Proteja nuestros datos de nómina de una obligación legal y moral

4

Tenemos nuestro software de nómina para instalar en nuestro servidor de archivos. Esto contiene todos los detalles de los empleados actuales y pasados. Los datos contenidos en el software de nómina incluyen impuestos, banco, número de seguro nacional, dirección, fecha de inicio, fecha de finalización, etc.

Estamos en el Reino Unido y queremos protegernos legalmente y con obligaciones morales. Queremos protegernos contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida o destrucción accidental o el daño de los datos personales.

Detalles técnicos del software:

  • Las bases de datos se encuentran en un servidor SBS de Windows 2008 y la aplicación cliente se instala en una estación de trabajo de Windows 7 a 64 bits.
  • Las bases de datos no están cifradas y son de un sistema a medida antiguo. Para leer la base de datos necesitará el paquete de desarrollo.
  • La aplicación requiere una contraseña para ingresar al sistema.

¿Cuáles son los pasos necesarios para asegurar este sistema? ¿Cómo podemos establecer una lista de requisitos precisos (controles de acceso, permisos, auditoría, ...)? ¿Qué leyes, estándares y mejores prácticas se aplican?

Más información de sus preguntas

Un desglose de la seguridad:

  • El servidor está bloqueado en la sala de servidores segura, lo que impide el acceso no autorizado.
  • Los archivos de la base de datos no están cifrados, pero estarán protegidos por la lista de control de acceso.
  • Los campos en la base de datos no están cifrados
  • La transmisión a través de la red no está encriptada
  • No hay Vlans privados en la red ni hardware que lo admita en la actualidad. Estaremos actualizando en breve
  • La aplicación se desarrolló en la década de los 90, por lo que supongo que no hay cifrado sobre la transmisión y probablemente no esté desarrollada de forma segura según los estándares actuales.

Quiero saber si ACL es aceptable teniendo en cuenta que el servidor está físicamente bloqueado, la base de datos / archivos no están cifrados y todas las máquinas están en la misma LAN.

Aquí hay más información que he recopilado del Reino Unido:

Acción tomada contra la protección de datos y la privacidad y las comunicaciones electrónicas: enlace Gran cantidad de procesos judiciales contra empresas y departamentos gubernamentales

Principios de protección de datos:      ico.gov.uk/for_organisations/data_protection/the_guide/the_principles.aspx Muchos tribunales Cita de la página web "Se tomarán las medidas técnicas y organizativas adecuadas contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida, destrucción o daño accidental de los datos personales".

¿Qué medidas de seguridad debo tomar para proteger los datos personales que tengo ?:    ico.gov.uk/for_organisations/data_protection/security_measures.aspx Citas "Solo permita que su personal acceda a la información que necesitan para hacer su trabajo y no les permita compartir contraseñas. Cifre cualquier información personal retenida electrónicamente que pueda causar daño o angustia si se pierde o es robada ".

    
pregunta resolver101 12.07.2012 - 16:02
fuente

3 respuestas

4

Debe tomar las precauciones habituales para proteger cualquier servidor importante.

1) Configure correctamente un firewall para que la política predeterminada lo rechace y solo el tráfico aprobado de la lista blanca

2) ACL adecuada, teniendo en cuenta el principio de los menos privilegiados.

3) Autenticación correcta de la aplicación que accede al servidor: esto podría significar una buena contraseña altamente aleatoria con suficiente entropía, autenticándose frente a un servidor AAA o incluso certificados según la escala de su configuración.

3) Cifre la base de datos: no cuente con un sistema antiguo que dificulte que un atacante malintencionado lea su base de datos.

4) Registrar todas las actividades: la contabilidad adecuada facilita mucho el seguimiento de los cambios involuntarios en el sistema.

Según el tipo de información que tenga, es posible que deba cumplir con ciertos esquemas de cumplimiento. Aunque no tengo mucha idea sobre este punto, es posible que desee consultar con una empresa de auditoría local para obtener más información.

    
respondido por el Ayrx 12.07.2012 - 17:56
fuente
2

Tienes un problema muy interesante.

Debe resolver estos problemas, ya que probablemente tenga una bomba de tiempo en sus manos.

(suponiendo que no haya resuelto los problemas)

No parece que sepa lo suficiente como para admitir la aplicación en el futuro, no dice que esto sea insensible, pero la combinación de software inseguro antiguo, pocos usuarios, dbms personalizados no suena prometedor.

Recomendación principal:

Observe su propia carrera, proteja su propio trasero, arroje el problema a la cadena de mando.

Los problemas son tales que debe indicar claramente que usted NO puede resolver los problemas sin reemplazar el sistema. Los datos están en riesgo, la aplicación no se está actualizando por problemas de seguridad, los controles implementados pueden no ser adecuados para el propósito en el día y la edad actual. Es posible que las mitigaciones que recomienda no sean suficientes para proteger el sistema / los datos.

Posibles acciones para resolver problemas:

  1. Separe el cliente y el servidor del resto del tráfico y las fuentes de compromiso. Es posible que pueda cargar el cliente y el servidor en una sola imagen de máquina virtual sin acceso a la red. Esto puede detener la mayoría de los compromisos de la red, pero el host debe ser seguro, aislado tanto como sea posible, con un solo propósito si es posible y con seguridad física.
  2. Transfiera el sistema de recursos humanos a otro paquete de software (basado en la nube podría ser mejor, pero el soporte moderno, seguro es obligatorio)

Obviamente, el costo de estos arreglos no es trivial, pero será legal y moralmente importante que usted haga lo correcto.

La solución 1 (si es posible) intenta aislar la aplicación sin incurrir en altos costos.

    
respondido por el Andrew Russell 14.01.2014 - 08:55
fuente
0

Aquí se ofrecen muchos buenos consejos, especialmente el poco interés en cuidar tu propia carrera, ya que probablemente sea una bomba de tiempo. También sugeriría: Contrate a alguien que sepa lo que está haciendo. Puede ser muy bueno en lo que hace, pero la seguridad y el cumplimiento no es su juego de pelota. Contrate a un experto en esta área para que se preocupe por estas cosas. Esa persona debe poder decirle qué controles de seguridad se necesitan en esta situación y ser responsable de la seguridad de los datos.

    
respondido por el Tracy Reed 14.01.2014 - 20:03
fuente

Lea otras preguntas en las etiquetas