BETH YW DIOGELWCH GWYBODAETH?

BETH YW GWYBODAETH?

Yn y Brifysgol mae gwybodaeth o'n cwmpas ym mhob man. Mae'r mwyafrif o gydweithwyr o amgylch y Brifysgol yn dibynnu ar wybodaeth a'r systemau sy'n prosesu gwybodaeth i gyflawni eu gweithgareddau bob dydd, boed yn addysgu, yn ymchwil neu'n weithredol.

Gellir storio gwybodaeth mewn amrywiaeth o fformatau gwahanol o bapur i dullau electronig. Gan fod gwybodaeth yn cefnogi'r agweddau allweddol ar yr hyn a wnawn fel Prifysgol mae ganddo werth enfawr a felly mae'n ased sefydliadol yn union fel ein pobl a'r pethau diriaethol y gallwn eu gweld a'u cyffwrdd.

Felly mae angen diogelu asedau gwybodaeth fel y gallwn barhau i gael gwerth ohonynt. Cymerwch eiliad i feddwl am sut mae gwybodaeth yn effeithio arnoch chi yn eich rôl; sut olwg fyddai ar ddiwrnod arferol pe na bai’r wybodaeth ar gael yn ôl y disgwyl? Yn ogystal â’r pethau sy’n ymwneud yn benodol â’ch rôl, a wnaethoch chi feddwl am yr holl systemau hanfodol sy’n ymddangos yn ategol megis amserlennu, mynediad drws, offer clyweledol, systemau cyflogres, argraffu, systemau rheoli adeiladau, cofnodion myfyrwyr, catalogau llyfrgell neu Canvas?

Mae rhai mathau o wybodaeth yn arbennig o sensitif am ystod eang o resymau, er enghraifft unrhyw wybodaeth sy’n dynodi unigolyn (fel myfyrwyr, aelod o staff neu gyfranogwyr ymchwil), eiddo deallusol (fel dyluniad neu ddyfais newydd) neu wybodaeth sy’n helpu i ddiogelu iechyd a diogelwch ein hamgylchedd. Yn ogystal â diogelu gwerth y wybodaeth i’r Brifysgol, ar gyfer rhai dosbarthiadau o wybodaeth mae gofynion rheoliadol (h.y. cyfreithiol) ar sut rydym yn diogelu gwybodaeth ac efallai y bydd gofynion cytundebol hefyd (er enghraifft gan bartner ymchwil neu gyflenwr).

BETH YW DIOGELAETH GWYBODAETH?

Diogelwch Gwybodaeth yw’r dull a ddefnyddir i sicrhau bod asedau gwybodaeth gwerthfawr yn cael eu diogelu’n briodol. Diben diogelwch gwybodaeth yw sicrhau bod gwybodaeth yn cael ei diogelu’n briodol yn unol â’r lefelau a nodir yn angenrheidiol gan y Brifysgol, nid yw wedi’i fwriadu fel rhwystr i atal pethau rhag digwydd ond yn hytrach i ddod o hyd i ffordd ddiogel i cwrdd a anghenion y Brifysgol.

Y tri phrif briodwedd gwybodaeth y mae angen i ni eu diogelu yw Cyfrinachedd, Uniondeb ac Argaeledd er bod rhai eraill! Cyfeirir at y rhain weithiau fel y triawd CIA. Porwch drwy'r adrannau isod i ddysgu mwy am bob un o'r priodweddau hyn…

Cyfrinachedd

Cyfrinachedd yw'r ffactor y mae'r rhan fwyaf o bobl yn ei ddeall yn hawdd. Mae'n golygu sicrhau mai dim ond y rhai sydd wedi'u hawdurdodi gan y sefydliad i gael mynediad ar wybodaeth all wneud hynny. Mae’n bwysig nodi y gallai partïon anawdurdodedig fod o fewn y sefydliad megis aelod o staff nad oes ganddo awdurdod i gael mynediad at y wybodaeth benodol. Yn fwy ffurfiol, gellir diffinio Cyfrinachedd fel "y ffactor nad yw'r wybodaeth honno ar gael nac yn cael ei datgelu i unigolion, endidau neu brosesau anawdurdodedig."

