Kaj je varnost podatkov?
Varnost podatkov vključuje poznavanje vrste svojih podatkov, njihove lokacije ter prepoznavanje tveganj v zvezi s podatki. Naučite se zaščititi svoje podatke.
Definicija varnosti podatkov
Varnost podatkov omogoča zaščito občutljivih podatkov v njihovem celotnem življenjskem ciklu, razumevanje konteksta dejavnosti uporabnika in podatkov ter preprečevanje nepooblaščene uporabe ali izgube podatkov.
Varnosti podatkov je v dobi naraščajočih groženj kibernetske varnosti in notranjih tveganj izjemno pomembna. Zagotavlja vpogled v vrste podatkov, preprečuje nepooblaščeno uporabo podatkov ter omogoča prepoznavanje in odpravljanje tveganj v zvezi s podatki. Upravljanje varnosti podatkov skupaj z varnostjo podatkov usmerja organizacijo pri načrtovanju, organiziranju in nadzoru dejavnosti varnosti podatkov z uporabo dobro opredeljenih pravilnikov ter postopkov.
Vrste varnosti podatkov
Učinkovita varnost podatkov mora upoštevati občutljivost nabora podatkov in zahteve organizacije glede skladnosti s predpisi. Vrste varnosti podatkov, s katerimi se lahko zaščitite pred kršitvami varnosti podatkov, izpolnite zakonske zahteve in preprečite škodovanje lastnemu ugledu, vključujejo to:
- Nadzor dostopa, ki ureja dostop do podatkov na mestu uporabe in v oblaku.
- Preverjanje pristnosti uporabnikov z gesli, karticami za dostop ali biometričnimi podatki.
- Varnostne kopije in obnovitev, ki omogočajo dostop do podatkov po okvari sistema, poškodbi podatkov ali nesreči.
- Odpornost podatkov kot proaktivni pristop k vnovični vzpostavitvi po katastrofi in neprekinjenemu poslovanju.
- Izbris podatkov za ustrezno odstranitev podatkov in zagotavljanje, da jih ni mogoče obnoviti.
- Programska oprema za maskiranje podatkov, ki uporablja znake strežnika proxy za skrivanje črk in številk pred nepooblaščenimi uporabniki.
- Rešitve za preprečitev izgube podatkov za zaščito pred nepooblaščeno uporabo občutljivih podatkov.
- Šifriranje za onemogočanje branja datotek nepooblaščenim uporabnikom.
- Zaščita informacij za pomoč pri razvrščanju občutljivih podatkov, najdenih v datotekah in dokumentih.
- Upravljanje notranjega tveganja za zmanjševanje tveganih dejavnosti uporabnikov.
Vrste podatkov, ki jih je treba zavarovati
Vsakdo, ki mu je bila ogrožena kreditna kartica ali ukradena identiteta, še bolj ceni učinkovito zaščito podatkov. Zlonamerni hekerji nenehno iščejo načine za krajo osebnih podatkov za namene pridobivanja odkupnine, prodaje ali nadaljnje prevare. Poleg tega so sedanji in nekdanji zaposleni pogosto vzrok za izgubo podatkov, zato je upravljanje notranjega tveganja za organizacije nujna rešitev.
Čeprav imajo različne panoge lastne zahteve glede vrste elementov, ki jih je treba zaščititi, in načina zaščite teh elementov, pa je treba zaščititi te splošne vrste podatkov:
- Osebne informacije o zaposlenih in strankah.
- Finančni podatki, kot so številke kreditnih kartic, bančni podatki in finančni izpiski podjetja.
- Zdravstvene informacije, kot so prejete storitve, diagnoze in rezultati testov.
- Intelektualna lastnina, kot so poslovne skrivnosti in patenti.
- Podatki o poslovnih postopkih, kot so informacije o dobavni verigi in proizvodnih procesih.
Grožnje varnosti podatkov
Tako v službi kot tudi doma lahko prek interneta dostopate do računov, načinov komunikacije ter posredovanja in uporabe informacij. Številne vrste kibernetskih napadov in notranjih tveganj lahko ogrozijo informacije, ki jih posredujete.
