Administracja samorządowa a ochrona danych

13-09-2019, 20:17

Według NIK, dane gromadzone i przetwarzane przez systemy IT urzędów gmin i miast są słabo chronione. Jednym z głównym powodów tej sytuacji jest fakt, że w ponad połowie polskich urzędów (57 proc.), które przeszły kontrolę, nie przestrzega się zasad dotyczących uzyskiwania dostępu do systemów informatycznych.

Jak wynika z raportu Najwyższej Izby Kontroli o zarządzaniu bezpieczeństwem informacji w jednostkach samorządu terytorialnego, obecnie prawie 70 proc. skontrolowanych urzędów nie radzi sobie z zapewnieniem bezpieczeństwa przetwarzania informacji. Jakie kroki powinny podjąć urzędy, aby w pełni zabezpieczać dane obywateli?

Okazuje się, że w 57 proc. polskich urzędów, które przeszły kontrolę, nie przestrzega się zasad dotyczących uzyskiwania dostępu do systemów informatycznych. Prowadzi to do szeregu nieścisłości i zaniedbań w zakresie zachowania bezpieczeństwa danych, takich jak przykładowo stosowanie krótszych niż wymagane haseł do systemów IT czy wykorzystywanie komputerów z systemem operacyjnym z pominięciem gwarancji.

Co mogą zrobić urzędy, by zachować najwyższy poziom bezpieczeństwa danych?

Znajomość danych

Wiedza o tym, jakie dane są dostępne, miejscu ich przetwarzania, oraz o tym, kto ma do nich dostęp jest konieczna, aby zapewnić odpowiedni poziom bezpieczeństwa informacji. Stworzenie wizualnej mapy wszystkich danych posiadanych przez firmę pomoże spojrzeć na problem z szerokiej perspektywy i lepiej nad nim zapanować. Świadomość konsekwencji utraty danych i związanych z nimi kosztów umożliwia wypracowanie odpowiednich scenariuszy postępowania, które pozwolą zapobiec potencjalnemu zdarzeniu lub zminimalizować jego skutki.

Zarządzanie danymi w chmurze

Po stworzeniu obrazu wszystkich istotnych danych, które firma zbiera i przechowuje, konieczne jest wdrożenie standardowych procedur i przepływów pracy związanych z przetwarzaniem danych osobowych. Urzędnicy powinni mieć do nich dostęp tylko wtedy, gdy jest to konieczne do wykonywania obowiązków służbowych. W zarządzaniu danymi najważniejsze jest to, aby wiedzieć, co się z nimi dzieje – nie tylko w granicach samej organizacji. Zachowanie zgodności z RODO wymaga, aby zachowywały ją również firmy zewnętrzne i dostawcy usług, z którymi się współpracuje, a zatem rolą urzędów jest upewnienie się, czy jego kontrahenci przestrzegają zasad.

Prawidłowa ochrona danych

Kiedy zyska się już wgląd w swoje dane i wdroży standardowe procesy zarządzania nimi, czas upewnić się, że w organizacji są zastosowane odpowiednie narzędzia ochrony danych. Jak wynika z raportu NIK, w prawie 75 proc. urzędów brakuje pełnej i aktualnej informacji o posiadanych zasobach IT służących do przetwarzania danych, a trzeba pamiętać, że przepisy prawne wymagają nieustannego monitorowania i staranności, a także znacznie szybszego reagowania w przypadku naruszenia ochrony danych. Wiedza o możliwościach narzędzi informatycznych do zapewnienia ochrony danych jest tu kluczowa! Wprowadzenie nowego podejścia do ochrony danych w skali całej firmy wymaga połączenia technik bezpieczeństwa, standardowych przepływów pracy, wewnętrznej edukacji, kontroli dostępu, rozwiązań do backupu i nie tylko.

Sam backup nie wystarczy

Jednym z największych zaniedbań administracji samorządowej są jednak kwestie związane z tworzeniem, przechowywaniem i weryfikacją kopii zapasowych danych. Posiadanie kopii danych nie wystarczy, albowiem prawdziwa weryfikacja ich wartości przychodzi w sytuacji, gdy trzeba je odzyskać. Konieczne jest zatem regularne testowanie jakości kopii zapasowych i możliwości ich odzyskania. Jeśli jednostka administracji samorządowej korzysta z usług dostawcy Backend-as-a-Service (BaaS), powinna zarysować takie cykliczne testowanie jako jeden z elementów umowy.

Ulepszenia i wsparcie

Jedną z zalet ciągłego monitorowania i kontrolowania procesów ochrony danych jest możliwość ich nieustannego oceniania i ulepszania. Czasem jednak mogą zaistnieć problemy, które mogą być wyzwaniem nawet dla wykwalifikowanych inżynierów. Jest to szczególnie ważne w przypadku takich instytucji jak jednostki samorządowe. Dobry dostawca usług tworzenia kopii zapasowych jest zaufanym partnerem – oferuje wsparcie i rozwiązuje problemy szybciej i sprawniej bez potrzeby żmudnego czytania odpowiednich instrukcji w dokumentacji czy też manualnego wykonywania złożonych procedur – zwłaszcza w sytuacjach kryzysowych, kiedy czas jest na wagę złota, wszystkie kroki powinny być maksymalnie zautomatyzowane i przećwiczone w przeszłości.

We dzisiejszych realiach jednostki administracji samorządowej muszą sprostać bardzo wysokim wymaganiom w zakresie zabezpieczania systemów i zagwarantowania ich ciągłej dostępności. Nie chodzi tylko o to, żeby mieć systemy wysoko dostępne, ale także o to, aby dysponować ich kopiami bezpieczeństwa na wypadek innego rodzaju zdarzeń. Co więcej, urzędy powinny mieć pewność, że te kopie bezpieczeństwa są dostępne i odtwarzalne. Testowanie odzyskiwalności backupu, upewnianie się, że systemy po odtworzeniu działają prawidłowo, oraz plany ciągłości działania możliwie w największym stopniu zautomatyzowane to podstawa do tego, aby utrzymać zaufanie społeczeństwa.

Autor: Andrzej Niziołek, dyrektor regionalny Veeam Software w północnej i południowej części Europy Wschodniej


Następny artykuł » zamknij

Zmiany w bankowości

  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy