• COMPAREX Blog

    RODO
    Gdzie wznieść
    mury obronne?

06.04.2017 | Jacek Sapiński

Lawinowy rozwój systemów informatycznych, wzrost liczby aplikacji i sposobów dostępu do danych, rosnąca liczba ataków z wewnątrz, zmusza organizacje do zmiany strategii ochrony danych


Czym jest RODO?

Rozporządzenie RODO weszło w życie w zeszłym roku nakładając nowe obowiązki na przedsiębiorstwa przetwarzające dane osobowe. Obecnie firmy pracują nad implementacją mechanizmów wynikających z nowych przepisów. Dotyczy to również przedsiębiorstw, których systemy informatyczne oparte są o wiodące rozwiązanie przechowywania danych – Oracle Database. Niniejszy artykuł ma na celu nakreślenie najważniejszych zasad implementacji głównych wymagań rozporządzenia RODO na systemach baz danych Oracle.

Rozporządzenie o ochronie danych osobowych (RODO) zostało uchwalone w celu ujednolicenia zasad ochrony danych osobowych obywateli Unii Europejskiej. Głębsza analiza tego rozporządzenia przedstawiona jest tu.

Gdzie wznieść mury obronne?

Głównym celem rozporządzenia RODO jest poprawa poziomu zabezpieczeń danych osobowych. Dotychczas firmy bazowały na zabezpieczeniach broniących dostępu do sieci przedsiębiorstwa, starając się nie dopuścić do jej penetracji z zewnątrz. Ochrona dostępu do danych była najczęściej realizowana poza bazą danych - w warstwie aplikacyjnej.

To podejście było skuteczne, dopóki architektura systemów była prosta I tylko jedna aplikacja korzystała z danych w konkretnej bazie. Takie rozwiązanie nie jest już wystarczające.

Lawinowy rozwój systemów informatycznych, wzrost liczby aplikacji i sposobów dostępu do danych, rosnąca liczba ataków z wewnątrz, zmusza organizacje do zmiany strategii ochrony danych przed nieupoważnionym dostępem. Kluczowym staje się ochrona danych w miejscu ich przechowywania, czyli w bazie danych.  Umieszczenie mechanizmów ochronnych w bazie danych zmniejsza powierzchnię ataku i zabezpiecza dane niezależnie od tego w jaki sposób odbywa się dostęp do nich. Umożliwia to również scentralizowany monitoring dostępu do danych. Taki sposób ochrony danych jest zgodny z wytycznymi RODO.

 

Oracle vs. RODO

Firma Oracle zawsze przykładała dużą wagę do zagadnień bezpieczeństwa i adresowała ten problem we wszystkich swoich produktach i rozwiązaniach. Szczególną uwagę zwracano do zabezpieczenia danych w bazach danych Oracle Database. Przez lata Oracle wypracowało wiele innowacyjnych produktów i rozwiązań podnoszących bezpieczeństwo przechowywania danych. Jako przykład można wymienić Oracle Database Vault, Transparent Data Encryption i Database Firewall.

Rozwiązania Oracle Database Security pozwalają przedsiębiorstwom osiągnąć pełną zgodność z wymaganiami rozporządzenia RODO. Jest to możliwe bez wprowadzania utrudnień dla jednostek utrzymania czy komplikowania procesu wytwarzania aplikacji. Co równie ważne, nie odbywa się to kosztem wydajności przetwarzania danych czy dostępności systemów.

Najważniejsze wymogi RODO można podzielić na trzy grupy:

- Analiza ryzyka

- Zapobieganie atakom

- Auditing

 

Analiza ryzyka

Współczesne systemy IT nie są już oddzielnymi silosami. Są zwykle skomplikowanym wzajemnie połączonych zbiorem systemów, baz danych i aplikacji z niezliczoną liczbą interfejsów do świata zewnętrznego. Dlatego też identyfikacja, które systemy przechowują i przetwarzają dane osobowe, nie jest trywialnym zadaniem. Skrupulatna Analiza Ryzyka stanowi fundament dla implementacji wymagań rozporządzenia RODO.

