Trace Id is missing
Preskoči na glavni sadržaj
Microsoft Security

Što je sigurnost podataka?

Sigurnost podataka obuhvaća znanje o tome koje podatke imate i gdje se nalaze te prepoznavanje rizika povezanih s podacima. Saznajte kako zaštititi podatke.

Definicija sigurnosti podataka

Sigurnost podataka pridonosi zaštiti povjerljivih podataka tijekom cijelog životnog ciklusa, razumijevanju konteksta korisničke aktivnosti i podataka te sprječavanju neovlaštenog korištenja ili gubitka podataka.

U doba sve većih prijetnji za računalnu sigurnost i internih rizika sigurnost podataka izuzetno je važna. Nužna je za vidljivost u vrste podataka, sprječavanje neovlaštenog korištenja podataka te prepoznavanje i ublažavanje rizika povezanih s podacima. U kombinaciji sa sigurnošću podataka, upravljanje sigurnošću podataka vodi tvrtku ili ustanovu pri planiranju, organiziranju i kontroliranju aktivnosti povezanih sa sigurnošću podataka pomoću dobro napisanih pravilnika i procedura.

Vrste sigurnosti podataka

Da bi sigurnost podataka bila učinkovita, mora prepoznavati osjetljivost skupova podataka i zahtjeve za usklađenost tvrtke ili ustanove s propisima. Vrste sigurnosti podataka koje vam pružaju zaštitu od kršenja sigurnosti podataka, omogućuju zadovoljavanje regulatornih zahtjeva te štite od pada ugleda obuhvaćaju sljedeće:

  • kontrolu pristupa koja upravlja pristupom lokalnim podacima i podacima u oblaku
  • provjeru autentičnosti korisnika putem lozinki, pristupnih kartica ili biometrijskih podataka
  • sigurnosno kopiranje i oporavak da bi se omogućio pristup podacima nakon kvara sustava, oštećenja podataka ili katastrofe
  • otpornost podataka kao proaktivni pristup oporavku od katastrofe i kontinuitetu poslovanja
  • brisanje podataka radi pravilnog rješavanja podataka da ih ne bi bilo moguće oporaviti
  • softver za maskiranje podataka koji koristi proxy znakove za skrivanje slova i brojeva od neovlaštenih korisnika
  • rješenja za sprječavanje gubitka podataka koja štite povjerljive podatke od neovlaštenog korištenja
  • šifriranje kojim datoteke postaju nečitljive neovlaštenim korisnicima
  • zaštitu podataka kojom se razvrstavaju povjerljivi podaci koji se nalaze u datotekama i dokumentima
  • upravljanje internim rizicima radi ublažavanja rizičnih aktivnosti korisnika.

Vrste podataka koje je potrebno zaštititi

Svatko kome je ikad ukradena kreditna kartica ili identitet počne više cijeniti učinkovitu zaštitu osobnih podataka. Zlonamjerni hakeri stalno pronalaze načine za krađu osobnih podataka da bi za njih tražili otkupninu, prodali ih ili iskoristili za daljnje prijevare. Povrh toga, za gubitak podataka često su krivi i sadašnji te bivši zaposlenici, pa upravljanje internim rizicima postaje nužno u svim tvrtkama i ustanovama.

Svaka djelatnost ima vlastite zahtjeve o tome što je i kako potrebno zaštititi, no najčešće vrste podataka kojima je potrebna zaštita obuhvaćaju sljedeće:

  • osobne podatke o zaposlenicima i klijentima
  • financijske podatke kao što su brojevi kreditnih kartica, bankovni podaci i korporativna financijska izvješća
  • zdravstvene podatke kao što su primljene usluge, dijagnoze i rezultati pretraga
  • intelektualno vlasništvo kao što su poslovne tajne i patenti
  • podatke o poslovnim operacijama kao što su informacije o lancu opskrbe i procesi proizvodnje.

Prijetnje za sigurnost podataka

Internet vam na poslu i kod kuće omogućuje pristup računima, načinima komunikacije te načinima razmjene i upotrebe podataka. Mnoge vrste  računalnih napada i internih rizika mogu ugroziti informacije koje zajednički koristite.

