Securitatea datelor online

de Sever Calit

Asa cum am promis aici voi scrie despre riscurile pe care le aduce lucrul in online. De departe cel mai sensibil subiect atunci cand vine vorba de utilizarea unei aplicatii online este cel legat de securitatea datelor.

Riscuri reale exista, bineinteles, dar pentru a avea o imagine corecta, cred ca discutia pe acest subiect trebuie sa fie comparativa cu alternativa de a avea datele on-premise. O evaluarea corecta este data de punerea in balanta atat a plusurilor cat si a  minusurilor caracteristice fiecarei variante.

Eu ma declar subiectiv si sunt de partea aplicatiilor online, mai ales in ceea ce priveste securitatea datelor tale asa ca voi prezenta riscurile majore legate de date si cum pot fi ele diminuate. Sa le luam pe rand.

 

1. Se pierd date accidental. Furnizorul aplicatiei iti pierde datele in mod accidental. Fie din cauza unor erori de aplicatie, fie din cauza unei erori in baza de date, fie din cauza unor erori sau accidente hardware. Ce poti face?

Alege bine Furnizorul! Accidente se intampla, sunt lucruri ce nu le poti exclude din viata, dar nu deveni obsedat de ele. Cauta furnizori care iti explica care este solutia lor de stocare si protectie a datelor. Cauta furnizori care sunt prezenti pe piata de ceva timp si au o reputatie buna in acest domeniu. Pune raul in fata si arhiveaza-ti periodic cel putin datele sensibile. Eu asta as face. Cauta si alege o solutie de arhivare a datelor din online. Solutii de arhivare pentru GoogleApps. Pentru Apptivo, exporta periodic prin rapoarte datele importante pentru tine. Datele cu un caracter mai static: Clienti, furnizori, produse, le poti exporta mai rar. Datele cu un caracter dinamic: activitati, comenzi, facturi, exporta-le mai des.

Situatia on-premise:

Fix aceleasi riscuri se pot produce si in cazul in care aplicatia si datele stau pe serverele tale. Doar ca in cazul on-premise probabilitatea ca aceste riscuri sa se produca este mai mare. Furnizorii de aplicatii online stocheaza datele tale pe arhitecturi scalabile si redundante pentru siguranta. Administrarea hardware-ului se face de personal specializat. Investesc mult mai mult ca tine in hardware pentru ca asta este esential pentru ei. Daca afacerea ta nu furnizeaza astfel de servicii, atunci nu ai de ce sa investesti masiv in hardware. Nu asta este business-ul tau. Investeste mai bine in dezvoltarea de idei, in clienti, in pregatirea si motivarea oamenilor tai, lucrurile care aduc valoare business-ului tau.

In on-premise ai insa avantajul ca poti arhiva datele mai rapid si mai usor. 

 

2.  Date utilizate neautorizat de Furnizor. Angajati ai furnizorului, la ordinul acestuia sau actionand pe cont propriu, iti utilizeaza datele in scopuri pentru care nu au acceptul tau. Ce poti face?

Alege bine Furnizorul!  Trebuie sa stii ca majoritatea Furnizorilor de aplicatii online iti folosesc datele in scopuri de Marketing. Ma refer in primul rand la datele de contact si cele demografice, NU datele de business. Noi de exemplu lucram cu Google si Apptivo si ambele au o abordare deschisa pe acest subiect in care iti prezinta exact care din datele tale sunt folosite de ei si in ce scop.

Daca ai suspiciuni ca datele tale sunt folosite intr-un scop pentru care tu nu ti-ai dat acceptul, initiaza o discutie deschisa cu Furnizorul. In Internet ai putere de negociere pentru ca de problemele tale pot afla multi altii! Orice Furnizor este constient ca o campanie negativa pe acest subiect ii poate ruina afacerea. Daca ai deja dovezi, poti actiona pe cai legale. Orice Furnizor de solutii online care doreste sa faca business pe termen lung va face tot ce tine de el pentru a-ti asigura securitatea datelor. Este cel mai sensibil subiect si orice controversa pe aceasta tema il scoate din piata direct! Te rog sa-mi scrii daca ai exemple de furt al datelor provocat de furnizor de aplicatii online. Sunt sincer interesat.

