Bezpečnosť dát zákazníkov ITčka, ako aj ostatných relevantných dát, je pre nás absolútnou prioritou.

Vďaka precíznej implementácii a striktnému dodržiavaniu nastavených ITIL v3 procesov dokážeme zabezpečiť ochranu dát nielen na fyzickej úrovni, ale aj v rámci procesných krokov potrebných na sledovanie prístupu k dátam a zabezpečenie trvalo udržateľnej miery zabezpečenia.

Procesná ochrana dát

Napríklad ITIL proces Information Security Management je spúšťaný už vo fáze dizajnovania IT služieb. Jeho výstupom je Bezpečnostná politika ITčka (Information Security Policy), ktorá je záväzným, pravidelne aktualizovaným dokumentom zásad pri nakladaní s informáciami. Pokrýva celý životný cyklus dát, od bodu ich vzniku a ukladania až po ukončenie životného cyklu a ich bezpečnú likvidáciu. Proces je pravidelne aktualizovaný cyklickou funkciou, tzv. PDOC (Plan – Do – Check – Act) prístupom.

Napríklad pri analýze rizík reagujeme na identifikované riziká nasledovnými spôsobmi:

Preventívna metóda

Ide o súbor opatrení za účelom predchádzania bezpečnostným incidentom. Najznámejšia metóda ako príklad preventívnych opatrení je obmedzenie prístupu k dátam, teda umožnenie prístupu len vybranej skupine ľudí. Nástroje tejto metódy sú napríklad správa prístupov (povolenie či zakázanie prístupu), autorizácia (zistenie kto je oprávnený pristupovať k dátam a akým spôsobom), identifikácia a autentifikácia (potvrdenie totožnosti žiadateľa) a kontrola prístupu (overenie autorizovaného prístupu).

Metóda zníženia dopadu bezpečnostného incidentu

Ide o súbor opatrení s cieľom znížiť prípadnú škodu spôsobenú incidentom na minimum. Najlepším príkladom je práve zálohovanie ITčkom, ale aj vývoj, testovanie a údržba plánov na obnovu služby (Disaster Recovery Plan).

Metóda zistenia bezpečnostného incidentu

V prípade, že bezpečnostný incident nastane, je dôležité o tom vedieť čo najskôr. Dobrým príkladom je monitoring ITčka napojený na oznamovacie procedúry. V praxi to znamená neustále sledovanie parametrov systémov, automatizované vyhodnotenie týchto parametrov a následné automatické upozornenie Service Desku (Service Desk ITčka pracuje non-stop).

Metóda protiopatrení

Súbor opatrení použitých v prípade zistenia bezpečnostného incidentu. Napríklad v prípade viacnásobného neúspešného prihlásenia automaticky zablokujeme prístup z dotknutého počítača na určitý časový interval. Podobne ako funguje vaša bankomatová karta ak zabudnete PIN.

Nápravná metóda

Škoda je odstránená nápravnou metódou. Napríklad obnova zo zálohy alebo vrátenie poslednej funkčnej konfigurácie. Návrat na začiatok operácie (fallback) je tiež nástrojom nápravnej metódy.

Fyzická ochrana dát

Zálohované, archívne a všetky iné relevantné dáta sú šifrované modernou a bezpečnou metódou AES 256. Ak nie je želanie zákazníka iné, šifrovací kľúč má k dispozícii vždy len zákazník.

Šifra AES 256 je priemyselný štandard chrániaci informácie v otvorenom prostredí, od bankových transakcií, cez utajované dáta väčšiny krajín až po zdravotnú dokumentáciu v moderných ambulanciách. Napríklad Spojené štáty americké a Kanada používajú AES 256 na zabezpečenie prenosu aj uloženia utajovaných dát.

Sila šifry AES 256 spočíva v komplexite kľúča použitého na zašifrovanie dát. 256 bitové šifrovanie je matematický ekvivalent 2256 možností kľúča. Pre predstavu, už 232 je 4,3 miliárd možností a sila stúpa ďalej geometrickým radom (napríklad 234 rokov je vek vesmíru).

Ako z uvedeného vyplýva, dáta spravované ITčkom sú absolútne zabezpečené a pravdepodobnosť ich kompromitácie sa limitne blíži k nule.

Zoberte, prosím, na vedomie fakt, že v prípade straty šifrovacieho kľúča zákazníkom ide o stratu jedinej kópie. V takom prípade dáta nedokážeme za žiadnych okolností obnoviť a záloha sa stáva bezcennou.

Právna ochrana dát

Pri našej spolupráci so zákazníkom sa spravidla dozvieme informácie, ktoré zákazník môže pokladať za citlivé.

Vzhľadom k potrebe chrániť záujem zákazníka, pred vstupom do zmluvného vzťahu medzi zákazníkom a ITčkom spravidla uzatvárame dohodu o mlčanlivosti nazývanú NDA (Non Disclosure Agreement) alebo takzvanú dohodu o utajení Confidentiality Agreement CA. Podstata oboch dohôd je rovnaká.

Dohoda o mlčanlivosti sa ako predzmluvný vzťah uzatvára za účelom prvotného sprístupnenia dát, informácií a požiadaviek zákazníka, tak aby zákazník mal zmluvnú istotu, že tieto citlivé dáta spadajúce pod obchodné tajomstvo, know how alebo dôverné informácie nebudú zneužité iným subjektom.

Dohoda o mlčanlivosti je komplexný dokument, ktorý definuje dôverné informácie, záväzok mlčanlivosti, stanovuje sankcie pri porušení mlčanlivosti a definuje dobu trvania mlčanlivosti.