  • Hakiranje

    Hakiranje se odnosi na svaki pokušaj krađe podataka, oštećivanja mreža ili datoteka, preuzimanja digitalnog okruženja tvrtke ili ustanove odnosno ometanja upotrebe podataka i aktivnosti putem računala. Načini hakiranja obuhvaćaju krađu identiteta, zlonamjerni softver, razbijanje koda i distribuirane napade uskraćivanjem usluga.

  • Zlonamjerni softver

    Zlonamjerni softver termin je koji obuhvaća crve, viruse i špijunski softver koji neovlaštenim korisnicima omogućuje pristup vašem okruženju. Kad ostvare pristup, ti korisnici mogu omesti vašu IT mrežu i uređaje na krajnjim točkama ili ukrasti vjerodajnice eventualno pohranjene u datotekama.

  • Ucjenjivački softver

    Ucjenjivački softver vrsta je zlonamjernog softvera koji vam onemogućuje pristup mreži i datotekama dok ne platite otkupninu. Ucjenjivački softver na računalo možete preuzeti otvaranjem privitka u poruci e-pošte, klikom na neki oglas i na druge načine. Obično se otkrije kad ne možete pristupiti datotekama ili vam se prikaže poruka u kojoj se traži plaćanje.

  • Krađa identiteta

    Krađa identiteta čin je kojim se pojedince odnosno tvrtke ili ustanove na prijevaru navede da otkriju podatke kao što su brojevi kreditnih kartica i putovnica. Namjera je ukrasti ili oštetiti povjerljive podatke predstavljanjem kao ugledna tvrtka s kojom je žrtva upoznata.

  • Curenje podataka

    Curenje podataka namjeran je ili slučajan prijenos podataka iz tvrtke ili ustanove vanjskom primatelju. To se može postići e-poštom, internetom i uređajima kao što su prijenosna računala i prijenosni uređaji za pohranu. Iznošenje datoteka i dokumenata iz prostora tvrtke ili ustanove također se smatra oblikom curenja podataka. 

  • Nemar

    Nemara je kada zaposlenik svjesno krši pravilnik o sigurnosti, ali ne s namjerom na našteti tvrtki. Može, primjerice, suradniku koji nema pristup poslati povjerljive podatke ili se prijaviti u resurse tvrtke putem nezaštićene bežične veze. Drugi je primjer kad dopusti nekome da uđe u zgradu bez iskaznice.

  • Prijevara

    Prijevaru izvršavaju sofisticirani korisnici koji žele iskoristiti anonimnost na mreži i pristupačnost u stvarnom vremenu. Putem ugroženih računa i ukradenih brojeva kreditnih kartica mogu generirati transakcije. Tvrtke i ustanove mogu postati žrtve prijevara povezanih s jamstvom, povratom novca ili preprodajom.

  • Krađa

    Krađa je interna prijetnja koja rezultira ukradenim podacima, novcem ili intelektualnom vlasništvom. Obavlja se za osobnu dobit i radi nanošenja štete tvrtki ili ustanovi. Pouzdani dobavljač, primjerice, može prodavati brojeve socijalnog osiguranja svojih klijenata na tamnom webu ili iskoristiti interne informacije o klijentima za pokretanje vlastitog posla.

Tehnologije za sigurnost podataka

Tehnologije za sigurnost podataka ključne su komponente za potpuniju strategiju sigurnosti podataka. Dostupna su različita rješenja za sprječavanje gubitka podataka koja omogućuju otkrivanje internih i vanjskih aktivnosti, označavanje sumnjivog ili rizičnog ponašanja zajedničkog korištenja podataka te upravljanje pristupom povjerljivim podacima. Implementirajte ove tehnologije za sigurnost podataka da biste spriječili izvlačenje povjerljivih podataka.

Šifriranje podataka. Koristite šifriranje – pretvaranje podataka u kod– na podacima u mirovanju i onima u prijenosu da biste neovlaštenim korisnicima onemogućili prikaz sadržaja datoteke čak i ako ostvare pristup mjestu na kojem se ona nalazi.

