GDPR ΣΕ IT ερωτήσεις για συμμόρφωση υπολογιστικών συστημάτων

[kostakis81]

Καλημέρα σας

Γνωρίζει κανένας τίποτα σχετικό με την συμμόρφωση στον κανονισμό gdpr για τα υπολογίστηκα συστήματα εταιριών?

Νομίζω υπάρχει κάποιο ερωτηματολόγιο ?

[ManFromEarth]

διαβασε τον κανονισμο και πες μας τις αποριες σου.

[kostakis81]

Φίλε τον διάβασα αλλά με αφορά το κομμάτι του it consultant μόνο και γιαυτο ρωτώ μήπως έχει κανένας μια ιδέα

[ManFromEarth]

Στις 1/10/2018 στις 1:02 ΜΜ, kostakis81 είπε

Με συγχωρείτε αλλά για κάτι τέτοιο σοβαρό θέμα θα πρέπει να απευθυνθείτε σε κάποιο δικηγόρο ώστε να πάρετε μια σοβαρή και τεκμηριωμένη απάντηση και να μην αρκεστείτε στις πληροφορίες που θα σας δώσουν κάποιοι σε ένα φόρουμ χωρίς εύθηνη για αυτές

καλύτερα να απευθυνθείτε στους ειδικούς

[kostakis81]

Απευθύνθηκα σε δικηγόρο και μου είπε μόνο τα διαδικαστικά

Στο δια ταύτα μου είπε ότι θα πρέπει να απευθυνθώ σε ΙΤ

 

Και στο κάτω κάτω αυτό το νόημα έχει μια ερώτηση σε forum (αν θα πρέπει να γίνω ειδικός ε ένα θέμα τότε δεν θα ρωταγα)

Κάποιος ειδικός να προσφέρει την γνώση του όπως και εγώ την δίνω όταν ξέρω  

Επεξ/σία 4 Οκτωβρίου 2018 από kostakis81

[kostakis81]

tipota akoma???

[YourTrueLegend]

Τιποτα φιλε, τιποτα.

[ΜΑΝΩΛΗΣ1]

Θα απαντήσω εγώ (αν και έχει περάσει καιρός) όπως μου τα είπε συνεργάτης της εταιρίας. Ήδη έχουμε ξεκινήσει εδώ και καιρό και προχωράμε. Μιλάμε τώρα για εταιρία η οποία έχει κεντρικό server και χρήστες.

1) Ξεχνάμε το workgroup. Μπορεί κάποιους να τους βολεύει αλλά αν θες όχι μόνο να συμμορφωθείς αλλά να έχεις και μια εσωτερική ασφάλεια στο δίκτυο σου πάμε κατευθείαν σε domain και active directory. Ένας κεντρικός administrator . Αποφεύγεις άσκοπες εγκαταστάσεις προγραμμάτων σε υπολογιστές από τους χρήστες, και όποιος θέλει κάτι να εγκαταστήσει ζητάει άδεια

2) Κεντρικό firewall . Κατά προτίμηση hardware. Εδώ και λίγο καιρό έχουμε εγκαταστήσει το meraki της cisco (ΜΧ64) στο οποίο προς το παρόν έχω βάλει αρκετά rules για ασφάλεια, κάποιες ανοιχτές πόρτες που μπαίνει μέσα μόνο μια συγκεκριμένη ip static και κάποια άλλα rules σχετικά με bandwidth στους clients και ποια απο τις 2 wan θα παίρνει ο κάθε υπολογιστής. Και ακόμα διαβάζω και προσθέτω διάφορα

3) Κεντρικό σύστημα antivirus. Μετά από συζητήσεις και ψάξιμο σκεφτόμαστε να πάμε στο seqrite το οποίο είναι ελαφρύ, προσφέρει data loss prevention και κρυπτογράφηση στα αρχεία για περιπτώσεις crypto lockers Κλπ κλπ

4) Ένα cloud για upload μια φορά την εβδομάδα την βάση sql της κάθε Παρασκευής , και των ευαίσθητων δεδομένων. Και backup σε εξωτερικό δίσκο ο οποίος θα είναι στο σπίτι του αφεντικού όταν δεν τον χρησιμοποιούμε

5) Συμμόρφωση των χρηστών γενικά με αρχεία και φακέλους. 

6) Κατάργηση φυσικά των μηχανημάτων τα οποία έχουν XP. Μηχανήματα με Windows 7 pro και με δυνατότητα αναβάθμισης σε 10 όταν σε ένα ενάμιση χρόνο καταργηθούν τα 7 και η υποστήριξη τους

7) Από την στιγμή που χρησιμοποιείς mail client στον υπολογιστή θα πρέπει να είναι συμμορφωμένος με SSL. 

Γενικά το GDPR είναι μια περίεργη περίπτωση. Οι εταιρίες ειδικά οι μικρότερες δεν γνωρίζουν τι ακριβώς έχει γίνει, οι δικηγόροι ακόμα ψάχνονται, και οι εταιρίες που προσφέρουν GDPR βγαίνουν σαν τα σαλιγκάρια μετά από βροχή..

Το θέμα είναι ότι αν τύχει μια στραβή και σε ελέγξουν , από την στιγμή που ο αντίδικος είναι γατόνι κινδυνεύεις με πολλά χιλιάρικα πρόστιμο.

 

 

[The_Judas]

Οπως τα γράφει ο ΜΑΝΩΛΗΣ είναι. 

Εξαρτάται βέβαια και από το πόσο μεγάλη επιχείρηση είναι. Αν τηρεί προσωπικά ή ευαίσθητα δεδομένα.

Μια μικρή επιχείρηση δεν μπορεί να επενδύσει χιλιάδες ευρώ στο θέμα του ΙΤ. Αναλογικά με την επιχείρηση και τους κινδύνους που μπορεί να εμφανιστούν λαμβάνεις αναλογικά τα αντίστοιχα μέτρα. Τα πρόστιμα επίσης είναι αναλογικά με τον τζίρο της επιχείρησης.  Πολλοί σύμβουλοι gdpr εκμεταλλεύονται τον πανικό του κόσμου και ζητάνε τρελά πράγματα.

Αν χρησιμοποιείτε κάποιο λογισμικό μιλάς και με την εταιρεία αν είναι gdpr compliant.

Επεξ/σία 2 Δεκεμβρίου 2018 από The_Judas

[ΜΑΝΩΛΗΣ1]

Και βέβαια είναι και πολλά ακόμα σε ότι έχει να κάνει με τα συστήματα. Θα πρέπει να συμπληρωθούν χαρτιά ότι πχ όλοι οι υπάλληλοι έχουν δικαίωμα να βλέπουν τους πελάτες, τις παραγγελίες, να ξέρουν αν τιμολογήθηκε καποιος πελάτης . Και φυσικά όλα αυτά μέσω δικηγόρου . Γενικά είναι λίγο επικίνδυνα τα πράγματα λόγω του ότι υπάρχουν αρκετοί καλοθελητές οι οποίοι μπορούν να πατήσουν πάνω στο οτιδήποτε και να σου κάνουν ζημιά.