Takie podejście ustawodawcy ma spowodować, że zapisy dokumentu nie zdezaktualizują się w środowisku, w którym spektrum zagrożeń, a co za tym idzie środków do ochrony, ciągle się zmienia. Dlatego z punktu widzenia integratora i klienta ważny jest efekt końcowy, o którym ustawodawca wyraża się następująco: „(…) dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu”(motyw 39 w Preambule rozporządzenia).

Warto zastanowić się, co w tym kontekście dla konkretnej firmy oznacza sformułowanie „odpowiednie bezpieczeństwo”? Przede wszystkim trzeba założyć, że kluczowym wyzwaniem dla przedsiębiorstw jest bezpieczne przechowywanie danych osobowych. Do tego niezbędne są stabilne i wydajne serwery połączone z systemami gromadzenia, przesyłania i udostępniania danych, a także ich odtworzenia w przypadku awarii. Konieczna staje się wiedza o tym, jakie dane osobowe są wytwarzane oraz gdzie są one przechowywane. Z pomocą przychodzą nowoczesne rozwiązania zapewniające lokalizowanie, przeszukiwanie i monitorowanie danych osobowych znajdujących się w zasobach serwerowych oraz pamięci masowej. Zaawansowane raportowanie i wizualizacja umożliwiają zaś przedsiębiorcom zrozumienie tego, jakie dane przechowują i w jaki sposób są one wykorzystywane.

Z kolei podstawą bezpieczeństwa sieciowego są rozwiązania klasy NGFW/UTM. W tym przypadku wiele firm korzysta ze starych urządzeń, niemających aktualnych subskrypcji i zmuszających administratorów do stosowania ograniczonych polityk bezpieczeństwa. Trudno byłoby udowodnić, że taka infrastruktura zapewnia zgodność z nowymi przepisami. Warto szczególnie zwrócić uwagę na problem deszyfracji SSL, a więc element, bez którego ogromna część komunikacji pozostaje praktycznie bez kontroli. W zależności od szacowanego poziomu ryzyka rozwiązania NGFW/UTM warto uzupełnić o specjalistyczne systemy proxy dla ruchu http i https.

Ochronę przed nieznanymi zagrożeniami może znacząco podnieść zastosowanie systemów typu sandbox/ATP (razem z deszyfracją ruchu SSL). O kontrolę dostępu do sieci w warstwie fizycznej można zaś zadbać dzięki produktom typu Network Access Control (NAC). Przy czym skuteczna ochrona powinna być uzupełniona o cykliczny audyt polityk bezpieczeństwa oraz o analizę logów.

Kolejnym ważnym elementem jest ochrona stacji końcowych, szczególnie tych, które mają dostęp do danych poufnych. Współczesne rozwiązania łączą w sobie moduły, które nie tylko chronią przed znanymi i nieznanymi atakami, ale także zapewniają zgodność z regulacjami, wykrywają potencjalne anomalie i wycieki danych. Warto pamiętać, że podobne środki ochrony można zastosować w przypadku serwerów, również w środowiskach wirtualnych.

 

Przetwarzanie danych osobowych jest nieodłącznie związane z aplikacjami, gdzie interfejsem użytkownika jest zwykle przeglądarka internetowa. Niezależnie od tego, czy są one dostępne tylko wewnętrznie, czy również dla klientów – wymagają szczególnej ochrony. Zastosowanie rozwiązań Web Application Firewall (WAF) w znaczący sposób podnosi bezpieczeństwo aplikacji, równocześnie zapewniając ochronę przed atakami typu DDoS.

Istotnym obszarem bezpieczeństwa jest także zapewnienie odpowiedniego poziomu uwierzytelniania. Statyczne hasło nie jest już skutecznym zabezpieczeniem, szczególnie w przypadku celów administracyjnych oraz zdalnego dostępu. Odpowiednie w tej sytuacji są produkty zapewniające uwierzytelnianie i autoryzację w oparciu o hasła dynamiczne (tokeny) lub certyfikaty.

Niezależnie od tego, czy chodzi o stacje końcowe czy serwery, warto rozważyć szyfrowanie dysków i przenośnych mediów. Może to uchronić przed wyciekiem danych w przypadku fizycznej kradzieży sprzętu. Osobnym tematem jest też szyfrowanie i pseudonimizacja danych realizowana już na poziomie aplikacji. Z drugiej strony systemy typu Data Loss Prevention (DLP) mogą kontrolować różne kanały komunikacyjne i przeciwdziałać wyciekom poufnych informacji, zarówno na poziomie sieciowym, jak i urządzeń końcowych.

W większości przedsiębiorstw można znaleźć obszary, które wymagają poprawy, ale żaden pojedynczy produkt nie zapewni pełnej zgodności z rozporządzeniem. Dlatego, traktując RODO jako możliwość zwrócenia uwagi na problem zarządzania, audytowania i monitorowania infrastruktury IT, warto zaprezentować klientowi niezbędne rozwiązania z szerokiej gamy urządzeń dostępnych na rynku.