych lub usuwanie danych i często stanowi wymóg prawny. Zgodnie z RODO osoby fizyczne mają prawo do wymazania swoich danych osobowych na żądanie. To prawo do wymazania danych nazywane jest również „prawem do bycia zapomnianym”.
Ochrona, zabezpieczenia i prywatność
Może się wydawać, że są to pojęcia stosowane zamiennie, ale ochrona danych, zabezpieczenie danych i prywatność danych mają inny cel. Ochrona danych obejmuje strategie i procesy stosowane przez organizację w celu zabezpieczenia danych poufnych przed uszkodzeniem, naruszeniem zabezpieczeń i utratą. Zabezpieczenia danych dotyczą integralności danych i mają na celu ich ochronę przed uszkodzeniem przez nieuprawnionych użytkowników lub zagrożeniami wewnętrznymi. Prywatność danych reguluje, kto ma dostęp do danych i określa, jakie dane mogą być udostępniane osobom trzecim.
Najlepsze rozwiązania z zakresu ochrony danych
Najlepsze rozwiązania w zakresie ochrony danych obejmują plany, zasady i strategie, które pomagają kontrolować dostęp do danych, monitorować sieć i aktywność użytkowników oraz reagować na zagrożenia wewnętrzne i zewnętrzne.
-
Kontrola nad wymaganiami
Kompleksowy plan zarządzania określa wymagania prawne i sposoby ich zastosowania w odniesieniu do danych organizacji. Sprawdź, czy masz zapewnioną widoczność wszystkich swoich danych i odpowiednio je sklasyfikuj. Upewnij się, że zachowujesz zgodność z przepisami w zakresie prywatności obowiązującymi w branży.
-
Ograniczenie dostępu
Kontrola dostępu wykorzystuje uwierzytelnianie w celu weryfikacji, czy użytkownicy są tymi, za których się podają, oraz autoryzację w celu określenia, jakie informacje mogą wyświetlać i wykorzystywać. W przypadku naruszenia zabezpieczeń danych, kontrola dostępu jest jedną z pierwszych zasad, która jest analizowana w celu ustalenia, czy została ona wdrożona i prowadzona prawidłowo.
-
Tworzenie zasad cyberbezpieczeństwa
Zasady cyberbezpieczeństwa określają i wyznaczają kierunek działań IT w organizacji. Uświadamiają pracownikom powszechne zagrożenia dotyczące danych i zwiększają ich czujność w kwestiach bezpieczeństwa i ochrony. Mogą również precyzować strategie ochrony danych i promować kulturę odpowiedzialnego wykorzystywania danych.
-
Monitorowanie działań
Bieżące monitorowanie i testowanie pomaga w identyfikowaniu obszarów potencjalnego ryzyka. Wykorzystaj sztuczną inteligencję i zautomatyzuj zadania związane z monitorowaniem danych, aby szybko i skutecznie wykrywać zagrożenia. Ten system wczesnego ostrzegania alarmuje o potencjalnych problemach z danymi i zabezpieczeniami, zanim spowodują one szkody.
-
Stworzenie planu reagowania na zdarzenia
Posiadanie przygotowanego planu reagowania na zdarzenia przed wystąpieniem naruszenia zabezpieczeń danych pozwoli przygotować się do podjęcia działań. Ułatwi to zespołowi odpowiedzialnemu za reagowanie (na przykład szefowi działu IT, InfoSec i szefowi działu komunikacji) utrzymanie integralności systemów i przywrócenie funkcjonowania organizacji tak szybko, jak to możliwe.
-
Identyfikacja ryzyka
Pracownicy, dostawcy, kontrahenci i partnerzy mają informacje o Twoich danych, systemach komputerowych i praktykach bezpieczeństwa. Aby zidentyfikować nieautoryzowany dostęp do danych i pomóc w ich ochronie przed niewłaściwym wykorzystaniem, musisz wiedzieć, jakie dane posiadasz i jak są one wykorzystywane w całej Twojej infrastrukturze cyfrowej.
-
Poprawa bezpieczeństwa magazynu danych
Bezpieczeństwo magazynu danych wykorzystuje metody takie jak kontrola dostępu, szyfrowanie i bezpieczeństwo punktów końcowych, aby zapewnić integralność i poufność przechowywanych danych. Ogranicza również ryzyko celowego lub niezamierzonego uszkodzenia i umożliwia ciągłą dostępność danych.
-
Szkolenie pracowników
Niezależnie od tego, czy są to działania zamierzone, czy nie, ryzyko wewnętrzne jest główną przyczyną naruszeń zabezpieczeń danych. Należy jasno informować o zasadach ochrony danych na wszystkich poziomach, aby umożliwić pracownikom ich przestrzeganie. Często powtarzaj szkolenie, korzystając z sesji utrwalających i wskazówek, gdy wystąpią specyficzne problemy.
