SECURITY REPORT CYPRUS - T1

πληροφορικής που προσφέρετε, αυξάνετε τις πιθανότητες για νέες επιχειρηματικές ευκαιρίες. HIPAA: Οι πάροχοι υπηρεσιών υγείας στις ΗΠΑ χρειάστηκε να λά- βουν αυστηρά μέτρα για να προστατεύσουν τα ευαίσθητα προ- σωπικά δεδομένα που επεξεργάζονται με στόχο να ικανοποιήσουν τις απαιτήσεις συμμόρφωσης με τoν Health Insurance Portability and Accountability Act ή αλλιώς HIPAA. O HIPAA αποτελεί έναν αμερικανικό νόμο που αποσκοπεί στην διαμόρφωση προτύπων ιδιωτικότητας αναφορικά με την προστασία των ιατρικών αρχείων και άλλων πληροφοριών των ασθενών, τα οποία παρέχονται στους γιατρούς, τα νοσοκομεία και άλλους παρόχους υπηρεσιών υγείας. PCI DSS:  Το διεθνές πρότυπο ασφαλείας Payment Card Industry Data Security Standard (PCI DSS) έχει δημιουργηθεί από τους Διεθνείς Οργανισμούς Πληρωμών (Visa, MasterCard κ.ά.). Ορίζει συγκεκριμένες προδιαγραφές ασφαλείας με τις οποίες πρέπει να συμμορφώνονται οι εμπορικές επιχειρήσεις που δέχονται, επε- ξεργάζονται, αποθηκεύουν ή μεταδίδουν δεδομένα καρτών πλη- ρωμής. Οι προδιαγραφές του PCI DSS αφορούν: n Τις διαδικασίες πληρωμής. n Τα συστήματα πληροφορικής και λογισμικού. n Οτιδήποτε άλλο αξιοποιείται στην επεξεργασία, αποθήκευση ή μετάδοση δεδομένων. Επιχειρήσεις και φυσική ασφάλεια  Το Α και το Ω μίας επιχείρησης είναι η φυσική ασφάλεια στο χώρο που βρίσκονται οι server της εταιρίας. Για την ακρίβεια πριν ακόμα ενεργοποιήσουμε τον server, θα πρέπει να βεβαιωθούμε πως στον χώρο που είναι τοποθετημένος υπάρχουν καλές κλειδαριές. Ωστόσο ακόμα και η καλύτερη κλειδαριά στον κόσμο δεν είναι αρκετή, καθώς θα πρέπει να χρησιμοποιηθούν και «πολιτικές», οι οποίες θα καθορίζουν ποιος έχει το κλειδί-κωδικό πρόσβασης για να ει- σέλθει. Ένα server room είναι η καρδιά του δικτύου και κάποιος με φυσική πρόσβαση στο δωμάτιο του διακομιστή, μπορεί δια- χειριστεί τους διακόπτες, τους δρομολογητές, τα καλώδια και άλλες συσκευές, κάνοντας τεράστια ζημιά. Το κλείδωμα της πόρτας είναι ένα καλό πρώτο βήμα, ωστόσο κά- ποιος που έχει εξουσιοδοτημένη πρόσβαση μπορεί να δημιουργήσει προβλήματα. Επίσης, είναι επιτακτική ανάγκη να γνωρίζουμε ποιος εισέρχεται και ποιος εξέρχεται από τον προστατευόμενο χώρο και για να επιτευχθεί αυτό, δεν αρκεί απλά ένα ημερολόγιο, καθώς υπάρχουν πολλά μειονεκτήματα. Η καλύτερη λύση είναι ένα σύστημα ελέγχου πρόσβασης/ταυτότητας μέσω καρτών προσέγ- γισης ή βιομετρικών χαρακτηριστικών (δακτυλικό αποτύπωμα, σάρωση προσώπου, κ.ά.) το οποίο θα επιτρέπει την πρόσβαση μόνο σε εξουσιοδοτημένα άτομα και θα καταγράφει την ακριβή ώρα και ημερομηνία που έχουν εισέλθει στον προστατευόμενο χώρο. Επιπρόσθετα, η τοποθέτηση μίας κάμερας σε συνδυασμό με τα συστήματα ελέγχου πρόσβασης μόνο οφέλη μπορούν να δώσουν στους αρμόδιους ασφαλείας, καθώς οι νέες τεχνολογικές προσθήκες και καινοτομίες που φέρνουν, δυσχεραίνουν την πρό- σβαση σε ένα προστατευόμενο δωμάτιο, ακόμα και σε ένα ολόκληρο κτήριο. Ειδικότερα, μία κάμερα μπορεί να ξεκινήσει την εγγραφή όταν ανιχνεύσει ένα άτομο και να αποστείλει φωτο- γραφικό υλικό, βίντεο, ακόμα και ειδοποιήσεις στο smartphone ή μέσω ηλεκτρονικού ταχυδρομείου. Ακόμα η κάμερα μπορεί να πραγματοποιήσει και λειτουργία καταμέτρησης ατόμων, καθώς και αναγνώρισης προσώπου, για να ειδοποιηθούν οι αρμόδιοι ασφαλείας σε περίπτωση που ένα ανεπιθύμητο άτομο προσπαθήσει να παραβιάσει ένα χώρο/δωμάτιο. Ιδιαίτερη μνεία θα πρέπει να γίνει και στα συστήματα συναγερμού και πυρασφάλειας. Τα εν λόγω συστήματα είναι υπεύθυνα για την προστασία κατά της πυρκαγιάς και της εισβολής και μπορούν επίσης να συνδυαστούν με συστήματα παρακολούθησης και συστήματα access control, για την αυτόματη καταγραφή της δραστηριότητας ενός ατόμου. Επίσης τα συστήματα συναγερμού περιλαμβάνουν και αμφίδρομη επικοινωνία, η οποία επιτρέπει την ανταλλαγή πληροφοριών μεταξύ του πίνακα και του σταθμού παρακολούθησης. Η βέλτιστη πρακτική για την διασφάλιση των δεδομένων στα Data Centers, είναι ο συνδυασμός φυσικών μέτρων και μέτρων προστασίας στον κυβερνοχώρο. Η συμμόρφωση με τα πρότυπα ασφαλείας, η τεχνογνωσία και η σε βάθος γνώση των πραγματικών απειλών, είναι εξίσου απαραίτητα στοιχεία για την διασφάλιση αυτών των πληροφοριών. n Μερικά από τα βασικά πρότυπα συμμόρφωσης ενός κέντρου δεδομένων είναι το ISO/IEC 27001 και το ISO 20000. 3 Για να γνωρίζουμε ποιος εισέρχεται και ποιος εξέρχεται από ένα προστατευόμενο χώρο θα πρέπει να τοποθετήσουμε ένα σύστημα ελέγχου πρόσβασης/ταυτότητας μέσω καρτών προσέγγισης ή βιομετρικών χαρακτηριστικών. 4 76 | SECURITY REPORT Cyprus 01-03/2021 Data Centers IT SECURITY