Menu

Nikola Markovinović: Kontrolirate li pristup svih mobilnih uređaja vašoj mreži? Istaknuto

Nikola Markovinović: Kontrolirate li pristup svih mobilnih uređaja vašoj mreži?

Voditelj informacijske sigurnosti i konzaltinga u Trilixu na konferenciji GDPR Adriatic minuta do 12 govorio je o zahtjevima i zamkama pri usklađivanju s GDPR-om kod mobilnih uređaja.

Članak 5 govori da osobni podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera. To znači, ako na službenom mobitelu koristite osobni cloud servis, tvrtka koja vam je dala uređaj mora paziti na sigurnost podataka.

„S mobilnim uređajima imamo pristup kalendaru tvrtke. To je dokument koji može imati osobne podatke. Imate pristup i korporativnom mailu, što definitivno ima mogućnost narušavanja sigurnosti osobnih podataka. Korporativni podaci su dostupni s mobitela i to jesu osobni podaci. Možemo pristupati i aplikacijama tvrtke i korporativnoj IT mreži, dokumentima i porukama. Ako se ne brinemo o sigurnosti mobilnih uređaja, dolazi do mogućnosti ugrožavanja sigurnosti zaštite podatka“, rekao je Markovinović. „Što znaju mobilni uređaji? Zaporke (pohranjene u file sustavima, web preglednicima), podatke o bankovnom računu (pohranjena dokumentacija, mobilno bankarstvo), OIB i druge identifikacijske brojeve, kontakte (imenik), elektroničku poštu, logove telefonskih poziva, audio i video zapise, tekstualne poruke i aplikacije za čitanje i editiranje dokumenta te lokacije. Na temelju toga što mobitel zna, treba napraviti matricu rizika mobilnih uređaja“, navodi Markovinović.

GDPR Adriatic minuta do 12 Trilix matrica rizika

„Kod upravljanja mobitelima potrebna je samoprocjena. Moramo odgovoriti na to kontrolirate li pristup svih mobilnih uređaja vašoj mreži? Možete li spriječiti Shadow IT? Znate li na kojim mobilnim uređajima se nalaze osobni podaci? Kontrolirate li instalaciju softvera i spremanje službenih podataka na mobilne uređaje i njihov transfer na treću stranu. Pratite li tko pristupa vašem cloud servisu i s kojeg uređaja. Kontrolirate li mobilne uređaje prije slanja na popravak ili zbrinjavanje? Što s uređajima kada zaposlenik napušta organizaciju?“, pita se voditelj informacijske sigurnosti Trilixa, ponudivši glavni savjet na kraju predavanja a to je po njemu educirati zaposlenike. „Uz to treba klasificirati podatke i definirati metode rukovanja. Bilo bi dobro uspostaviti metodologiju za upravljanje rizicima. Potrebno je identificirati prijetnje, procijeniti rizike za sigurnost osobnih podataka pri korištenju mobilnih uređaja“, zaključio je Markovinović.

"Ako se ne brinemo o sigurnosti mobilnih uređaja, dolazi do mogućnosti ugrožavanja sigurnosti zaštite podatka"

Nakon predavanja odlučili smo od Nikole Markovinovića saznati još nekoliko detalja o GDPR udredbi po pitanju mobilnih telefona:

Svi imamo mobitele pokraj sebe i mnogo ljudi koristi službene mobitele za stvari za koje se ne bi trebali koristiti. Na što bi tvrtke trebale obratiti pozornost i gdje su najveće ugroze GDPR uredbe, a odnosi se na službene mobitele?

Najveće ugroze su općenite, u korištenju samih mobitela jer je potrebno osvijestiti zaposlenike na koji način smiju koristiti mobitele te upozoriti kakve podatke imaju na mobitelu. To se može definirati kroz interne akte, točnije, kroz pravni aspekt upravljanja informacijskim sustavom, a samim time i zaštitom osobnih podataka.

Zapravo se radi o jednoj mreži procjene sigurnosti. Ovisi li to o organizaciji ili bi svi trebali obratiti puno više pozornosti?

Sve ovisi o metodama rada, načinu poslovanja, ali i o podacima koji se obrađuju unutar poslovnih procesa. Zato je bitno napraviti inicijalnu procjenu rizika, klasificirati podatke te uvidjeti koliko su ti podaci potencijalno zanimljivi za napad. Ako već postoje neke mjere unutar sustava potrebno ih je procijeniti, vidjeti kako djeluju, a tek kasnije vidjeti kako to nadograđivati i na koji način unaprijediti sustav zaštite osobnih podataka.

Je li ovo tema koja ide i izvan sfera GDPR-a, jer se veže i na sigurnost korporativnih podataka?

GDPR ne možemo odvojiti od informacijske sigurnosti jer je informacija osobni podatak, bez obzira u kakvom bila obliku. Bilo da je riječ o imenu i prezimenu, identifikacijskom broju, evidencijskom broju zaposlenika, govorimo o nekoj informaciji koja u paketu s nečime donosi podlogu za donošenje odluka, dok ta odluka donosi i nekakve efekte u poslovanju. Ukratko, GDPR ne možemo odvajati od informacijske sigurnosti.

na vrh članka