Oracle oferuje wiele produktów i rozwiązań pozwalających organizacjom szybko i skutecznie przeprowadzić projekt analizy:

  • Oracle Database Lifecycle Management Pack

  • Oracle Application Data Modeling

  • Oracle Database Security Assessment Tool

  • Oracle Database Vault Privilege Analysis

 

Zapobieganie atakom

Optymalna implementacja środków prewencji znacznie zwiększa odporność organizacji na ataki jednocześnie nie komplikując procesów codziennego zarządzania. Paleta rozwiązań Oracle Database Security jest bardzo bogata. Poczynając od szyfrowania danych, poprzez kontrolę dostępu aż po anonimizację danych. Najbardziej znane techniki i produkty to:

  • Oracle Database Vault

  • Transparent Data Encryption

  • Oracle Kay Vault

  • Oracle Data Redaction

 

Auditing

Od zarania informatyki toczy się nieustanny wyścig pomiędzy twórcami zabezpieczeń i osobami, które starają się te zabezpieczenia obejść lub złamać. Nowoczesne metody zabezpieczania danych dają bardzo wysoki poziom bezpieczeństwa jednakże ataki stają się coraz bardziej wyrafinowane, wykorzystując nawet najmniejsze niedoskonałości zabezpieczeń.

Niezbędny jest ciągły monitoring i auditing wszystkich operacji na danych poufnych. Natychmiastowe powiadamianie o wszelkich incydentach naruszenia polityk bezpieczeństwa pozwala organizacjom na szybką reakcję i zminimalizowanie strat.

Wymagania RODO w zakresie monitorowania, audytowania i raportowania incydentów mogą zostać spełnione przy użyciu rozwiązania Oracle Audit Vault and Database Firewall. Ten bardzo nowoczesny produkt jest kompletną i łatwą w użyciu platformą konsolidująca monitoring zarówno infrastruktury Oracle i jak i innych dostawców. Rozwiązanie to przechowuje swoje dane w odseparowanym repozytorium zabezpieczonym technologią Oracle Database Vault, gwaratującym pełną ochronę danych przed niepowołanym dostępem czy modyfikacją.

 

Oracle zabezpieczone przez Oracle

Wybór adekwatnego sposobu zabezpieczenia systemów IT dla całej organizacji jest bardzo skomplikowany. Na rynku dostępna jest szeroka gama rozwiązań o zbliżonym zakresie funkcjonalności do Oracle Database Security. Departamenty IT powinny skrupulatnie przeanalizować potrzeby i wybrać narzędzia, które optymalnie je zaspokoją.

Rozwiązania Oracle Database Security powinny byś zawsze pierwszą rozważaną przy wdrażaniu zabezpieczeń dla   systemów opartych o bazy danych Oracle. Produkty te oferują najlepszą integrację z bazami danych Oracle, gdyż są wytwarzane wewnątrz tej samej organizacji. Ponadto zastosowanie rozwiązań od jednego dostawcy znacznie upraszcza uzyskanie wsparcia producenta, w przypadku problemów. Zastosowanie produktów od wielu dostawców przenosi ciężar integracji na organizację realizującą projekt wdrożenia zabezpieczeń.

 

 

 

 

Cztery aspekty prawidłowej polityki bezpieczeństwa

W ujęciu historycznym odpowiedzialność za bezpieczeństwo spoczywała na dziale IT. Teraz jednak, z uwagi na nowe propozycje legislacyjne, odpowiedzialność przeniosła się na kierownictwo firmy. Tym samym bezpieczeństwo stało się nie tylko kwestią techniczną, lecz wiąże się z konsekwencjami dla całej organizacji.

Kontakt

Administratorem danych osobowych jest COMPAREX Poland Sp. z o. o. ul. Równoległa 2, 02-235 Warszawa. Dane będą przetwarzane w celu i zakresie określonym w klauzuli zgody. Podanie danych jest dobrowolne. Podającemu dane przystępuje prawo dostępu i poprawienia ich treści.

* pola wymagane

Bądź na bieżąco

  Aby regularnie otrzymywać aktualne informacje i artykuły od firmy COMPAREX, kliknij poniżej:
  Bądź z nami w LinkedIn

Więcej informacji

 link

Share this Article


Contact Us

Jacek Sapiński

Technical Account Manager PreSales