Vēl salīdzinoši nesen IT drošība bija lielā mērā atstāta novārtā – daudzi uzņēmumi dzīvoja ar domu, ka ar viņiem nekas nenotiks. Pateicoties Vispārīgajai datu aizsardzības regulai (GDPR) un drošības prasību paaugstināšanai situācija pakāpeniski mainās, un bizness sāk aizdomāties par savu datu aizsardzību. Kāpēc? Jo uzņēmumi, kas rūpējas par IT drošību, pasargā sevi ne tikai no datu noplūdēm, bet arī no naudas un reputācijas zudumiem.
Uzziniet vairāk par to, kāpēc personas datu aizsardzība kļūst par biznesa prioritāti, un kādus drošības risinājumus izvēlēties 21. gadsimtā!
Kas ir IT drošība?
IT drošība – tas nav tikai antivīruss uz darba datora. Pilna uzņēmuma IT drošības sistēma iekļauj:
- tehniskā stāvokļa pārbaudi – novecojušas IT iekārtas, kas sasniegušas vismaz 5-7 gadu vecumu, vairs nespēj nodrošināt mūsdienīgu datu drošību;
- IT drošības novērtējumu – pirmais posms IT drošības uzlabošanā, kas ietver ne tikai sistēmu, bet arī iekārtu un darbinieku zināšanu pārbaudi;
- ievainojamību pārvaldību – palīdz identificēt servisu ievainojamības, konfigurācijas kļūdas, neatbilstību drošības politikām un citas drošības nepilnības;
- DDoS uzbrukumu aizsardzību – nepieciešams pakalpojums ārējo un iekšējo sistēmu nepārtrauktai darbībai;
- gala ierīču aizsardzību – aizsargā IT iekārtas no vīrusiem, Trojas zirgiem, ļaunatūrām, izspiedējvīrusiem, pikšķerēšanas, identitātes zādzībām u.c.
- datu aizsardzību – ietver datu aizsardzības novērtējumu atbilstoši GDPR prasībām, darbinieku apmācības, dokumentācijas izstrādi un drošības sistēmas pārraudzību.
Vai vērts izvēlēties pilnus drošības risinājumus, vai arī pietiek uzlabot pāris rādītājus un ietaupīt naudu? Realitātē jautājums par IT drošību ir drīzāk jautājums par risku izvērtēšanu – iespējams, jūsu uzņēmumu ļaundari nekad neizvēlēsies par savu uzbrukumu objektu, taču 100% garantijas pret šādiem riskiem nav. Ja IT drošība nav līmenī, Jūsu dati var būt zaudēti vai, sliktākajā gadījumā, noplūdināti. Vadoties no šiem riskiem un to izmaksām, ir jāizvēlas atbilstošie drošības risinājumi.
IT drošība kā ārpakalpojums – kas tas ir?
Uzņēmumiem, it īpaši nelieliem, kļūst arvien sarežģītāk uzturēt pašiem savas IT sistēmas. Prasības pēc mūsdienīgiem, dārgiem IT risinājumiem palielinās, aug arī augsti kvalificētu speciālistu algas, bet ne katram biznesam tam ir pietiekami naudas resursi. Viens no ērtākajiem risinājumiem ir nodot rūpes par biznesa IT infrastruktūru citam uzņēmumam – IT ārpakalpojumu sniedzējam.
Par labu IT ārpakalpojumiem liecina arī tas, ka mūsdienās datu drošību regulē ļoti daudzas prasības, gan nacionālajā, gan Eiropas savienības līmenī. Uzņēmumiem jāiegūst attiecīga sertifikācija, jāievēro datu ģeogrāfiskas izvietošanas ierobežojumi un dažādas rezerves kopiju politikas. Itin bieži šādas prasības pat nav iespējams nodrošināt saviem spēkiem, vai arī tas ir ļoti dārgi.
To, vai vērts uzticēt IT drošību ārpakalpojumu uzņēmumam, var noteikt jau pēc aprīkojuma vecuma apsekošanas. Ja uzņēmumam jāpērk jauni datori un serveri, kas prasa vairāku tūkstošu eiro investīcijas, tas var būt labs brīdis, lai pārietu uz citu darbības modeli.
Iekārtu noma, datu centru un mākoņpakalpojumi nodrošina kvalitatīvus IT pakalpojumus izvēlētajā režīmā un atbrīvo uzņēmumu no rūpēm par IT infrastruktūras uzturēšanu.