Zgodność z przepisami dotyczącymi ochrony danych i prawem
Każda organizacja musi zapewnić zgodność z odpowiednimi normami, przepisami i regulacjami dotyczącymi ochrony danych. Zobowiązania prawne obejmują m.in. pozyskiwanie od klientów lub pracowników tylko tych informacji, które są potrzebne, bezpieczne przechowywanie ich i prawidłowe usuwanie. Poniżej przedstawiono przykłady przepisów dotyczących ochrony prywatności.
RODO to najbardziej restrykcyjne prawo dotyczące ochrony prywatności i bezpieczeństwa danych. Zostało ono opracowane i uchwalone przez UE, ale organizacje na całym świecie są zobowiązane do jego przestrzegania, jeśli gromadzą dane osobowe obywateli lub rezydentów UE lub oferują im towary i usługi.
California Consumer Privacy Act (CCPA) pomaga chronić prawa prywatności konsumentów w Kalifornii, w tym prawo do uzyskania informacji o danych osobowych gromadzonych przez firmę i sposobu ich wykorzystania i udostępniania, prawo do usunięcia danych osobowych zebranych od konsumentów, a także prawo do wycofania zgody na sprzedaż danych osobowych.
HIPAA pomaga chronić informacje o stanie zdrowia pacjenta przed ujawnieniem ich bez wiedzy lub zgody pacjenta. Przepis HIPAA dotyczący prywatności zapewnia ochronę prywatnych informacji zdrowotnych i został opracowany w celu wdrożenia wymogów HIPAA. Przepis HIPAA dotyczący prywatności pozwala chronić umożliwiające identyfikację informacje na temat zdrowia, które dostawca usług medycznych tworzy, otrzymuje, przechowuje lub przekazuje drogą elektroniczną.
Ustawa Gramm-Leach-Bliley Act (GLBA) — znana również jako ustawa Financial Services Modernization Act z 1999 roku — zobowiązuje instytucje finansowe do wyjaśnienia klientom swoich praktyk w zakresie udostępniania informacji oraz do zabezpieczenia danych poufnych.
Federalna Komisja Handlu jest podstawowym organem ochrony konsumentów w Stanach Zjednoczonych. Ustawa o Federalnej Komisji Handlu (Federal Trade Commission Act) uznaje za niezgodne z prawem wszelkie metody nieuczciwej konkurencji oraz nieuczciwe lub wprowadzające w błąd działania lub praktyki mające wpływ na handel.
Trendy w zakresie ochrony danych
Wraz z ewolucją strategii i procesów, pojawiają się pewne trendy w zakresie ochrony danych, na które organizacja powinna zwracać uwagę. Obejmują one kwestie zgodności z przepisami, zarządzania ryzykiem i przenoszenia danych.
-
Więcej przepisów o ochronie danych osobowych
Rozporządzenie RODO stało się wzorcem dla sposobu, w jaki inne kraje gromadzą, udostępniają i przechowują dane osobowe. Od momentu wprowadzenia tego rozporządzenia, CCPA w Stanach Zjednoczonych (Kalifornia) oraz Ogólna Ustawa o Ochronie Danych Osobowych w Brazylii zostały wprowadzone, aby nadążyć za rozpowszechnieniem się konsumpcjonizmu online oraz spersonalizowanych produktów i usług.
-
Ochrona danych w podróży i w ruchu
Zapobieganie dostępowi nieupoważnionych użytkowników do sieci organizacji obejmuje również ochronę danych poufnych przechowywanych na urządzeniach przenośnych, takich jak laptopy, tablety i smartfony. Oprogramowanie zabezpieczające wykorzystuje weryfikację tożsamości, aby zapobiec naruszeniu zabezpieczeń urządzeń.
-
Mniejszy dostęp dla osób trzecich
Naruszenie zabezpieczeń danych często można powiązać z osobami trzecimi (takimi jak dostawcy, partnerzy i usługodawcy), które mają zbyt duży dostęp do sieci i danych organizacji. Zarządzanie ryzykiem osób trzecich znajduje swoje miejsce w regulacjach dotyczących zgodności z przepisami, w celu ograniczenia dostępu osób trzecich do danych i ich wykorzystania.
-
Zarządzanie kopiami danych
Zarządzanie kopiami danych wykrywa duplikaty danych, porównuje podobne dane i umożliwia organizacji usunięcie nieużywanych kopii danych. Rozwiązanie to minimalizuje niespójności powodowane przez duplikaty danych, zmniejsza koszty przechowywania oraz pomaga zapewnić bezpieczeństwo i zgodność z przepisami.