Provjera autentičnosti i autorizacija korisnika. Provjeravajte korisničke vjerodajnice i potvrdite da su ovlasti za pristup pravilno dodijeljene i primijenjene. Kontrola pristupa utemeljena na ulogama tvrtki ili ustanovi omogućuje da pristup omogući samo onima kojima je potreban.

Otkrivanje internih rizika. Prepoznajte aktivnosti koje mogu upućivati na interne rizike ili prijetnje. Shvatite kontekst upotrebe podataka i prepoznajte koja preuzimanja, slanja e-pošte izvan tvrtke ili ustanove te preimenovanja datoteka upućuju na sumnjivo ponašanje.

Pravilnici za sprječavanje gubitka podataka. Stvorite i provodite pravilnike u kojima se definira upravljanje podacima i njihovo zajedničko korištenje. Odredite ovlaštene korisnike, aplikacije i okruženja za razne aktivnosti da biste spriječili curenje ili krađu podataka.

Sigurnosno kopiranje podataka. Stvarajte identične sigurnosne kopije podataka tvrtke ili ustanove da bi ih ovlašteni administratori mogli vratiti u slučaju kvara prostora za pohranu, kršenja sigurnosti podataka ili bilo kakve katastrofe.

Upozorenja u stvarnom vremenu. Automatizirajte obavijesti o potencijalnoj zloupotrebi podataka i primajte upozorenja na moguće sigurnosne probleme prije nego što uzrokuju štetu podacima, vašem ugledu ili privatnosti zaposlenika i klijenata.

Procjena rizika. Shvatite da zaposlenici, dobavljači, izvođači radova ili partneri imaju informacije o vašim podacima i sigurnosnim praksama. Da biste spriječili njihovu zloupotrebu, morate znati koje podatke imate i kako se oni koriste u cijeloj tvrtki ili ustanovi.

Nadzor podataka. Riješite glavne probleme kao što su zaštita podataka, točnost i pristupačnost redovitim nadzorom podataka. Nadzor vam omogućuje da saznate tko i kako koristi vaše podatke.

Strategije upravljanja sigurnošću podataka

Strategije upravljanja sigurnošću podataka obuhvaćaju pravilnike, procedure i upravljanje kojima možete bolje zaštititi podatke.

  • Implementirajte najbolje prakse za upravljanje lozinkama

    implementirajte jednostavno rješenje za upravljanje lozinkama. Time ćete ukloniti potrebu za ljepljivim bilješkama i proračunskim tablicama te osloboditi zaposlenike od potrebe za pamćenjem jedinstvenih lozinki.
    Koristiti pristupne izraze umjesto lozinki. Pristupni izrazi zaposlenicima mogu biti pamtljiviji, a računalnim zločincima teže ih je pogoditi.
    Omogućite dvostruku provjeru autentičnosti. Uz dvostruku provjeru autentičnosti zadržava se sigurnost prijave čak i ako je pristupni izraz ili lozinka kompromitirana jer neovlašteni korisnik ne može dobiti pristup bez dodatne šifre koju generira drugi uređaj. 
    Promijenite lozinke nakon kršenja sigurnosti. Smatra se da prečesto mijenjanje lozinki s vremenom smanjuje njihovu sigurnost jer postaju slabije.
    Nemojte pristupne izraze ili lozinke koristiti više puta. Kad se jednom kompromitiraju, obično se iskoriste za ostvarivanje pristupa drugim računima.

  • Stvaranje plana obrane

    Zaštitite povjerljive podatke. Otkrivajte i klasificirajte sve podatke da biste znali količinu, vrstu i lokaciju podataka u svakom dijelu njihova životnog ciklusa.
    Upravljajte internim rizicima. Shvatite aktivnosti korisnika i namjene u koje koriste podatke da biste prepoznali potencijalno rizične aktivnosti koje bi mogle uzrokovati incidente povezane sa sigurnošću podataka.
    Uspostavite odgovarajuće kontrole pristupa i pravilnike. Spriječite aktivnosti kao što su nepravilno spremanje, pohranjivanje ili ispis povjerljivih podataka.

