Προστασία Προσωπικών Δεδομένων: Η Υδρόγειος αναπτύσσει μια ολοκληρωμένη στρατηγική για την ασφάλεια των ευαίσθητων πληροφοριών

του Κώστα Αργυρόπουλου, Υπεύθυνου Ασφάλειας Πληροφοριών και Συντονιστή Επιχειρησιακής Συνέχειας (περιοδικό VOICE, έκδοση Απρίλιος 2017)

Ένας νέος κόσμος δυνατοτήτων ανοίγεται μπροστά μας σήμερα μέσα από το διαδίκτυο. Ηλεκτρονικές αγορές, πληρωμές και άλλες οικονομικές συναλλαγές, ηλεκτρονική τραπεζική, on-line εκπαίδευση, διαδικτυακές συναλλαγές με δημόσιους φορείς -π.χ. υποβολή φορολογικών δηλώσεων-, αλλάζουν τον τρόπο με τον οποίο διεξάγονται πολλές από τις καθημερινές μας δραστηριότητες. Όλες αυτές οι νέες υπηρεσίες συνεπάγονται την ευρεία χρήση του διαδικτύου από όλες σχεδόν τις πληθυσμιακές ομάδες, την ίδια στιγμή, ωστόσο, επιτείνουν την ανάγκη προστασίας των προσωπικών μας δεδομένων.

Τα δεδομένα προσωπικού χαρακτήρα συνίστανται σε οποιαδήποτε πληροφορία σχετίζεται με ένα άτομο και μπορούν άμεσα ή έμμεσα να οδηγήσουν στην αναγνώρισή του.

Η επεξεργασία των προσωπικών δεδομένων στα πληροφορικά συστήματα είναι πλέον συνεχής και ουσιαστικά αναπόφευκτη. Όλες οι επιχειρήσεις και άλλοι φορείς χρησιμοποιούν δεδομένα, από ασφαλιστικές εταιρείες και τράπεζες έως ιστότοπους κοινωνικής δικτύωσης, τις μηχανές αναζήτησης και φυσικά το δημόσιο τομέα. Το μεγάλο πρόβλημα που προκύπτει είναι ότι πολλές φορές δε γνωρίζουμε ποιος μπορεί να κατέχει και με ποιο τρόπο επεξεργάζεται τα προσωπικά μας δεδομένα.

Πρέπει να γνωρίζουμε ότι η διαφύλαξη των προσωπικών μας δεδομένων και η προστασία της ιδιωτικότητάς μας αποτελεί θεμελιώδες δικαίωμά μας. Υπάρχουν πληροφορίες που δεν θα θέλαμε να μοιραστούμε με άλλους ανθρώπους όχι απαραίτητα επειδή πρέπει να τις κρατήσουμε κρυφές αλλά επειδή, με απλά λόγια, αποτελούν αποκλειστικά προσωπική μας υπόθεση.

Ο Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, στο άρθρο 8, ορίζει ότι κάθε άνθρωπος έχει δικαίωμα στην προστασία των προσωπικών του δεδομένων σε όλες τις πτυχές της ζωής του, στο σπίτι, στην εργασία, στις αγορές του, ως ασθενής, στο διαδίκτυο, κτλ. Τα δικαιώματα αυτά κατοχυρώνονται επίσης στη Συνθήκη της Λισαβόνας, η οποία προβλέπει τη νομική βάση για θέσπιση κανόνων σχετικά με την προστασία των δεδομένων σε όλες τις δραστηριότητες που εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ευρωπαϊκής Ένωσης.

Στην Ελλάδα, όπως και στις υπόλοιπες χώρες της Ευρωπαϊκής Ένωσης, υπάρχει ειδική νομοθεσία που προστατεύει τα άτομα από την ανεξέλεγκτη χρήση των προσωπικών τους δεδομένων. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είναι ο αρμόδιος φορέας για την εφαρμογή αυτής της νομοθεσίας στη χώρα μας (νόμοι 2472/1997 και 3471/2006).

