Administracja samorządowa a ochrona danych. – Andrzej Niziołek, dyrektor regionalny Veeam Software o raporcie Najwyższej Izby Kontroli o bezpieczeństwie informacji.

Jak wynika z raportu Najwyższej Izby Kontroli o zarządzaniu bezpieczeństwem informacji w jednostkach samorządu terytorialnego, obecnie prawie 70 proc. skontrolowanych urzędów nie radzi sobie z zapewnieniem bezpieczeństwa przetwarzania informacji. Jakie kroki powinny podjąć urzędy, aby w pełni zabezpieczać dane obywateli? Veeam, lider rozwiązań do tworzenia kopii zapasowych, które zapewniają zarządzanie danymi w chmurze (Cloud Data Management™), prezentuje 5 wskazówek dotyczących skutecznej ochrony informacji.

 

Według NIK, dane gromadzone i przetwarzane przez systemy IT urzędów gmin i miast są słabo chronione. Jednym z głównym powodów tej sytuacji jest fakt, że w ponad połowie polskich urzędów (57 proc.), które przeszły kontrolę, nie przestrzega się zasad dotyczących uzyskiwania dostępu do systemów informatycznych. Prowadzi to do szeregu nieścisłości i zaniedbań w zakresie zachowania bezpieczeństwa danych, takich jak przykładowo stosowanie krótszych niż wymagane haseł do systemów IT czy wykorzystywanie komputerów z systemem operacyjnym z pominięciem gwarancji.

 

Poniżej Veeam prezentuje 5 kroków, które ułatwią urzędom zachowanie najwyższego poziomu bezpieczeństwa danych.

  1. Znajomość danych. Wiedza o tym, jakie dane są dostępne,miejscu ich przetwarzania, oraz o tym, kto ma do nich dostęp jest konieczna, aby zapewnić odpowiedni poziom bezpieczeństwa informacji. Stworzenie wizualnej mapy wszystkich danych posiadanych przez firmę pomoże spojrzeć na problem z szerokiej perspektywy i lepiej nad nim zapanować. Świadomość konsekwencji utraty danych i związanych z nimi kosztów umożliwia wypracowanie odpowiednich scenariuszy postępowania, które pozwolą zapobiec potencjalnemu zdarzeniu lub zminimalizować jego skutki.
  2. Zarządzanie danymi w chmurze. Po stworzeniu obrazu wszystkich istotnych danych, które firma zbiera i przechowuje, konieczne jest wdrożenie standardowych procedur i przepływów pracy związanych z przetwarzaniem danych osobowych. Urzędnicy powinni mieć do nich dostęp tylko wtedy, gdy jest to konieczne do wykonywania obowiązków służbowych. W zarządzaniu danymi najważniejsze jest to, aby wiedzieć, co się z nimi dzieje – nie tylko w granicach samej organizacji. Zachowanie zgodności z RODO wymaga, aby zachowywały ją również firmy zewnętrzne i dostawcy usług, z którymi się współpracuje, a zatem rolą urzędów jest upewnienie się, czy jego kontrahenci przestrzegają zasad.
  3. Prawidłowa ochrona danych. Kiedy zyska się już wgląd w swoje dane i wdroży standardowe procesy zarządzania nimi, czas upewnić się, że w organizacji są zastosowane odpowiednie narzędzia ochrony danych. Jak wynika z raportu NIK, w prawie 75 proc. urzędów brakuje pełnej i aktualnej informacji o posiadanych zasobach IT służących do przetwarzania danych, a trzeba pamiętać, że przepisy prawne wymagają nieustannego monitorowania i staranności, a także znacznie szybszego reagowania w przypadku naruszenia ochrony danych. Wiedza o możliwościach narzędzi informatycznych do zapewnienia ochrony danych jest tu kluczowa! Wprowadzenie nowego podejścia do ochrony danych w skali całej firmy wymaga połączenia technik bezpieczeństwa, standardowych przepływów pracy, wewnętrznej edukacji, kontroli dostępu, rozwiązań do backupu i nie tylko.
  4. Sam backup nie wystarczy. Jednym z największych zaniedbań administracji samorządowej są jednak kwestie związane z tworzeniem, przechowywaniem i weryfikacją kopii zapasowych danych. Posiadanie kopii danych nie wystarczy, albowiem prawdziwa weryfikacja ich wartości przychodzi w sytuacji, gdy trzeba je odzyskać. Konieczne jest zatem regularne testowanie jakości kopii zapasowych i możliwości ich odzyskania. Jeśli jednostka administracji samorządowej korzysta z usług dostawcy Backend-as-a-Service (BaaS), powinna zarysować takie cykliczne testowanie jako jeden z elementów umowy.
  5. Ulepszenia i wsparcie. Jedną z zalet ciągłego monitorowania i kontrolowania procesów ochrony danych jest możliwość ich nieustannego oceniania i ulepszania. Czasem jednak mogą zaistnieć problemy, które mogą być wyzwaniem nawet dla wykwalifikowanych inżynierów. Jest to szczególnie ważne w przypadku takich instytucji jak jednostki samorządowe. Dobry dostawca usług tworzenia kopii zapasowych jest zaufanym partnerem – oferuje wsparcie i rozwiązuje problemy szybciej i sprawniej bez potrzeby żmudnego czytania odpowiednich instrukcji w dokumentacji czy też manualnego wykonywania złożonych procedur – zwłaszcza w sytuacjach kryzysowych, kiedy czas jest na wagę złota, wszystkie kroki powinny być maksymalnie zautomatyzowane i przećwiczone w przeszłości.

 

We dzisiejszych realiach jednostki administracji samorządowej muszą sprostać bardzo wysokim wymaganiom w zakresie zabezpieczania systemów i zagwarantowania ich ciągłej dostępności. Nie chodzi tylko o to, żeby mieć systemy wysoko dostępne, ale także o to, aby dysponować ich kopiami bezpieczeństwa na wypadek innego rodzaju zdarzeń. Co więcej, urzędy powinny mieć pewność, że te kopie bezpieczeństwa są dostępne i odtwarzalne. Testowanie odzyskiwalności backupu, upewnianie się, że systemy po odtworzeniu działają prawidłowo, oraz plany ciągłości działania możliwie w największym stopniu zautomatyzowane to podstawa do tego, aby utrzymać zaufanie społeczeństwa.

 

* Źródło: https://www.nik.gov.pl/aktualnosci/zeby-elektronicznie-znaczylo-bezpiecznie.html.