-
Hekanje
Hekanje se nanaša na kateri koli poskus kraje podatkov, poškodovanja omrežij ali datotek, prevzema digitalnega okolja organizacije ali oviranja njenih podatkov in dejavnosti prek računalnika. Metode hekanja vključujejo lažno predstavljanje, zlonamerno programsko opremo, vdore v kodo in distribuirane napade z zavrnitvijo storitve.
-
Zlonamerna programska oprema
Zlonamerna programska oprema je izraz za črve, viruse in vohunsko programsko opremo, ki omogočajo nepooblaščenim uporabnikom dostop do vašega okolja. Ko ti uporabniki vdrejo v okolje, lahko motijo delovanje omrežja IT in naprav končnih točk ali ukradejo poverilnice, ki so morda ostale v datotekah.
-
Izsiljevalska programska oprema
Izsiljevalska programska oprema je zlonamerna programska oprema, ki preprečuje dostop do omrežja in datotek, dokler ne plačate odkupnine. Odpiranje e-poštne priloge in klikanje oglasa sta dva možna načina prenosa izsiljevalske programske opreme v računalnik. Običajno jo odkrijete, ko ne morete dostopati do datotek ali vidite sporočilo, v katerem je zahtevano plačilo.
-
Lažno predstavljanje
Lažno predstavljanje je prevara, da posamezniki ali organizacije posredujejo podatke, kot so številke kreditnih kartic in gesla. Namen je ukrasti ali poškodovati občutljive podatke s pretvarjanjem, da gre za ugledno podjetje, ki ga žrtev pozna.
-
Uhajanje podatkov
Uhajanje podatkov je nameren ali nenameren prenos podatkov iz organizacije zunanjemu prejemniku. To je lahko izvedeno s pomočjo e-pošte, interneta in naprav, kot so prenosni računalniki in prenosne naprave za shranjevanje. Datoteke in dokumenti, ki so odneseni iz prostorov, so prav tako oblika uhajanja podatkov.
-
Malomarnost
Malomarnost je, kadar zaposleni zavestno krši varnostni pravilnik, vendar ne poskuša škodovati podjetju. Sodelavcu lahko na primer posreduje občutljive podatke, do katerih ta drugače nima dostopa, ali pa se prijavi v vire podjetja prek nezavarovane brezžične povezave. Drug primer je, da zaposleni dovoli vstop v stavbo osebi, ne da bi ta pokazala izkaznico.
-
Goljufija
Goljufijo izvedejo izkušeni uporabniki, ki želijo izkoristiti spletno anonimnost in dostopnost v realnem času. Ustvarijo lahko transakcije z uporabo ogroženih računov in ukradenih številk kreditnih kartic. Organizacije so lahko žrtve garancijskih goljufij, goljufij pri povračilih ali goljufij s preprodajalci.
-
Kraja
Kraja je notranja grožnja, katere rezultat je kraja podatkov, denarja ali intelektualne lastnine. Njen namen je osebna korist in škodovanje organizaciji. Zaupanja vreden dobavitelj lahko na primer proda številke socialnega zavarovanja strank v temnem spletu ali uporabi notranje informacije o strankah za ustanovitev lastnega podjetja.
-
Naravne nesreče
Naravnih nesreč velikokrat ne moremo predvideti, zato se je pametno pripraviti vnaprej in zaščititi svoje podatke – za vsak primer. Ne glede na to, ali gre za orkan, potres, poplavo ali drugo naravno katastrofo, boste z varnostnimi kopijami podatkov zunaj mesta uporabe lažje uvedli načrt neprekinjenega poslovanja.
Tehnologije varnosti podatkov
Tehnologije varnosti podatkov so ključne komponente celovitejše strategije varnosti podatkov. Na voljo so različne rešitve za preprečitev izgube podatkov, s katerimi lahko zaznate notranje in zunanje dejavnosti, označite sumljivo ali tvegano vedenje skupne rabe podatkov z zastavico in nadzirate dostop do občutljivih podatkov. Uvedite zgoraj predstavljene tehnologije za varnost podatkov, da preprečite nepooblaščeno filtriranje občutljivih podatkov.
