Wszystkie

Poprawna polityka bezpieczeństwa: jak ją realizować?

Wykonywanie kopii zapasowych spędza sen z powiek wielu przedsiębiorcom. Niezależnie od tego, jakiej wielkości jest firma oraz jaką działalność prowadzimy, backup jest obowiązkiem. W rozporządzeniu RODO jest również mowa o kopiach zapasowych, które są formą przechowywania danych, a zatem w momencie uszkodzenia plików, backupy przejmują status RODO.

Backup ma za zadanie przywrócić oryginalną zawartość nośnika danych w przypadku jego uszkodzenia lub utraty danych. Dlatego kluczowe jest dbanie o jakość kopii zapasowych i zachowanie odpowiedniej procedury. Oprogramowanie antywirusowe nie jest wystarczającym rozwiązaniem w tym przypadku.

Backup ratunkiem na cyberataki

W 2018 i 2019 roku nastąpił wzrost liczby cyberataków. Według danych z raportów (m.in. KPMG, Xopero i Interaktywnie), szacuje się, że ataki w sieci wydarzyły się u ok. 70% polskich firm. Wraz z nimi nastąpiły duże straty finansowe oraz spadek wiarygodności i zaufania w oczach Klientów.  

Aby uniknąć takich sytuacji, przyda się procedura tworzenia kopii zapasowych. Nie istnieją ustalone odgórnie zasady, ale poniższe rady pomogą w organizacji czasu pracy i w lepszym funkcjonowaniu firmy podczas tego procesu. Brak tworzonych regularnie kopii zapasowych w firmach wynika zapewne z niewystarczającej ilości czasu. Jak jednak pokazują statystyki i ostatnie zmiany prawne, backup powinien zająć wysokie miejsce na liście firmowych priorytetów.

Jakie są zasady tworzenia backupu?

  1. Jaka jest sytuacja w firmie? Na początek warto wykonać audyt, którego celem jest odpowiedź na pytanie: ile i jakie dane posiadamy i które z nich trzeba bezwzględnie zabezpieczyć? Codziennie w firmie powstaje ogromny zbiór danych, z którego wiele elementów można usunąć (np. nieaktualne skany, zrzuty ekranu, przeterminowane pliki, wzory pism etc.). Następnie trzeba dokonać segregacji danych pod kątem ich ważności dla Klientów. Które z nich są kluczowe dla działania Kontrahentów? Można je nazwać i przyporządkować, a dzięki temu w razie awarii zachowamy zimną krew.
  2. Reguła 3-2-1. Przejrzysta zasada mówi o wykonaniu 3 kopii zapasowych, przechowywanych na 2 osobnych nośnikach, z których 1 znajduje się poza siedzibą firmy. To bardzo mocne zabezpieczenie danych, ponieważ prawdopodobieństwo ich utraty w takiej sytuacji wynosi 1 na milion. Zaleca się przechowywać dane na dyskach wewnętrznych, zewnętrznych, w chmurze czy też na DVD lub Blu Ray (na DVD mieści się jednak mała ilość danych, a na Blue Ray nie można ich nadpisać, ale po jakimś czasie ulegają degradacji).
  3. Utworzenie firmowej procedury kopii zapasowych. Mało kto lubi procedury, a szczególnie ich tworzenie, ale potrafią one uratować dobre imię firmy. Chcąc maksymalnie oszczędzić czas, warto dokonać automatyzacji kopii zapasowych. Przedtem jednak ustalmy osobę odpowiedzialną za ten proces lub skontaktujmy się z firmą zewnętrzną, która wykona backup. Potrzebne będzie również określenie:
    • Ilości czasu na odzyskanie danych.
    • Czy te działania będą miały jakiś wpływ na funkcjonowanie firmy lub obsługę Klientów?
    • Ustalenie czynności, które warto podjąć po przywróceniu danych.
  4. Przeprowadzanie testów. Jeśli przedsiębiorstwo dysponuje czasem oraz zasobami ludzkimi, można również przeprowadzić testy, które pomogą ustalić, czy:
    • Proces przebiegł poprawnie i dane są dostępne.
    • Odzyskiwanie danych przebiega tak jak powinno.
    • Pracownicy firmy zostali poinstruowani i przyswoili wiedzę na temat tego, co robić, gdy w przedsiębiorstwie zajdzie konieczność odzyskania danych.
    • Warto przeprowadzić różnorakie testy odzysku danych, tzn. zarówno z plików, maszyn wirtualnych, jak i z serwera.

Kopie zapasowe: przez jaki czas je przechowywać?

Można przechowywać je do czasu, kiedy trwa podstawa prawna ich przetwarzania. Jeśli takiej podstawy nie ma, dane osobowe z kopii zapasowej powinny zostać usunięte lub poddane anonimizacji. Użytkownik, zgodnie z art. 17 RODO, ma prawo do usunięcia danych, której jego dotyczą m.in. w sytuacji, gdy ustał cel przetwarzania, użytkownik wniósł sprzeciw wobec przetwarzania lub dane osobowe były przetwarzane niezgodnie z prawem.

Ponadto jeżeli administrator upublicznił dane osobowe innemu administratorowi, jest zobowiązany do poinformowania innych administratorów o tym, że użytkownik zażądał usunięcia danych osobowych z kopii zapasowych. Zapraszamy do artykułu o RODO.

OCHRONA DANYCH W ITH.EU

W ITH bezpieczeństwo danych Klientów jest naszym priorytetem. W swojej ofercie mamy ochronę sieci, backup, audyt i monitoring, dysponujemy firewall w chmurze, siecią VPN oraz stabilnym, szybkim hostingiem. Zachęcamy do skorzystania z usług naszych specjalistów.