  • Zaštitite podatke šifriranjem

    Šifriranjem podataka neovlaštenim se korisnicima onemogućuje čitanje povjerljivih podataka. Čak i ako ostvare pristup okruženju u kojem se podaci nalaze ili vide podatke tijekom prijenosa, oni su im beskorisni jer ih ne mogu jednostavno pročitati ni razumjeti.

  • Instaliranje softverskih i sigurnosnih ažuriranja

    Softverskim i sigurnosnim ažuriranjima rješavaju se poznate slabe točke koje računalni kriminalci često iskorištavaju za krađu povjerljivih podataka. Redovitim ažuriranjem pridonosite otklanjanju tih slabih točaka i sprječavanju ugrožavanja sustava.

  • Obučavanje zaposlenika o sigurnosti podataka

    Zaštita podataka tvrtke ili ustanove nije nešto čime se bavi samo informatički odjel, već je potrebno obučiti i zaposlenike te podići svijest o otkrivanju, krađi i oštećivanju podataka. Najbolje prakse za sigurnost podataka odnose se na podatke na mreži, kao i na one koji su ispisani na papiru. Formalna obuka morala bi se redovito provoditi, bilo svaka tri mjeseca, dvaput godišnje ili jednom u godini.

  • Implementiranje sigurnosnih protokola za rad na daljinu

    Da biste implementirali sigurnosne protokole za radnike na daljinu najprije jasno odredite pravilnike i procedure. To obično obuhvaća obaveznu obuku o sigurnosti te navođenju softverskih aplikacija koje su prihvatljiva za upotrebu te načina njihove upotrebe. Protokoli moraju obuhvaćati i postupak zaštite svih uređaja koje koriste vaši zaposlenici.

Propisi i usklađenost

Tvrtke i ustanove moraju se pridržavati relevantnih standarda, zakona i propisa o zaštiti osobnih podataka. To uz ostalo obuhvaća prikupljanje samo podataka koji su vam potrebni od klijenata ili zaposlenika, njihova zaštita i njihovo pravilno uklanjanje. Primjeri zakona o zaštiti privatnosti jesu Opća uredba o zaštiti podataka (GDPR), Health Insurance Portability and Accountability Act (HIPAA) i California Consumer Privacy Act (CCPA).

Opća uredba o zaštiti podataka najstroži je zakon o zaštiti privatnosti i sigurnosti podataka. Predložila ju je i usvojila Europska unija (EU), ali moraju je se pridržavati tvrtke i ustanove iz cijelog svijeta ako ciljaju ili prikupljaju osobne podatke od građana ili rezidenata Europske unije ili pak ako im nude robu i usluge.

HIPAA pridonosi zaštiti zdravstvenih podataka pacijenata od otkrivanja bez pacijentova znanja ili pristanka. Pravilo o zaštiti privatnosti zakona HIPAA štiti osobne zdravstvene podatke i izdano je radi implementacije zahtjeva zakona HIPAA. Pravilo o sigurnosti zakona HIPAA pridonosi zaštiti zdravstvenih podataka koji omogućuju utvrđivanje identiteta koje pružatelj zdravstvene skrbi stvara, prima, održava ili prenosi elektroničkim putem.

CCPA pridonosi zaštiti prava na privatnost potrošača u Kaliforniji, uključujući pravo na upoznatost s osobnim podacima koji se prikupljaju i načinom na koji se koriste i dijele, pravo na brisanje prikupljenih osobnih podataka te pravo na nepristajanje na prodaju osobnih podataka.

Službenik za zaštitu podataka rukovodeća je uloga, a dužnost je tog službenika pratiti usklađenost i pobrinuti se za to da tvrtka ili ustanova osobne podatke obrađuje sukladno zakonima o zaštiti osobnih podataka. Ta osoba, primjerice, obavještava i savjetuje timove za usklađenost o tome kako postići usklađenost, provodi obuku u organizaciji te prijavljuje neusklađenost s propisima i pravila.