Šifriranje podatkov. Šifriranje – preoblikovanje podatkov v kodo – uporabite pri neaktivnih in aktivnih podatkih, da preprečite ogled vsebine datoteke nepooblaščenim uporabnikom, tudi če pridobijo dostop do njene lokacije.
Preverjanje pristnosti in pooblastilo uporabnika. Preverite poverilnice uporabnika ter potrdite, da so pravice za dostop ustrezno dodeljene in uporabljene. Nadzor dostopa na osnovi vlog omogoča organizaciji odobritev dostopa samo tistim osebam, ki ga potrebujejo.
Zaznavanje notranjega tveganja. Prepoznajte dejavnosti, ki lahko pomenijo notranja tveganja ali grožnje. Seznanite se s kontekstom uporabe podatkov in prepoznajte, kdaj določeni prenosi, e-poštna sporočila zunaj organizacije in preimenovane datoteke kažejo na sumljivo vedenje.
Pravilniki o preprečitvi izgube podatkov. Ustvarite in uveljavite pravilnike, ki določajo način upravljanja in skupne rabe podatkov. Določite pooblaščene uporabnike, aplikacije in okolja za različne dejavnosti, da preprečite uhajanje ali krajo podatkov.
Varnostna kopija podatkov. Ustvarite popolno varnostno kopijo podatkov organizacije, da jih lahko pooblaščeni skrbniki obnovijo v primeru okvare pomnilnika, kršitve varnosti podatkov ali kakršne koli nesreče.
Sprotna opozorila. Avtomatizirajte obvestila za morebitno zlorabo podatkov in prejmite opozorila o morebitnih varnostnih težavah, preden ti škodujejo podatkom, ugledu ali zasebnosti zaposlenih in strank.
Ocena tveganja. Zavedajte se, da imajo zaposleni, dobavitelji, pogodbeniki in partnerji informacije o vaših podatkih in varnostnih praksah. Če želite preprečiti njihovo zlorabo, morate biti seznanjeni z vrsto podatkov, ki so na voljo, in načinom njihove uporabe v organizaciji.
Nadzor podatkov. Z redno načrtovanimi nadzori podatkov obravnavajte glavne težave, kot so zaščita, točnost in dostopnost podatkov. S tem pridobite vpogled v osebe, ki uporabljajo vaše podatke in načine njihove uporabe.
Strategije upravljanja varnosti podatkov
Strategije upravljanja varnosti podatkov vključujejo pravilnike, postopke in upravljanje za boljšo zaščito podatkov.
-
Uvedite najboljše prakse za upravljanje gesel
Uvedite rešitev za upravljanje gesel, ki je preprosta za uporabo. S tem odpravite uporabo samolepljivih listkov in preglednic, zaposlenim pa si ni treba zapomniti enoličnih gesel.
Namesto gesel uporabite varnostne fraze. Varnostno frazo si zaposleni lažje zapomni, kibernetski kriminalec pa jo težje ugane.
Omogočite dvojno preverjanje pristnosti (2FA). Z dvojnim preverjanjem pristnosti ohranite varnost prijave tudi v primeru morebitne ogroženosti varnostne fraze ali gesla, saj nepooblaščeni uporabnik ne more pridobiti dostopa brez dodatne kode, prejete v drugo napravo.
Po kršitvi spremenite gesla. Pogosto spreminjanje gesel lahko sčasoma privede do šibkejših gesel.
Izogibajte se ponovni uporabi varnostnih fraz ali gesel. Ko so ogroženi, so pogosto uporabljeni za vdor v druge račune. -
Ustvarite obrambni načrt
Zaščitite občutljive podatke. Odkrijte in ustrezno razvrstite podatke, da pridobite vpogled v količino, vrsto in lokacijo informacij, ne glede na to, kje so na voljo v njihovem celotnem življenjskem ciklu.
Upravljajte notranja tveganja. Pridobite vpogled v dejavnosti uporabnikov in predvideno uporabo podatkov, da prepoznate morebitne tvegane dejavnosti, ki lahko povzročijo dogodke v zvezi z varnostjo podatkov.