Υδρόγειος και προστασία προσωπικών δεδομένων

Η Υδρόγειος έχει τα τελευταία χρόνια επενδύσει ιδιαίτερα στον τομέα της προστασίας δεδομένων και ασφάλειας πληροφοριών, αναπτύσσοντας μία σειρά από σχετικές πολιτικές, διαδικασίες, εργασιακούς ρόλους καθώς και προγράμματα εκπαίδευσης και ευαισθητοποίησης του προσωπικού.

Έχει επίσης εγκαταστήσει συστήματα και εργαλεία για την αποτροπή, τον εντοπισμό και την αποκατάσταση τεχνολογικών προβλημάτων. Τα παραπάνω, καλύπτουν απόλυτα τα απαιτούμενα της νομοθεσίας και των σχετικών κανονισμών και βελτιώνουν τις υπάρχουσες διεργασίες, προς όφελος των πελατών, συνεργατών, εργαζομένων και άλλων σημαντικών κοινών της εταιρείας.

ΙΔΙΑΙΤΕΡΗ ΕΜΦΑΣΗ ΕΧΟΥΜΕ ΔΩΣΕΙ ΣΤΟΥΣ ΕΞΗΣ ΤΟΜΕΙΣ:

- Αποδεκτή Χρήση συστημάτων και δεδομένων που αφορά τις υποχρεώσεις του προσωπικού για τη χρήση του ηλεκτρονικού ταχυδρομείου (email) και διαδικτύου (internet) σχετικά με τα ευαίσθητα και προσωπικά δεδομένα που αποστέλλονται και κοινοποιούνται καθώς επίσης και τη διαδικασία διαβάθμισης των δεδομένων σε εμπιστευτικά και δημόσιας χρήσης για την προστασία τους από κατάχρηση ή απώλεια.

- Διαχείριση Κινδύνου Πληροφοριών που περιλαμβάνει:
Α) τη δημιουργία ρόλου «Ιδιοκτήτη Συστημάτων & Εφαρμογών» για την προστασία και ορθή διαχείριση των δεδομένων καθώς και την απογραφή των ψηφιακών περιουσιακών στοιχείων για να γνωρίζουμε πού βρίσκονται και ποιοι τα διαχειρίζονται.
Β) Τη διαχείριση και αντιμετώπιση περιστατικών ασφάλειας δεδομένων και τη δημιουργία ομάδων για την επίλυσή τους και,
Γ) Διαδικασίες ασφαλούς διαγραφής και απόρριψης πληροφοριών.

- Διαδικασίες πρόσβασης σε συστήματα και βάσεις δεδομένων, επιθεώρηση δικαιωμάτων πρόσβασης χρηστών για διαχωρισμό καθηκόντων, διαδικασίες ασφαλούς απομακρυσμένης πρόσβασης χρηστών και συνεργατών.

- Ασφάλεια, αξιολόγηση και επιλογή προμηθευτών, συμβάσεις εμπιστευτικότητας και παροχής υπηρεσιών.

- Ασφάλεια Κύκλου Ανάπτυξης Συστημάτων, απαιτήσεις ασφάλειας για το σχεδιασμό, ανάπτυξη, δοκιμή, συντήρηση συστημάτων.

- Ασφάλεια Εφαρμογών, απαιτήσεις ασφάλειας για το σχεδιασμό, ανάπτυξη, δοκιμή, συντήρηση εφαρμογών (WEB, e-commerce, mobile phone applications).

- Ασφάλεια Υποδομών Πληροφορικής, κρυπτογραφία, εικονική διαμόρφωση (virtualization).

- Ασφάλεια Δικτύου, συνδέσεις εξωτερικού δικτύου, ασύρματη σύνδεση, παρακολούθηση (monitoring).

- Επιχειρησιακή Ασφάλεια, προστασία από κυβερνοεπίθεση, διαχείριση ευπαθειών, αντίγραφα ασφαλείας.