Integrity

Mae Uniondeb yn ymwneud â sicrhau cywirdeb a chyflawnder gwybodaeth, yn y bôn mae hyn yn golygu na ddylid addasu gwybodaeth mewn modd anawdurdodedig. Byddai hyn yn cynnwys addasiad damweiniol gan berson awdurdodedig, addasiad maleisus gan berson awdurdodedig neu addasiad gan berson, proses neu system anawdurdodedig boed yn fewnol neu’n allanol i’r sefydliad. Mae uniondeb yn diogelu dibynadwyedd ein gwybodaeth. Rhai enghreifftiau a allai amlygu pwysigrwydd Uniondeb yn ein hamgylchedd yw cywirdeb ein cofnodion myfyrwyr (gan gynnwys canlyniadau arholiadau a gowbrau gradd) neu gywirdeb canfyddiadau ymchwil pe bai'r data sylfaenol wedi'i addasu.

Argaeledd

Mae priodwedd Argaeledd gwybodaeth yn ymwneud â sicrhau bod y wybodaeth ar gael yn y fformat cywir, yn y lle cywir, ar yr amser iawn (neu yn hytrach pan fydd ei hangen). Er mwyn helpu i roi Argaeledd mewn persbectif, ystyriwch y cofnodion meddygol sydd eu hangen yn ystod triniaeth frys, os yw ysbyty wedi cofnodi’n gywir (Uniondeb) bod gan glaf alergedd i feddyginiaeth benodol a bod y staff brys wedi’u hawdurdodi i gael mynediad at y cofnodion (Cyfrinachedd) yna os nad yw’r system sy’n dal y wybodaeth ar gael pan fo angen, yna gellid gwneud penderfyniad angheuol. Er mwyn helpu i egluro, enghraifft o ymosodiad Argaeledd yw Ransomware, dyma lle mae parti anawdurdodedig yn gallu amgryptio, neu sgrialu, y wybodaeth mewn system fel na all defnyddwyr awdurdodedig gael mynediad iddi pan fo angen, nes bod pridwerth yn cael ei dalu a bod y wybodaeth wedyn yn cael ei dadgryptio (neu ei dad-sgramblo). Enghraifft arall fyddai lle mae system wybodaeth yn cael ei thargedu’n fwriadol gan barti anawdurdodedig sy’n anfon llawer iawn o geisiadau dilys i’r system fel ei bod yn cael ei llethu ac yn methu â phrosesu ceisiadau partïon awdurdodedig (gelwir hyn yn ymosodiad Denial of Service neu DoS).

Er mwyn sicrhau bod gwybodaeth yn cadw ei gwerth i'r Brifysgol mae'n rhaid i ni ystyried y meysydd allweddol a nodir uchod trwy gydol cylch oes y gwybodaeth ni waeth ym mha fformat y mae'n bodoli. Mae hyn yn cynnwys pan fyddwn yn caffael, storio, prosesu, trosglwyddo, rhannu, archifo a gwaredu gwybodaeth. Gall unrhyw agwedd CIA gael ei effeithio naill ai’n faleisus neu’n ddamweiniol, a gan barti awdurdodedig neu anawdurdodedig boed yn fewnol neu’n allanol i’r sefydliad.

BETH YW SEIBELL DDIOGELWCH?

Er bod Diogelwch Gwybodaeth yn cwmpasu gwybodaeth mewn unrhyw fformat, diogelwch seiber yw'r term cyffredinol sy'n ymdrin yn benodol â gwybodaeth a rhwydweithiau electronig. Yn y Brifysgol rydym yn defnyddio'r termau Diogelwch Gwybodaeth a Diogelwch Seiber yn gyfnewidiol neu mewn cyfuniad fel Diogelwch Seiber a Gwybodaeth i gyfeirio at bob agwedd ar ddiogelwch data a gwybodaeth beth bynnag fo'r fformat neu'r bygythiadau.