Uvedite ustrezne kontrolnike in pravilnike za nadzor. Preprečite dejanja, kot so nepravilno shranjevanje, hranjenje ali tiskanje občutljivih podatkov.
-
Uporabite šifriranje za zaščito podatkov
S šifriranje podatkov nepooblaščenim uporabnikom preprečite branje občutljivih podatkov. Tudi če pridobijo dostop do vašega podatkovnega okolja ali vidijo aktivne podatke, so ti podatki neuporabni, saj jih ne morejo preprosto prebrati ali razumeti.
-
Namestite posodobitve programske opreme in varnostne posodobitve
Posodobitve programske opreme in varnostne posodobitve odpravljajo znane ranljivosti, ki jih kibernetski kriminalci pogosto izkoriščajo za krajo občutljivih informacij. Z rednim posodabljanjem odpravite te ranljivosti in preprečite morebitno ogroženost sistemov.
-
Usposabljajte zaposlene na področju varnosti podatkov
Varovanje podatkov organizacije ni omejeno le na oddelek IT, temveč morate usposobiti tudi zaposlene, da so pozorni na morebitno razkritje, krajo in poškodovanje podatkov. Najboljše prakse varnosti podatkov so pomembne za podatke, ki so na voljo v spletu in tiskani obliki. Formalno usposabljanje morate izvajati redno, četrtletno, polletno ali letno.
-
Uvedite varnostne protokole za delo na daljavo
Varnostne protokole za oddaljene zaposlene uvedite tako, da najprej pojasnite pravilnike in postopke. To običajno vključuje obvezno varnostno usposabljanje ter določanje, katero programsko opremo lahko zaposleni uporabljajo in kako jo morajo uporabljati. Protokoli morajo vključevati tudi postopek za zavarovanje vseh naprav, ki jih uporabljajo zaposleni.
Predpisi in skladnost
Organizacija mora upoštevati ustrezne standarde, zakone in predpise glede zaščite podatkov. To med drugim vključuje zbiranje le tistih podatkov, ki jih potrebujete od strank ali zaposlenih, njihovo varno hranjenje in pravilno odstranjevanje. Primeri zakonov o zasebnosti so Splošna uredba o varstvu podatkov (GDPR), Health Insurance Portability and Accountability Act (HIPAA) in Kalifornijski zakon o zasebnosti potrošnikov (CCPA).
Splošna uredba o varstvu podatkov je najstrožji zakon glede zasebnosti in varnosti podatkov. Pripravljena in sprejeta je bila v Evropski uniji (EU), organizacije po svetu pa morajo delovati v skladu z njo, če želijo pridobiti osebne podatke oziroma zbirajo osebne podatke državljanov ali prebivalcev Evropske unije ali jim ponujajo blago in storitve.
Zakon HIPAA ščiti zdravstvene podatke bolnika pred razkritjem brez njegove vednosti ali privolitve. Pravilo o zasebnosti HIPAA varuje osebne zdravstvene podatke in je bil izdan za namene uvajanja zahtev zakona HIPAA. Varnostno pravilo HIPAA ščiti določljive zdravstvene podatke, ki jih ponudnik zdravstvenih storitev ustvarja, prejema, vzdržuje ali prenaša v elektronski obliki.
Zakon CCPA zagotavlja pravice do zasebnosti kalifornijskih potrošnikov, vključno s pravico do obveščenosti o vrsti osebnih podatkih, ki so zbrani, ter o načinu njihove uporabe in njihovega posredovanja, pravico do izbrisa zbranih osebnih podatkov ter pravico do zavrnitve prodaje njihovih osebnih podatkov.
Odgovorna oseba za zaščito podatkov (DPO) je vodilna vloga, ki spremlja skladnost s predpisi in zagotavlja, da organizacija obdeluje osebne podatke v skladu z zakoni o varstvu podatkov. Obvešča na primer ekipe za skladnost in jim svetuje, kako zagotoviti skladnost s predpisi, zagotavlja usposabljanje v organizaciji ter poroča o neupoštevanju pravil in predpisov.
