Maraming negosyo na ngayon ang lubos na umaasa sa datos na nakaimbak sa kanilang mga network server, PC, laptop, mobile device at cloud service provider. Ang ilan sa datos na ito ay malamang na naglalaman ng personal na impormasyon at/o kumpidensyal na impormasyon ng kumpanya.
Dito natin titingnan ang ilan sa mga isyung dapat isaalang-alang kapag sinusuri ang seguridad ng iyong mga sistema ng computer kaugnay ng mga kontrol sa pag-access. Itinakda ng General Data Protection Regulation (GDPR) ang prinsipyo ng seguridad, na nagsasaad na dapat kang gumawa ng 'mga naaangkop na teknikal at organisasyonal na hakbang' kapag ligtas na pinoproseso ang personal na data. Inuulit din ito bilang ika-6 na Prinsipyo ng Data Protection Act (DPA) 2018, na nagpapahusay sa GDPR at nagsasaad din ng 'kahingian na ang personal na data ay iproseso sa isang ligtas na paraan'.
Dahil dito, ang pagpigil sa hindi awtorisado o hindi sinasadyang pag-access sa personal na datos na iyong pinoproseso ay isang mahalagang hakbang tungo sa pagsunod sa mga regulasyon.
Seguridad sa pag-access
Ang mahusay na mga kontrol sa pag-access sa mga computer at network ay nakakabawas sa panganib ng pagnanakaw o maling paggamit ng data.
Ang mga kontrol sa pag-access ay maaaring hatiin sa dalawang pangunahing lugar:
- pisikal na pag-access – mga kontrol sa kung sino ang maaaring pumasok sa lugar at kung sino ang maaaring mag-access ng personal na data
- lohikal na pag-access – mga kontrol upang matiyak na ang mga empleyado ay mayroon lamang access sa naaangkop na software, data, at mga device na kinakailangan upang maisagawa ang kanilang partikular na tungkulin.
Pisikal na pag-access
Bukod sa pagkakaroon ng mga pisikal na kontrol sa pag-access tulad ng mga kandado, alarma, ilaw pangseguridad at CCTV, mayroon ding iba pang mga konsiderasyon, tulad ng kung paano kinokontrol ang pag-access sa lugar.
Hindi dapat pahintulutang gumala ang mga bisita maliban kung nasa ilalim ng mahigpit na pangangasiwa.
Siguraduhing hindi nakikita ang mga screen ng computer mula sa labas.
Gumamit ng mga patakaran sa network upang matiyak na naka-lock ang mga workstation at/o mobile device kapag walang nagbabantay o hindi ginagamit ang mga ito.
Siguraduhing kung sakaling mawala ang isang mobile device, maaari itong mai-immobilize nang malayuan.
Dahil maliliit ang mga mobile device, ang mga ito ay mga bagay na may mataas na peligro kaya dapat palaging naka-encrypt ang sensitibong data at dapat kontrolin ang access sa serbisyo gamit ang isang pin number o password.
Maaaring kailanganing i-disable o paghigpitan ang access sa mga USB device at optical reader at writer.
Maaaring kailanganing harangan ang mga network port sa pamamagitan ng mga Radius server, o iba pang hardware ng network, upang maiwasan ang pagkakasaksak ng mga hindi awtorisadong kagamitan sa network gamit ang isang cable.
Panghuli, ang impormasyong nasa hard-copy ay dapat itapon nang ligtas.
Lohikal na pag-access
Dapat gamitin ang mga pamamaraan ng lohikal na pag-access upang matiyak na ang mga tauhan ay walang higit na access kaysa sa kinakailangan para magampanan nila ang kanilang tungkulin.
Dapat i-encrypt ang sensitibong datos at kontrolin ang pag-access sa datos na ito sa pamamagitan ng seguridad ng network, mga listahan ng kontrol sa pag-access, at mga profile ng user.
Maaaring kailanganin ding paghigpitan ang pag-access sa ilang partikular na application at ilang folder batay sa bawat user.
Panghuli, maaaring kailanganing i-lock ang ilang partikular na device sa ilang partikular na makina, alinman sa pamamagitan ng group policy sa Widnows, o isang third-party management application.
Mga Password
Mainam na kasanayan ang isang patakaran sa password na binubuo ng username at password.
Nakakatulong ang mga ito na matukoy ang isang user sa network at paganahin ang pagtatalaga ng mga naaangkop na pahintulot.
Gayunpaman, para maging epektibo ang mga password, dapat:
- maging medyo mahaba (ibig sabihin, walong karakter o higit pa)
- naglalaman ng pinaghalong alpha, numeric at mga espesyal na karakter (tulad ng &^”)
- regular na mababago sa pamamagitan ng mga opsyon sa awtomatikong pag-renew ng password
- maaaring tanggalin o palitan kapag umalis ang isang empleyado
- maaaring gamitin sa mga indibidwal na file tulad ng mga spreadsheet o mga dokumentong naproseso ng salita na naglalaman ng personal na impormasyon
- mai-encrypt sa loob ng iyong mga sistema gamit ang isang malakas na algorithm ng pag-encrypt
at HINDI dapat
- maging isang pangkalahatang password (ibig sabihin, pareho para sa lahat ng aplikasyon o para sa lahat ng gumagamit)
- maisulat sa mga talang 'post it' na nakadikit sa keyboard o screen
- binubuo ng mga karaniwang salita o parirala, o ang pangalan ng kumpanya.
- maipadala sa pamamagitan ng email, maliban na lang kung ito ay pansamantalang password lamang (na walang sumusuportang impormasyon tulad ng, para saan ito at ano ang username)
- hindi dapat iimbak bilang plain text sa loob ng iyong mga system.
Pag-access sa pag-audit
Bagama't hindi isang legal na kinakailangan ng GDPR, ang pag-log at pagsubaybay sa datos (at ang mga pagbabagong ginawa dito) ay makakatulong nang malaki sa pagsuporta sa pagsunod sa Artikulo 32 ng GDPR.
Ang pag-audit sa iyong pagproseso ng datos ay magbibigay-daan sa iyo upang suriin, iulat at patunayan ang:
- sino ang naka-access sa datos at kailan
- gaano kadalas ina-access ang data at kung angkop ba ang dami ng access na ito
- Kung sakaling magkaroon ng aksidenteng pagkawala ng datos, suriin kung anong mga pagbabago ang ginawa at kung sino ang gumawa nito.
Bagama't hindi nakasaad sa GDPR at DPA 2018 ang eksaktong mga hakbang na kailangan mong gawin, dapat mong isaalang-alang ang paggamit ng teknikal na solusyon na angkop sa iyong mga pangangailangan at sa datos na iyong pinoproseso.
