Bezpieczeństwo przetwarzania
Jako podmiot odpowiedzialny w zakresie ochrony danych musi spełniać różne wymogi ochrony danych w odniesieniu do Bezpieczeństwo danych o czym należy pamiętać. Często jest się zależnym od usługodawców, którym się ufa. To zaufanie może prowadzić do kosztownych naruszeń z powodu braku wglądu / zrozumienia działań usługodawcy i braku umów o świadczenie usług.
W praktyce okazało się, że konieczne jest Dokładny przegląd wdrożeń w zakresie bezpieczeństwa danychponieważ często brakuje jasnych zakresów odpowiedzialności i wymagań; typowe scenariusze to:
- Na stronie Dostawca usług IT wykonuje tylko to, co zostało mu zleconeCo nie jest zlecone, nie jest realizowane. Nie ma obowiązku doradzania, dostawca usług IT doradza tylko to, co chce sprzedać. Często więc zdarza się, że powstają tylko wybiórcze koncepcje i wdrożenia, np. koncepcje backupu, które nie istnieją, są niekompletne lub których skuteczność nigdy nie została przetestowana. W takim przypadku utrata danych jest nieunikniona. Przykładem może być to, że duże zapasy poczty elektronicznej pewnej firmy zostały utracone na zawsze, ponieważ istniały tylko lokalnie na komputerze w plikach archiwalnych programu Outlook, ponieważ program Outlook został skonfigurowany w taki sposób, że kasuje się po pobraniu na serwerze poczty elektronicznej. Oznacza to, że wiadomości e-mail są przechowywane tylko lokalnie w pliku PST. Ponieważ komputer nie miał kopii zapasowej, ponieważ wszyscy pracownicy pracują na dyskach sieciowych, plik PST został utracony w momencie wymiany i usunięcia komputera.
- Często zdarzają się rudymentarne Koncepcje bezpieczeństwa danych, które z biegiem czasu zostały poprzez np. przeniesienie serwerów lub restrukturyzację IT być zagubionym. Oznacza to, że po przeniesieniu serwera traci się koncepcję praw, w wyniku czego każdy użytkownik może nagle uzyskać dostęp do wszystkich struktur folderów i zobaczyć wszystko, np. dokumenty kadrowe.
- Backup Koncepcje, które po latach już nie działają ponieważ przestrzeń dyskowa była niewystarczająca lub ponieważ dane z kopii zapasowej były wadliwe i nie można było ich przywrócić lub ponieważ struktury folderów były zbyt zagnieżdżone i nie można było ich zarchiwizować, ponieważ program do tworzenia kopii zapasowych może przetwarzać tylko ograniczoną liczbę długości znaków. Kopie zapasowe, które zapisały tylko część danych itp.
- Aktualizacje zabezpieczeń tylko raz w roku ze względu na koszty.
- Brak szyfrowania lub złamanie łańcucha szyfrowania to kolejne przykłady.
- Kopie zapasowe w tym samym budynku, które ulegają zniszczeniu w przypadku pożaru lub innej katastrofy.
- Indywidualne oprogramowanie lub sklepy internetowe, które udostępniają dane osobowe w Internecie w sposób niezabezpieczony lub są podatne na ataki z powodu stosowania przestarzałych stosów oprogramowania. Zarówno w środowiskach testowych, jak i produkcyjnych, np. bazy danych MySQL dostępne z Internetu za pomocą standardowych haseł lub kopie wszystkich danych, do których dostęp można uzyskać w cache'ach Redis lub instancjach Elastic Search bez mechanizmów autoryzacji, ponieważ usługi te musiałyby być odłączone od Internetu.
- Często sieci firmowe stanowią dużą całość, co oznacza, że jeśli któreś urządzenie sieciowe złapie złośliwe oprogramowanie, może ono następnie zaatakować wszystkich uczestników sieci. W dzisiejszych czasach częstymi bramami są również urządzenia związane z siecią, takie jak routery, kamery, drukarki, rzutniki czy centra sterowania budynkami. Tutaj istnieje możliwość oddzielenia produkcji i administracji za pomocą np. segmentacji sieci, co w konsekwencji powoduje, że infekcja w produkcji może rozprzestrzeniać się również tylko tam.
- uvm.
Wielokrotnie okazało się, że brak bezpieczeństwa informatycznego i bezpieczeństwa danych może prowadzić do kosztownej lub wręcz dokuczliwej utraty danych.