Če neupoštevanje predpisov privede do kršitve varnosti podatkov, to organizacije običajno stane več milijonov dolarjev. Posledice so kraja identitete, izguba storilnosti in odhod strank.
Zaključek
Z varnostjo podatkov in upravljanjem varnosti podatkov lahko lažje prepoznate in ocenite nevarnosti za vaše podatke, delujete v skladu z zakonskimi zahtevami in ohranite celovitost podatkov.
Pogosto varnostno kopirajte podatke, shranjujte kopijo varnostno kopiranih podatkov na lokaciji zunaj mesta uporabe, uvedite strategije za upravljanje varnosti podatkov ter zagotovite zapletena gesla ali varnostne fraze in dvojno preverjanje pristnosti.
Sprejemanje ukrepov za zaščito podatkov med njihovim življenjskim ciklom, razumevanje načina uporabe podatkov, preprečevanje uhajanja podatkov in ustvarjanje pravilnikov o preprečitvi izgube podatkov so temelji za vzpostavitev močne obrambe v organizaciji.
Naučite se varovati podatke v oblakih, aplikacijah in končnih točkah s postopki in orodji za varnost podatkov.
Več informacij o Microsoftovi varnosti
Microsoft Purview
Raziščite rešitve za upravljanje, zaščito in skladnost s predpisi za podatke organizacije.
Preprečite izgubo podatkov
Prepoznajte neprimerno skupno rabo ali uporabo občutljivih podatkov na končnih točkah, v aplikacijah in storitvah.
Upravljajte notranja tveganja
Naučite se prepoznati morebitna tveganja v dejavnostih zaposlenih in dobaviteljev.
Zaščita informacij
Odkrijte, razvrstite in zaščitite najbolj občutljive podatke v svojem digitalnem okolju.
Pogosta vprašanja
-
Varnost podatkov omogoča zaščito občutljivih podatkov v njihovem celotnem življenjskem ciklu, razumevanje konteksta dejavnosti uporabnika in podatkov ter preprečevanje nepooblaščene uporabe podatkov. Varnost podatkov vključuje poznavanje vrste svojih podatkov, njihove lokacije ter prepoznavanje groženj v zvezi s temi podatki.
-
Vrste varnosti podatkov vključujejo to:
- Kontrolniki dostopa, ki zahtevajo poverilnice za prijavo za podatke na mestu uporabe in v oblaku.
- Preverjanje pristnosti uporabnikov z gesli, karticami za dostop ali biometričnimi podatki.
- Varnostne kopije in obnovitev, ki omogočajo dostop do podatkov po okvari sistema, poškodbi podatkov ali nesreči.
- Odpornost podatkov kot proaktivni pristop k vnovični vzpostavitvi po katastrofi in neprekinjenemu poslovanju.
- Izbris podatkov za ustrezno odstranitev podatkov in zagotavljanje, da jih ni mogoče obnoviti.
- Programska oprema za maskiranje podatkov, ki uporablja znake strežnika proxy za skrivanje črk in številk pred nepooblaščenimi uporabniki.
- Rešitve za preprečitev izgube podatkov za zaščito pred nepooblaščeno uporabo občutljivih podatkov.
- Šifriranje za onemogočanje branja datotek nepooblaščenim uporabnikom.
- Zaščita informacij za pomoč pri razvrščanju občutljivih podatkov, najdenih v datotekah in dokumentih.
- Upravljanje notranjega tveganja za zmanjševanje tveganih dejavnosti uporabnikov.
-
Primer varnosti podatkov je uporaba tehnologije, s katero lahko vidite, kje so na voljo občutljivi podatki v organizaciji ter pridobite vpogled v načine dostopa do teh podatkov in njihove uporabe.
-
Varnost podatkov je pomembna, saj se lahko z njo organizacije lažje zaščitijo pred kibernetskimi napadi, notranjimi grožnjami in človeškimi napakami, ki lahko privedejo do kršitev varnosti podatkov.
-
Štiri ključne postavke varnosti podatkov so zaupnost, celovitost, razpoložljivost in skladnost s predpisi.
Spremljajte Microsoft 365