Na nedavno održanom meetup-u u sklopu MS ITPro Community Varaždin, Mladen Kuzminski je održao predavanje na temu

Opasnost od gubitka podataka – upravljanje incidentima

da li su nam podaci usklađeni sa smjernicama GDPR

 

U ovom predavanju je autor sagledao sigurnost baza podataka s aspekta GDPR-a i usklađenosti s uredbom.

Kad pokušamo odgovoriti na pitanje „Gdje se nalaze osobni podaci u našoj organizaciji

i koji su to podaci?” dolazimo do zaključka da većina današnjih organizacija svoje podatke čuva u bazama podataka. Stoga dolazimo do sljedećeg pitanja „Kako štitimo podatke u bazama podataka i kako to dokazujemo?”

Kad su u pitanju baze podataka, javlja se i niz dodatnih pitanja, kao npr:

  • Koje su potencijalne slabosti naše baze?
  • Tko može pristupiti podacima?
  • Da li legalni korisnici koriste slabe i nesigurne lozinke?
  • Kako vidjeti koja su pravila ponašanja na serveru?
  • Kako uraditi sigurnosni audit baze podataka i dobiti gotov izvještaj koji ima smisla?
  • Da li sve to trebamo sami ručno uraditi ili postoje alati koji nam mogu pomoći?

U praksi danas postoje specijalizirani alati (softver) koji nam može pomoći u dobivanju odgovora na ova pitanja i pomaže nam posložiti naše database servere na siguran način. Jedan od takvih softvera, lider u tom segmentu tržišta, je IDERA SQL Secure.

SQL Secure nam pomaže identificirati između ostalog sljedeće:

  • Koje su potencijalne slabosti naše baze? – alat daje usporedba sigurnosnih postavki svih SQL Servera u organizaciji, vrši provjeru definirane razine sigurnosti za zaštitu od upada, identificira najčešće sigurnosne ranjivosti te daje izvještaj o rizicima u kategorijama visoki rizik, srednji rizik ili nizak rizik.
  • Tko može pristupiti podacima? – omogućuje otkrivanje svih prava pristupa na SQL Server i Azure SQL bazama podataka. pregled i analizu svih SQL Server objekata od razine servera do razine uloga, pregled svih sigurnosnih svojstava i dopuštenja za sve objekte te povijesni pregled audita i usporedba stanja (traženje promjena).
  • Kako vidjeti koja su pravila ponašanja na serveru? – 80+ provjera ponašanja kroz 7 kategorija, import predložaka pravila ponašanja na temelju preporuka autoriteta kao što su DISA SRR, CIS i SNAC, i dr.
  • Brzi i pregledni izvještaji – prijave na više servera, svi serveri na koje je pristupio određeni korisnik, slabosti servera, prava pristupa, uloge na bazama podataka i dr, vremenska usporedba izvještaja i usporedba s predefiniranim modelom.

SQL Secure time direktno pomaže u zadovoljenju zahtjeva GDPR-a „Data Protection by Design and Default”, „Security of Processing” i „Data Protection Impact Assessment”.

No ukoliko usprkos svih poduzetih mjera zaštite ipak dođe do upada u bazu podataka i pokušaja promjene, tada na scenu stupa alat IDERA SQL Compliance Manager koji nam pomaže kako bi otkrili sljedeće:

  • Tko je radio s podacima i kojim točno podacima?
  • Pruža nam dnevnik aktivnosti za forenzičku analizu incidenta.
  • Omogućuje 24/7 praćenja svih aktivnosti nad bazama podataka.

Ovaj alat radi centralizirani audit svih SQL Server-a I baza podataka, praćenje svih aktivnosti korisnika I upozorava na promjene podataka u stvarnom vremenu. Definirani alarmi se oglašavaju prilikom pristupa osjetljivim podacima, a omogućeno je i praćenje trendova aktivnosti korisnika. Alat daje informacije ne samo koji je korisnik pristupio osobnim (ili bilo kojim drugim podacima na serveru), već točne informacije o načinu pristupa (koje komande su izvršene) te kako su podaci izgledali prije i nakon pristupanja, čime je znatno olakšana forenzika u slučaju incidenta.

SQL Compliance Manager nudi također automatsko stvaranje izvještaja koji udovoljavaju zahtjevima HIPAA, HITECH and PCI DSS I dr. regulativa, te nudi 25 gotovih predložaka audita uz stalno proširenje istih. Time je omogućeno zadovoljenje zahtjeva uredbe „Notification of Personal Data Breach to the Supervisory Authority”, „Records of Processing Activities”, kao i „Data Protection Impact Assessment”.

Oba ova alat mogu se preuzeti sa stranica proizvođača www.idera.com i potpuno besplatno isprobati. Sve dodatne informacije mogu se dobiti kod regionalnog distributera, tvrtke Konto d.o.o na adresi idera@konto.hr

 

Slajdovi s predavanja i prospekti koji su se mogli uzeti:

KUZMINSKI ITPro Opasnost od gubitka podataka – upravljanje incidentima

SQL secure datasheet_WEB

SQL compliance manager datasheet_WEB

 

Održana prezentacija na Microsoft ITPro community Varaždin

idera.konto.hr koristi kolačiće kako bi se osiguralo bolje korisničko iskustvo i funkcionalnost stranica. Više informacija o kolačićima možete dobiti na "Više informacija" a za nastavak korištenja stranice molimo kliknite na "Prihvaćam". Više informacija

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close