-
Przenoszenie danych
W początkowym okresie rozwoju przetwarzania w chmurze, przenoszenie danych i migracja dużych zbiorów danych do innych środowisk była trudna. Obecnie technologie chmurowe sprawiają, że dane są bardziej przenośne, umożliwiając organizacjom przenoszenie ich między środowiskami; na przykład z lokalnych centrów danych do chmur publicznych lub między dostawcami usług w chmurze.
-
Odzyskiwanie po awarii jako usługa
Odzyskiwanie po awarii jako usługa pomaga organizacjom dowolnej wielkości korzystać z korzystnych cenowo usług w chmurze do replikacji systemów i przywracania funkcjonowania po zdarzeniu o charakterze katastroficznym. Zapewnia ona elastyczność i skalowalność charakterystyczną dla technologii opartej na chmurze i jest postrzegana jako skuteczne rozwiązanie pozwalające uniknąć przerw w świadczeniu usług.
Odnajdowanie i klasyfikowanie danych
Odnajdowanie i klasyfikowanie danych to odrębne procesy, które współgrają ze sobą, aby zapewnić wgląd w dane organizacji. Narzędzie do odnajdowania danych skanuje wszystkie zasoby cyfrowe, aby odkryć, gdzie znajdują się ustrukturyzowane i nieustrukturyzowane dane, co ma kluczowe znaczenie w kontekście strategii ochrony danych. Klasyfikowanie danych porządkuje dane pochodzące z procesu odnajdywania danych w oparciu o typ pliku, zawartość i inne metadane, pomaga wyeliminować duplikaty danych oraz ułatwia lokalizację i wyszukiwanie danych.
Dane niezabezpieczone to dane podatne na zagrożenia. Wiedza o tym, jakie dane posiadasz i gdzie one się znajdują, pomaga je chronić przy zachowaniu wymogów zgodności z przepisami dotyczącymi procesów i kontroli danych.
Rozwiązania do ochrony danych
Rozwiązania do ochrony danych pomagają zabezpieczyć się przed utratą danych i obejmują zabezpieczenia, tworzenie kopii zapasowych i odzyskiwanie danych, czyli bezpośrednio wspierają plan odzyskiwania danych po awarii w organizacji.
Uprość sposób, w jaki organizacja interpretuje dane poufne. Uzyskaj wgląd we wszystkie swoje dane; zapewnij bardziej skuteczną ochronę w aplikacjach, chmurach i na urządzeniach; oraz zarządzaj wymogami prawnymi dzięki rozwiązaniom zabezpieczającym firmy Microsoft.
Dowiedz się więcej o rozwiązaniach zabezpieczających firmy Microsoft
Microsoft Purview
Poznaj rozwiązania do zapewniania ładu, ochrony i zgodności dla danych organizacji.
Ochrona przed utratą danych
Identyfikuj niewłaściwe udostępnianie, przesyłanie lub wykorzystywanie poufnych danych w punktach końcowych, aplikacjach i usługach.
Ochrona informacji
Pomóż chronić dane i zarządzać nimi dzięki wbudowanym, inteligentnym, ujednoliconym i rozszerzalnym rozwiązaniom.
Zgodność w komunikacji
Wykorzystaj uczenie maszynowe do wykrywania naruszeń w zakresie komunikacji.
Często zadawane pytania
-
Przykłady ochrony danych obejmują zabezpieczenie przed złośliwym lub przypadkowym uszkodzeniem, posiadanie strategii odzyskiwania danych po awarii oraz ograniczenie dostępu tylko do tych osób, które potrzebują danych.
-
Celem ochrony danych jest zabezpieczenie danych organizacji przed naruszeniem, uszkodzeniem i utratą.
-
Zgodnie z treścią rozporządzenia RODO osoby fizyczne mają podstawowe prawa i wolności, jeśli chodzi o ochronę ich danych osobowych. Każda organizacja, która gromadzi dane osobowe, musi uzyskać wyraźną zgodę osób fizycznych i jest zobowiązana do zachowania przejrzystości co do sposobu wykorzystania tych danych.
-
Narzędzia do ochrony danych obejmują odnajdywanie i ewidencję danych, szyfrowanie, usuwanie danych, zarządzanie dostępem i zabezpieczenie punktów końcowych.
-
Aby pomóc w ochronie danych, firmy mogą zacząć od stworzenia zasad zabezpieczeń, które regulują takie kwestie jak dozwolone wykorzystanie i zgłaszanie incydentów. Tworzenie kopii zapasowych danych o znaczeniu krytycznym, aktualizowanie oprogramowania oraz edukowanie pracowników w zakresie ochrony danych to kolejne ważne działania, które należy podjąć.
Obserwuj platformę Microsoft 365