piatok 24. marca 2017

Trend: Vyššie nároky na compliance vrátane GDPR  
Zostrujúca sa situácia v IT bezpečnosti si vyžiada stále komplikovanejšie regulujúce predpisy. Napríklad už schválená smernica Európskej únie o ochrane dát (GDPR), podľa ktorej budú od roku 2018 môcť úrady za nedostatočné zabezpečenie osobných údajov pokutovať firmy a organizácie až do výšky 4% ročného obratu, bude implikovať potrebu sofistikovanejších riešení s logovacími a reportovacími funkciami. 

Už dnes musia firmy a organizácie spĺňať najrôznejšie normy ISO, z pohľadu IT oddelení je najdôležitejšia ISO 27011. Norma ISO 27001 je medzinárodne platný štandard, ktorý definuje požiadavky na systém správy informačnej bezpečnosti, predovšetkým na riadenie bezpečnosti dôverných informácií pre zamestnancov, procesy, IT systémy a stratégiu firmy. ISO 27001 podľa najnovšej verzie z roku 2013 zaručuje súlad s aktuálnymi legislatívnymi požiadavkami, predovšetkým s ochranou osobných údajov.

Prudký nárast ransomvéru, krádeží prístupových údajov k emailovým účtom a krádeží identít na sociálnych sieťach vedú k tomu, že štandardne využívané bezpečnostné postupy prestávajú byť efektívne – podľa januárového prieskumu GFI Software má obavy z krádeže citlivých firemných dát 25% slovenských SMB firiem. Je preto potrebné zamerať sa na monitorovanie logov udalostí v reálnom čase a pravidelnú analýzu logov relevantných z hľadiska informačnej bezpečnosti a správy udalostí (SIEM).

Väčšina štandardov a predpisov pre bezpečnosť dát požaduje, aby všetky relevantné logové dáta boli riadne spravované, zhromažďované, konsolidované a bezpečne ukladané tak, aby mohla spoločnosť preukázať zodpovednosť za úkony prebiehajúce na jej pracovisku.