Wspólny rynek cyberbezpieczeństwa — fakty i mity dotyczące Generalnego Rozporządzenia o Ochronie Danych Osobowych (GDPR)

22 listopada, 2016

Zgodnie z danymi Komisji Europejskiej, obecnie dwa miliardy osób na świecie ma dostęp do internetu, a oczekuje się, że wkrótce ta liczba przekroczy trzy miliardy. Dla wielu przedsiębiorców ten trend niesie z sobą wiele szans, ale również budzi obawy i stawia wyzwania. Potencjalny atak hakerów może poważnie nadwyrężyć finanse przedsiębiorstwa oraz jego reputację. Dodatkowo, jednym z największych lęków osób zarządzających jest niepewność, jakie dokładnie dane znajdują się w ich sieci i czy czasami te dane nie są wystawione na atak. Regulacja Unii Europejskiej dot. Ochrony Danych Osobowych (EU General Data Protection Regulation – GDPR) będzie stanowiła ważny krok ku stworzeniu zestawu dobrych praktyk dotyczących przetwarzania danych. Czy jesteś więc przygotowany na wspólny rynek cyberbezpieczeństwa? Czy Twoja organizacja jest gotowa by spełnić te wymagania?

Zapamiętaj datę, zabezpiecz dane

Od 25 maja 2018 roku firmy działające w Europie lub obsługujące klientów z UE będą musiały działać zgodnie z wyżej wymienioną regulacją, która stanie się standardem dla wszystkich państw europejskich —nie będzie wymagana jej implementacja do prawa krajowego.

Nowa regulacja wprowadzi obowiązki dotyczące odpowiedzialności, praw konsumenta oraz obostrzenia w kwestii przepływu danych. To spowoduje, że organizacje będą musiały przemyśleć sposób, w jaki postrzegają dane osobowe, jak również rozszerzy odpowiedzialność organizacji oraz zarządzających. Będzie to wymagało zrozumienia danych oraz możliwość ich kontroli, analizy oraz monitorowania. Od bankowości po przemysł wytwórczy, od branży retail po edukację dane generowane są bez przerwy. Wolumeny danych nie są statyczne – wciąż się zmieniają, przepływają między platformami oraz źródłami. Dostarczają wiedzy i statystyk, stając się podstawą współczesnej analizy biznesowej.

Wiele firm zdaje sobie sprawę z nieodwołalności grzywien oraz złej reputacji związanej z byciem pierwszym przykładem niestosowania regulacji. Potencjalne kary mogą sięgnąć nawet 4% globalnych przychodów (lub do 20 milionów euro), więc firmy nie mogą sobie pozwolić na wyciek danych, gdyż może mieć to poważny wpływ na ich wyniki finansowe.

GDPR wymaga podejścia opartego na szacowaniu ryzyka, co niesie z sobą konieczność implementacji procedur bezpieczeństwa i kontroli wrażliwych informacji. Wyciek danych klientów będzie skutkował nałożeniem surowych kar. Jak każda regulacja, również i ta może być postrzegana jako niepotrzebna i wymagająca poświęcenia wielu godzin na jej wdrożenie. Natomiast możemy na to spojrzeć również z innej strony – ta regulacja może stanowić początek prowadzenia biznesu na nowych rynkach, a spełnianie surowych norm bezpieczeństwa może stanowić wyróżnik danej firmy.

Pomimo, że GDPR jest kolejną inicjatywą Unii Europejskiej, jest raczej postrzegana powszechnie jako pozytywny ruch. Będzie ona stanowiła ramy, w jakich firmy będą mogły dysponować danymi. Z kolei dane, które mają być chronione przez firmy, staną się trudniejsze do śledzenia. Oznacza to, że jeżeli firmy nie postawią na skalowalność i ochronę własnych operacji i infrastruktury, ryzykują wyciek danych i będą narażone na otrzymanie miana firmy niespełniającej regulacji.  

Na przykład kluczowa jest ochrona danych klientów dostępnych na urządzeniach mobilnych. Jest to szczególnie ważne, gdy nastąpi wyciek danych i informacje muszą zostać wymazane na podstawie komend zdalnych. Podobnie firmy, które zastanawiają się nad umieszczeniem swoich danych w chmurze, powinny zachować własność oraz kontrolę nad tym scentralizowanym wolumenem danych. Oprócz tego powinny wdrożyć politykę zarządzania danymi w chmurze oraz poszukać rozwiązań szyfrujących, które zapewnią, że tylko firma sprawująca nadzór nad danymi będzie mogła odszyfrować dane pliki.

Częścią regulacji jest zapis, że firmy będą zobowiązane poinformować regulatora o wycieku danych w czasie do 72 godzin, niezależnie czy wyciek niesie za sobą konsekwencje w stosunku do pracowników czy klientów. Ujawnienie to musi być również obszerne, czyli opisujące naturę włamania, ilość zagrożonych danych, informacje kontaktowe osób odpowiedzialnych oraz środki zaradcze, jakie zamierza podjąć firma by rozwiązać ten problem.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]