SUT YR YDYM YN GWARCHOD GWYBODAETH

Mae asedau gwybodaeth yn cael eu diogelu gan reolaethau. Gellir diffinio rheolaethau ar unrhyw lefel o fewn sefydliad, ond fel arfer mae hierarchaeth o reolaethau i sicrhau bod anghenion y sefydliad cyfan yn cael eu diwallu. Mae mathau o reolaeth fel arfer yn cael eu grwpio i reolaethau pobl, prosesau neu dechnoleg. Ehangwch yr adrannau isod i ddarganfod mwy am bob categori grŵp rheoli….

Pobl

Mae rheolau sy'n canolbwyntio ar bobl yn cynnwys sicrhau bod gan y rhai sydd wedi'u hawdurdodi i gael mynediad at wybodaeth yr hyfforddiant a'r wybodaeth briodol i ddeall eu rolau a'u cyfrifoldebau, mewn perthynas â'r wybodaeth. Mae hefyd yn ymwneud â sicrhau bod yna bobl gymwys a phrofiadol o fewn y sefydliad i ddiogelu gwybodaeth yn effeithiol. Er enghraifft, dylai aelod o staff sydd â mynediad at wybodaeth bersonol am eraill wybod i beidio â throsglwyddo'r wybodaeth honno trwy e-bost. Nod rheolaethau pobl yw sicrhau bod pawb mewn sefydliad yn gyfrifol am ddiogelu gwybodaeth.

Proses

Prosesau yw’r rheolau a roddir ar waith gan sefydliad sy’n amlinellu’n glir ymddygiad disgwyliedig unigolion neu sut y mae tasgau i’w cwblhau. Er enghraifft, gall proses ar gyfer trin gwybodaeth bersonol ddatgan yn benodol nad yw gwybodaeth i'w hanfon drwy e-bost a/neu nodi sut y gellir ei hanfon. Neu gall dogfen bolisi gyffredinol nodi na ddylid byth anfon gwybodaeth bersonol drwy e-bost.

Technoleg

Mae reolaethau technoleg neu technegol fel arfer yn fesurau diogelu sydd wedi’u cynnwys mewn system, er enghraifft nod clo ar ddrws yw atal mynediad hyd yn oed os yw’r unigolyn yn gwybod na ddylai gael mynediad i’r ystafell honno (rheol pobl) a bod polisi’r sefydliad yn gwahardd y person hwnnw rhag mynd i mewn i’r ystafell (rheol prosesau). Enghraifft arall, i ddilyn ymlaen o'r enghreifftiau eraill o anfon gwybodaeth bersonol trwy e-bost, fyddai pe bai'r system e-bost yn gwrthod anfon e-bost pe bai gwybodaeth bersonol yn cael ei chynnwys.

Gelwir y rhain weithiau yn dri philer diogelwch gwybodaeth ac mae'r rheolaethau amrywiol yn gweithio gyda'i gilydd. Gellir dylunio rheolyddion gyda'r bwriad o atal, canfod, ymateb, adfer neu unrhyw gyfuniad o'r rhain.

Mae’r ymagwedd gyffredinol a ddefnyddir at diogelwch seiber a gwybodaeth o fewn sefydliad, gan gynnwys y rheolaethau sydd ar waith, yn ffurfio’r hyn a elwir yn nodweddiadol yn Information Security Management System (ISMS). Mae rheolyddion yn gweithio ar y cyd i ddarparu'r lefel ofynnol o amddiffyniad. Sut mae’r ‘lefel ofynnol’ yn cael ei diffinio? Yn syml iawn, mae hyn yn dibynnu ar y wybodaeth dan sylw, y swm, y gwerth, unrhyw ofynion rheoleiddiol neu gytundebol, a'r bygythiadau i'r wybodaeth honno (ymhlith ffactorau eraill). Penderfynir ar y rhain trwy gynnal asesiad risg gwybodaeth ar gyfer pob ased. Mae’r uwch dîm arwain o fewn y sefydliad yn diffinio lefel y risg y mae’r sefydliad yn barod i’w derbyn a gelwir hyn yn lefel goddefiant risg.