Kad zbog neusklađenosti dođe do kršenja sigurnosti podataka, to tvrtke ili ustanove često stoji milijune dolara. Posljedice obuhvaćaju krađu identiteta, gubitak produktivnosti i odlazak klijenata.

Zaključak

Putem sigurnosti podataka i upravljanja sigurnošću podataka možete prepoznati i procijeniti prijetnje za podatke, lakše se uskladiti sa zakonskim propisima te održavati cjelovitost podataka.

Pazite da često sigurnosno kopirate podatke, sigurnosnu kopiju pohranite na drugoj lokaciji, uspostavite strategije upravljanja sigurnošću podataka te provodite pravila o jakim lozinkama ili pristupnim izrazima i dvostrukoj provjeri autentičnosti.

Mjere za zaštitu podataka tijekom životnog ciklusa, razumijevanje načina korištenja podataka, sprječavanje curenja podataka i stvaranje pravilnika o sprječavanju gubitka podataka temelj su razvoja snažne obrane u tvrtki ili ustanovi.

Saznajte kako zaštititi podatke u oblacima, aplikacijama i na krajnjim točkama pomoću postupaka i alata za sigurnost podataka.

Saznajte više o rješenju Microsoft Security

Microsoft Purview

Istražite rješenja za upravljanje podacima tvrtke ili ustanove, za njihovu zaštitu i za njihovu usklađenost.

Pridonesite sprječavanju gubitka podataka

Prepoznajte neodgovarajuće zajedničko korištenje ili upotrebu povjerljivih podataka na krajnjim točkama, u aplikacijama i na servisima.

Upravljanje internim rizicima

Saznajte kako prepoznati potencijalne rizike u aktivnostima zaposlenika i dobavljača.

Zaštita podataka

Otkrijte, kategorizirajte i zaštitite najpovjerljivije podatke na digitalnim resursima.

Najčešća pitanja

  • Sigurnost podataka pridonosi zaštiti povjerljivih podataka tijekom cijelog životnog ciklusa, razumijevanju konteksta korisničke aktivnosti i podataka te sprječavanju neovlaštenog korištenja podataka. Obuhvaća znanje o tome koje podatke imate i gdje se nalaze te prepoznavanje prijetnji za te podatke.

  • Vrste sigurnosti podataka obuhvaćaju sljedeće:

    • kontrole pristupa pri kojima su potrebne vjerodajnice za pristup lokalnim podacima i onima u oblaku
    • provjeru autentičnosti korisnika putem lozinki, pristupnih kartica ili biometrijskih podataka
    • sigurnosno kopiranje i oporavak da bi se omogućio pristup podacima nakon kvara sustava, oštećenja podataka ili katastrofe
    • otpornost podataka kao proaktivni pristup oporavku od katastrofe i kontinuitetu poslovanja
    • brisanje podataka radi pravilnog rješavanja podataka tako da ih više nije moguće oporaviti
    • softver za maskiranje podataka koji koristi proxy znakove za skrivanje slova i brojeva od neovlaštenih korisnika
    • rješenja za sprječavanje gubitka podataka koja štite povjerljive podatke od neovlaštenog korištenja
    • šifriranje kojim datoteke postaju nečitljive neovlaštenim korisnicima
    • zaštitu podataka kojom se razvrstavaju povjerljivi podaci koji se nalaze u datotekama i dokumentima
    • upravljanje internim rizicima radi ublažavanja rizičnih aktivnosti korisnika.
  • U jednom primjeru sigurnosti podataka koristi se tehnologija kojom se otkrivaju lokacije povjerljivih podataka unutar tvrtke ili ustanove i prepoznaju načini pristupanja tim podacima i njihova korištenja.

  • Sigurnost podataka važna je jer tvrtki ili ustanovi omogućuje da se zaštiti od računalnih napada, internih prijetnji i ljudskih pogrešaka, a sve to može uzrokovati kršenja sigurnosti.

  • Povjerljivost, cjelovitost, dostupnost i usklađenost četiri su ključna problema koje sigurnost podataka mora riješiti.

Pratite Microsoft 365