Ne tikai drošība, bet arī elastība
Personas datu aizsardzība vienmēr iet roku rokā ar vispārējo IT sistēmu administrēšanu. Lai panāktu 100% datu drošību, jāparūpējas gan par IT iekārtu pieejamību, gan par to darba stabilitāti. Ir jāparedz arī rīcības plāns ārkārtas situācijas gadījumā – ko darīt, ja IT iekārtas izies no ierindas, cik ilgu laiku aizņems datu un aprīkojuma atjaunošana, kādus riskus un zaudējums uzņēmums var piedzīvot IT problēmu dēļ. Visi šie jautājumi jārisina IT drošības sistēmas ietvaros.
Uzņēmumam attīstoties, prasības pret IT pakalpojumiem neizbēgami palielinās – rodas jauni projekti, aug datu apjoms un vecā mazā sistēma vienkārši nespēj tikt galā ar jauniem uzdevumiem. Vai tas nozīmē, ka palielinās arī IT uzturēšanas izmaksas? No vienas puses, jā, jo augstākas prasības vienmēr prasa arī lielākus ieguldījumus. No otrās puses, mūsdienīgi IT pakalpojumi bieži vien ir pieejami ar elastīgiem lietošanas nosacījumiem – vēl viens arguments par labu ārpakalpojumu izvēlei.
Daži eksperti salīdzina IT ārpakalpojumus ar līzinga principu – lietotājs “īrē” no IT uzņēmuma noteiktus pakalpojumus un jebkurā brīdī var palielināt vai samazināt patērēto pakalpojumu apjomu. Šāda pieeja ļauj uzņēmumam samērot IT izmaksas ar savām vajadzībām, nepārmaksājot par nevajadzīgiem risinājumiem.
Pie līdzīgas pieejas pieturas arī tehnoloģiju un izklaides uzņēmums – Tet. Tas piedāvā IT pakalpojumu klāstu, ko pielāgo konkrēta klienta mērogam un vajadzībām. Jūs varat izvēlēties atsevišķus risinājumus vai pilnībā uzticēt Tet sava uzņēmuma IT drošību.
Apskatiet pilnu IT drošības pakalpojumu klāstu Tet mājaslapā un piesakieties individuālam piedāvājumam, rakstot uz info@dataexperts.lv!
pie idiotisma pilnā “novecojušas IT iekārtas, kas sasniegušas vismaz 5-7 gadu vecumu, vairs nespēj nodrošināt mūsdienīgu datu drošību” teksta pārtraucu lasīt. reklāmu debīlismam laikam nav robežu.
droši vien “novecojušas” no viedokļa, ka iet uz beigām vai jau beidzies atbalsta periods, extendētā garantija jau kļūst dārgāka jo iekārtu ir aizstājis jaunāks modelis.
protams, to nevajadzētu saukt par datu drošību per se.
ja lieto tikai proprietāros risinājumus no visādiem m$ un ciskām, tad jau tet’a reklāmai pastulba taisnība. diemžēl viņiem, pasaulē ir ļoti daudz universālāku risinājumu, kuriem atbalstu piedāvā gan sākot no individuāliem guru speciālistiem un beidzot ar industrijas monstriem.
nu sāksim no pamatiem, kā servera novecošana var ietekmēt datu drošību, ja tur stāv jaunākais lienuksis ar visiem ielāpiem? kā Mikrotik rūteris var kļūt caurumains, ja tam regulāri apgreido firmwāri? kā 5-7 gadus vecs kompis var apdraudēt lokālā tīkla drošību, ja tam ir pareizi uzinstalēts pat bezapkalpošanas win7 un labs antivīruss? praktiski nekā, ja nu tikai tet’a reklāmas fantāzijās.
Kāds ir vidējas datu nesēja iekārtas mūžs līdz tā aiziet “pa pieskari” paķerot sev līdzi daļu nodatiem? Neesmu pēdējā laikā sekojis līdzi tendencēm un statistikas datiem…
kas ir vidēja datu iekārta – konferencē izsniegts usb puļķītis vai masīvs ar spoguli citā datu centrā? kā saka Odesā, tās ir divas lielas starpības.
mūsdienās paši cilvēki sajāj datus biežāk, kā “datu nesēja” fiziska problēma (cik ilgi jāignorē masīva alarmi?) vai kontrolieru firmwāres gļuki.
ja dati ir uz viena atsevišķa diska, tad ikreiz, tos nolasot, var ieķert uz to veselību, jo nākamā reize nav garantēta)
laikam jau autoritatīvākais avots būs Backblaze, jo ražotāji savu info slēpj pa kaktiem.
ps. tam patiesībā nav ne mazākā sakara ar virsrakstā izvirzīto tēmu. tā kā pārstāju lasīt rakstu pēc pirmā stulbā reklāmas izteikuma, datu nolasāmība reklāmā ir piepīta GDPR?