 

3. Date furate de hackeri. In online, datele tale pot fi furate de hackeri din 3 locuri: de la Furnizor, de pe canalul de comunicatie sau de la tine de pe calculator. Ce poti face?

Alege bine Furnizorul! La fel ca in cazul pierderilor accidentale de date nici acest risc nu poate fi eliminat ci doar diminuat. Nu s-a inventat inca o aplicatie fara bug-uri! Un Furnizor serios de aplicatii online investeste serios in securizarea aplicatiei sale. Acesta va implementa solutii super profesioniste in a contra atacurile in aplicatie sau direct in reteaua proprie. La nivel de aplicatie, un furnizor serios te va obliga sa-ti introduci o parola complexa. Am aratat mai sus ca subiectul securitatii datelor este important atat pentru tine cel putin la fel de important este si pentru Furnizor. Acesta va cauta sa-si prezerve si sa-si creasca afacerea iar asigurarea securitatii este critica pentru el chiar de la inceput. Vulnerabilitatile de aplicatie sunt scanate si exploatate de hackeri chiar de la inceput. Furnizorul serios se va garda inca de la inceput in fata acestor amenintari!

Nu pune parole foarte simple! Nu pune aceeasi parola in aplicatii in care nu ai incredere!

Fii atent atunci cand accesezi aplicatia! Exista pe Internet asa numitul atac de tip "phishing" in care un site care doar arata identic cu cel al Furnizorului iti cere informatiile de conectare. Uita-te atent la adresa care este scrisa in browser!

Situatia on-premise:

Atunci cand iti tii datele pe serverele tale esti expus la furtul datelor de catre hackeri prin virusarea serverului si/sau a statiilor de lucru, prin atac asupra retelei tale daca oferi acces VPN sau prin atac asupra aplicatiei daca aceasta expune in Internet chiar si doar o sectiune a acesteia. Ai o aplicatie anti-virus serioasa? Ai instalat ultimele update-uri la aplicatia anti-virus atat pe server cat si pe calculatoarele angajatilor tai? Stii care sunt vulnerabilitatile cunoscute ale aplicatiei expuse in Internet? Ai o arhitectura de protectie a retelei la atacuri din exterior?

 

4. Date furate de angajatii tai. Unul sau mai multi din angajatii tai acceseaza si utilizeaza datele tale in mod neautorizat. Ce poti face?

Alege o aplicatie care iti permite sa specifici drepturi de securitate diferite pentru angajatii tai, in functie de rolul acestora in firma. Chiar daca ai incredere mare intr-un angajat nu ii acorda accesul la date pe care nu le foloseste in activitatea lui. De ce sa stie ceea ce nu are nevoie sa stie? 

Daca datele tale sunt foarte sensibile alege aplicatii care inregistreaza orice acces la datele tale. Nu acorda acces din afara retelei interne la datele tale.  Stabileste proceduri interne pentru politici de parole de acces, eventual implementeaza un sistem de autentificare 2-factor. Daca aplicatia permite, nu acorda accesul la exportul datelor! Atunci cand este nevoie de acest lucru, da acces punctual pentru export si apoi restrictioneaza din nou accesul.

Situatia on-premise:

In aceasta situatie, esti expus cam la acelasi nivel de risc in ce priveste furtul datelor de catre persoane care au acces la ele. Singura diferenta ar fi in cazul in care nu ai acces VPN la reteaua ta. Faptul ca aplicatia poate fi accesata doar de la birou, este intr-adevar o masura de securitate in plus. Poti implementa acest nivel de securitate si pentru aplicatiile online dar atunci acestea si-ar pierde mare parte din avantaje, n-ar mai fi in firea lucrurilor ca o aplicatie online sa nu poate fi accesata de oriunde.

 

CONTACT

Ne poti suna pentru detalii sau pentru o intalnire:

+40 723 336 146

 Ne poti scrie si iti vom raspunde cat de repede: