Proteggi i nostri dati sui salari da un obbligo legale e morale

Naviga le tue risposte
4

Abbiamo installato il nostro software di gestione stipendi sul nostro file server. Questo contiene tutti i dettagli dei dipendenti attuali e passati. I dati contenuti nel software del libro paga comprendono tasse, banca, numero di assicurazione nazionale, indirizzo, data di inizio e fine, ecc.

Siamo nel Regno Unito e vogliamo proteggerci legalmente e moralmente. Vogliamo proteggere contro l'elaborazione non autorizzata o illecita di dati personali e contro la perdita accidentale o la distruzione o il danneggiamento di dati personali.

Dettagli tecnici del software:

  • I database si trovano su un server SBS Windows 2008 e l'applicazione client è installata su una workstation Windows a 64 bit.
  • I database non sono crittografati e sono di un vecchio sistema su misura. Per leggere il database avrai bisogno della suite di sviluppo.
  • L'applicazione richiede una password per accedere al sistema.

Quali sono i passaggi necessari per proteggere questo sistema? Come possiamo stabilire un elenco di requisiti precisi (controlli di accesso, autorizzazioni, auditing, ...)? Quali leggi, norme e migliori pratiche si applicano?

Ulteriori informazioni dalle tue domande

Un'analisi della sicurezza:

  • Il server è bloccato nella stanza del server sicuro per impedire l'accesso non autorizzato.
  • I file di database non sono crittografati ma saranno protetti dalla lista di controllo di accesso.
  • I campi nel database non sono crittografati
  • La trasmissione attraverso la rete non è crittografata
  • Nessun Vlan privato sulla rete e nessun hardware che lo supporta al momento. A breve aggiorneremo
  • App sviluppata negli anni '90, quindi non indovina la crittografia sulla trasmissione e probabilmente non è sviluppata in modo sicuro secondo gli standard di oggi.

Voglio sapere se ACL è accettabile tenendo conto che il server è fisicamente bloccato, i database / file non sono crittografati e tutte le macchine si trovano sulla stessa LAN?

Ecco alcune informazioni in più raccolte dal Regno Unito:

Azione intrapresa contro la protezione dei dati e la privacy e le comunicazioni elettroniche: link Un sacco di procedimenti giudiziari contro aziende e dipartimenti governativi

Principi di protezione dei dati:      ico.gov.uk/for_organisations/data_protection/the_guide/the_principles.aspx Un sacco di campi Citazione dalla pagina web "Si adottano misure tecniche e organizzative adeguate contro l'elaborazione non autorizzata o illecita di dati personali e contro la perdita accidentale o la distruzione o il danneggiamento di dati personali."

Quali misure di sicurezza dovrei adottare per proteggere i dati personali che tengo ?:    ico.gov.uk/for_organisations/data_protection/security_measures.aspx Quotazioni "Consenti al tuo personale di accedere alle informazioni di cui hanno bisogno per svolgere il proprio lavoro e non lasciare che condividano le password. Cripta tutte le informazioni personali conservate elettronicamente che potrebbero causare danni o sofferenza in caso di smarrimento o furto. "

    
posta resolver101 12.07.2012 - 16:02
fonte

3 risposte

4

Dovresti prendere le consuete precauzioni per proteggere qualsiasi server importante.

1) Configurare correttamente un firewall per negare per impostazione predefinita e solo il traffico autorizzato alla lista bianca.

2) ACL corretto tenendo presente il principio dei meno privilegiati.

3) Autenticazione corretta dell'applicazione che accede al server: potrebbe significare una buona password altamente casuale con sufficiente entropia, autenticazione con un server AAA o persino certificati in base alla scala della configurazione.

3) Cifra il database - non contare su un vecchio sistema legacy che rende difficile per un utente malintenzionato leggere il tuo database.

4) Registra tutte le attività - una corretta contabilità rende molto più facile tenere traccia delle modifiche indesiderate al sistema.

A seconda del tipo di informazioni in tuo possesso, potresti dover soddisfare determinati schemi di conformità. Non ho molta idea di questo punto però, potresti voler controllare con una società di revisione locale per ulteriori informazioni.

    
risposta data 12.07.2012 - 17:56
fonte
2

Hai un problema molto interessante.

Devi risolvere questi problemi, poiché probabilmente hai una bomba a tempo.

(supponendo che tu non abbia già risolto i problemi)

Non suoni come se sapessi abbastanza per supportare l'applicazione in futuro, non dicendo che questo sia insensibile, ma la combinazione di vecchio software non sicuro, pochi utenti, dbms personalizzati non sembra promettente.

Raccomandazione principale:

Guarda alla tua carriera, proteggi il tuo sedere, getta il problema sulla catena di comando.

I problemi sono tali che è necessario indicare chiaramente che i problemi NON sono risolvibili da te senza sostituire il sistema. I dati sono a rischio, l'applicazione non viene aggiornata per problemi di sicurezza, i controlli in atto potrebbero non essere adatti allo scopo nel giorno e nell'età attuali. Le attenuazioni consigliate potrebbero non essere sufficienti per proteggere il sistema / i dati.

Possibili azioni per risolvere i problemi:

  1. Separa il client e il server da tutto il resto del traffico e dalle fonti di compromesso. Potrebbe essere possibile caricare client e server su una singola immagine della macchina virtuale senza accesso alla rete. Questo può fermare la maggior parte dei compromessi della rete, ma l'host deve essere sicuro, isolato il più possibile, se possibile singolo scopo e fisicamente protetto.
  2. Porta il sistema delle risorse umane in un altro pacchetto software (il cloud based potrebbe essere il migliore, ma supportato moderno, sicuro è obbligatorio)

Ovviamente il costo di queste correzioni non è banale, ma sarà giuridicamente e moralmente importante per te fare la cosa giusta.

La soluzione 1 (se la soluzione è possibile) tenta di isolare l'applicazione senza incorrere in costi elevati.

    
risposta data 14.01.2014 - 08:55
fonte
0

Un sacco di buoni consigli offerti qui, in particolare il modo di occuparsi della tua carriera in quanto probabilmente è una bomba a tempo. Vorrei anche suggerire: assumere qualcuno che sa quello che stanno facendo. Potresti essere molto bravo in quello che fai ma la sicurezza e la conformità non sono la tua partita. Assumi un esperto in quest'area per preoccuparti di queste cose. Quella persona dovrebbe essere in grado di dirti quali sono i controlli di sicurezza necessari in questa situazione e di essere responsabile della sicurezza dei dati.

    
risposta data 14.01.2014 - 20:03
fonte

Leggi altre domande sui tag

Le autorizzazioni visualizzabili sono un problema? Quali caratteristiche e qualifiche di sicurezza dovremmo cercare in un provider di backup online?