Neaizstāvu nekādi reklāmu, bet datu pazaudēšana (lasi – datu nenolasāmība, vai tikai daļēja nolasāmība) pēc GDPR regulas arī skaitās pārkāpums. Bet tam jau ir domāti backupi:)
varētu kādu norādi? ne par bekapiem, protams :)
GDPR ir koncentrēts uz personas datiem, pret to nevajadzīgu apstrādi un iespējamu noplūdi. tāpēc tādu datu pazaudēšanu tehnisku iemeslu dēļ var definēt kā brīvprātīgu personas datu dzēšanu no savām IT sistēmām, tikai vajag dokumentēti likvidēt arī bojāto nesēju.
Te būs – https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-case-data-breach_en
piedod, ka piekasos, bet tur nav nekas par datu fizisku zaudēšanu kompānijas iekšienē, kura ievēro GDPR. tur ir data breach, t.i., noplūduši vai nopludināti dati. vēlētos precīzu citātu, kurš apstiprinātu tavu viedokli par dzelžu “nomiršanu”, kā personas datu konfidencialitātes pārkāpumu.
[edit] man tiešām interesanti, es nemēģinu apgalvot pretējo, bet nevaru ieraudzīt tavu pamatojumu.
Vienlaikus datu pārzinim – fiziskai vai juridiskai personai, kas apstrādā personas datus profesionāliem vai komerciāliem nolūkiem, – pieaug atbildība, lai datu apstrāde tiktu veikta ne tikai likumīgi, godprātīgi un pārredzami, bet arī gādāt, lai personas dati ir drošībā. Drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem, ir personas datu aizsardzības pārkāpums.
Biju kursos par šo tēmu, un šis man aizķēra ,ka pat nejauša neatgriezeniska sensitīvo datu dzēšana ir pārkāpums. https://lvportals.lv/skaidrojumi/295949-svarigakais-par-visparigo-datu-aizsardzibas-regulu-2018
> Biju kursos par šo tēmu, un šis man aizķēra
Vietējā regulatora interpretācija ne vienmēr sakrīt ar pašas regulas rekomendācijām / nosacījumiem.
Kā (spilgtu) piemēru atliek vien atcerēties epopeju ar auto video reģistratoriem.
[offtopic] a kas bija ar reģistratoriem un eiropas regulām? īsumā, ja nav slinkums.
~2016. gadā DVI izdomāja, pamatojoties uz persondatu aizsardzību, ka autovideoreģistratori ir jāreģistrē, par tiem jāmaksā nodeva, ja tas netiek darīts, tad pienākas administratīvais sods.
https://www.lsm.lv/raksts/dzive–stils/motori/datu-valsts-inspekcija-celu-satiksmes-videoregistratori-jaregistre.a173462/
Neņemot vērā visu to absurdu, ka, ja tu samaksā nodevu, tad sanāk, ka vari filmēt, bet ja nē, tad esi sodāms pārkāpējs, galu galā saskaņa ar Eiropas regulu nepastāv personas datu apstrādes reģistrācijas pienākums, ja to veic personiskām/mājsaimniecības vajadzībām.
Attiecīgi to visu atcēla.
te jāpiekrīt Reinim, tā ir ļoti savdabīga interpretācija, ja dati nav tik sensitīvi, kā medicīnas karte, kuru tev nav izsnieguši uz rokas, un tavi dati tiks neatgriezeniski zaudēti.
bet ja tas klasiski ir tavs vārds uzvārds adrese un varbūt personas kods, kas iesniegts kādā interneta bodītē, tad tas nevar būt drošības pārkāpums. vietējās tiesas, protams, ir dārgs un ļoti lēns pasākums, bet normāls advokāts DVI tur izdrāzīs vienos vārtos.
Protams jāskatās katrs konkrētais konteksts. Kā arī pieņemtie tiesu spriedumi, kas arī ir svarīgi, jo kā jau te minēja interpretācijas var būt dažādas.