Μπορεί να μην υπάρχει ακόμα κάποια αρχή πιστοποίησης για το GDPR, όμως το ISO 27001:2013 έρχεται πολύ κοντά σε αυτό, αφού διερευνά ενδελεχώς τα συστήματα και τις διαδικασίες που ακολουθούνται σε μια εταιρία και την πιστοποιεί σε επίπεδο ασφάλειας. Στο πλαίσιο της προετοιμασίας της εταιρείας μας για το GDPR, είδαμε σαν ευκαιρία να προχωρήσουμε με την πιστοποίηση.
Πριν από μερικές εβδομάδες υποδεχτήκαμε στα γραφεία μας τους ελεγκτές του φορέα και πριν από μερικές ημέρες μας ανακοινώθηκε ότι περάσαμε με επιτυχία τον έλεγχο και πλέον κατέχουμε την πιστοποίηση!
Οι διαδικασίες που μεταβάλαμε ήταν πολλές και είχαν όλες ως αποτέλεσμα την ενδυνάμωση των συστημάτων μας και την παροχή ακόμη μεγαλύτερης ασφάλειας. Παρακάτω, μπορείς να δεις τις σημαντικότερες ενέργειές μας προς την μέγιστη ασφάλεια των συστημάτων και των πελατών μας.
1. Κατάρτιση του προσωπικού σχετικά με την ασφάλεια της πληροφορίας
Μέσα από τα σεμινάρια για την ασφάλεια των πληροφοριών και το GDPR, ξεκινήσαμε να αποκτούμε μια αυτόνομη αντίληψη για τα θέματα αυτά και να εντάσσουμε τις νέες διαδικασίες στις καθημερινές μας ενέργειες. Θέσαμε τις βάσεις για να διαχειριζόμαστε τα θέματα ασφάλειας με πιο δομημένες ενέργειες, υπευθυνότητα, και τρόπο που μπορεί να αναπαραχθεί και σε μελλοντικά projects, χωρίς να χρειάζεται να χρονοτριβούμε στη θέσπιση νέων διαδικασιών για ό,τι νέο εμφανίζεται.
2. Ανανέωση Όρων Χρήσης και Πολιτική Απορρήτου
Για την καλύτερη κατανόηση των όρων χρήσης και της πολιτικής απορρήτου του site από τους πελάτες και τους επισκέπτες μας, η Μαρία, η νομική σύμβουλος της Top.Host συνεργάστηκε με όλα τα τμήματα της εταιρίας και προέβη σε μια ολιστική αναθεώρησή τους, για να χρησιμοποιήσει μια γλώσσα περισσότερο προσφιλή στο ευρύ κοινό, με στόχο οι όροι να είναι κατανοητοί από όλους όσοι τους διαβάζουν.
Παράλληλα, έγινε ένας επιμέρους διαχωρισμός των όρων με βάση τις υπηρεσίες μας, έτσι ώστε ο κάθε πελάτης να έχει τη δυνατότητα να ανατρέχει στους όρους που αφορούν αποκλειστικά την υπηρεσία που χρησιμοποιεί, χωρίς να χρειάζεται να αφιερώνει χρόνο διαβάζοντας περιττά κείμενα που δεν σχετίζονται με αυτήν.
3. Καταγραφή συστημάτων & risk assessment
Καταγράψαμε πλήρως όλα τα προγράμματα, τις εφαρμογές, τις υπηρεσίες και τον εξοπλισμό που χρησιμοποιούμε και κάναμε ένα πρώτο risk assessment, χρησιμοποιώντας τη μέθοδο Binary Risk Assessment.
4. Εσωτερικός έλεγχος με βάση το ISO 27001:2013
Τα ευρήματα του εσωτερικού ελέγχου έδειξαν διαφορετικές ανάγκες τις οποίες και καλύψαμε. Οι σημαντικότερες είναι οι παρακάτω:
- Ο CTO μας, ο Παναγιώτης, σχεδίασε ένα νέο σύστημα υποστήριξης της υποδομής μας, με καινούριους ρόλους και αρμοδιότητες, ώστε να ελεγχεται αποτελεσματικότερα η πρόσβαση σε κρίσιμα συστήματα.
- Ανανεώθηκε το σχέδιο ανάκαμψης από σοβαρές βλάβες που έχει δημιουργήσει η εταιρία.
- Καταγράφηκαν λεπτομερώς οι ρόλοι και οι αρμοδιότητες όλου του προσωπικού και θεσπίστηκαν νέες διαδικασίες στη διαχείριση του ανθρώπινου δυναμικού.
- Βελτιώθηκαν σε επίπεδο ασφάλειας διαδικασίες backup, τόσο για την διατήρηση, όσο και την επαναφορά τους.
5. Συμβάσεις με τους προμηθευτές
Για την συμμόρφωσή μας με τον Κανονισμό δεν ήταν απαραίτητη μόνο η εξασφάλιση των δικών μας διαδικασιών. Ήταν επιτακτικό να επανεξετάσουμε τις ενέργειες των προμηθευτών μας και να μπορέσουμε να εγγυηθούμε στους πελάτες μας ότι τα δεδομένα τους είναι προστατευμένα και από αυτήν την πλευρά.
Εισάγαμε μια νέα διαδικασία διαχείρισης των σχέσεων και των συμβάσεων με βασικούς προμηθευτές, και εφαρμόσαμε το due diligence στην επιλογή τους: διερευνήσαμε, δηλαδή, από πριν ότι συμμορφώνονται με συγκεκριμένα standards που είχαμε θέσει. Η τιμή αγοράς μπορεί να είναι ένας σημαντικός παράγοντας σε μια τέτοια σχέση, δεν είναι, όμως, ο σημαντικότερος!
Οι διαδικασίες συνεχίζονται! Συντονίσου για το τρίτο μέρος των ενεργειών μας και γράψε μας στα σχόλια τις αλλαγές που έχεις κάνει για την δική σου επιχείρηση!
Μπες στη συζήτηση