Společnosti se GDPR bojí zbytečně. Mohou na něm i vydělat, říká expert

Řada firem propadá kvůli GDPR obavám. Opatření proti zneužívání citlivých dat si ale nakonec nemusejí pochvalovat pouze ti, kteří informace poskytují, tedy klienti či zaměstnanci, ale i samotné firmy. „Už dnes je na trhu řada nástrojů, které kromě splnění požadavků GDPR dokáží vyřešit spousty každodenních trápení v oblasti bezpečnosti a auditu IT,“ vysvětluje Jakub Karvánek  ze společnosti FreeDivision.

Obecné nařízení o ochraně osobních údajů (zkráceně GDPR) začne platit 25. května 2018. Nová směrnice Evropské unie má v prvé řadě bránit zneužívání a únikům citlivých dat a povinnost dodržovat směrnici se týká každého, kdo jakýmkoli způsobem shromažďuje nebo zpracovává osobní údaje zákazníků, klientů či zaměstnanců. Tedy jak firem, institucí, tak i živnostníků. V čem podle vás spočívá největší problém této směrnice? Řekl bych, že aktuálně je to hysterie, která se kolem toho vzedmula. Málo totiž zaznívá, že jde o posun vpřed. Zavedením směrnice se významně snižuje riziko zneužívání osobních dat, které je teď relativně běžné. Zvyšuje se míra práv pro občany, kteří budou mít právo žádat dotčenou společnost například o to, jaké informace o nich uchovávají, jejich případnou opravu či smazání. Takže v první fázi jde o to udělat si pořádek ve svých dokumentech, uklidnit se a změny postupně realizovat do vytyčeného cíle. V druhém sledu je třeba si uvědomit, že dnes existují dostupné nástroje, které umí velké množství práce udělat samy. Menší subjekty v případě zavádění GDPR pravděpodobně vystačí i s jednodušším řešením, ale i tak bych byl opatrný při výběru příliš univerzálních metod. Větší instituce o stovkách a více zaměstnanců, kteří využívají výpočetní techniku, budou muset volit sofistikovanější postup. Co je pro úspěšné splnění nároků směrnice nyní třeba udělat? Jako nutnou vidím, hlavně u větších firem a institucí, prvotní analýzu stavu jejich nakládání s daty tzv. GAP analýzu. Ta zjistí, kdo, kde a jak s daty nakládá. Oddělí soubory s citlivým obsahem od zbytku, který neobsahuje osobní data. To umožní nastavit správné procesy zpracování dat a samozřejmě i jejich ochranu. Následovat určitě budou nové interní směrnice a dodatky ke stávajícím smlouvám. Doporučujeme převádět odpovědnost za data na samotné uživatele, protože jen ti znají skutečný obsah a citlivost dat. Po všech těchto krocích bude třeba vyhotovit revizi datových úložišť, přístupových práv i samotnou fyzickou bezpečnost uchovávání a archivaci dat. Jak jsem ale zmínil, na tyto kroky existují fungující nástroje, které vše v souladu s nařízeními zajistí. Jak to funguje? Na provozní servery se do ostrého IT prostředí instalují vybrané moduly softwaru Varonis, které jsou nakonfigurovány, aby sbíraly potřebná metadata. Systém disponuje předdefinovanými pravidly pro vyhledávání dat obsahující osobní údaje pro jednotlivé státy EU. Následuje průběžné vyhodnocování metadat o souborech a práce s daty uživatelů, tak jak jsou uživatelé běžně zvyklí s nimi pracovat. Po instalaci nedochází k žádnému omezení uživatelů. Vše probíhá dle časového harmonogramu a před vypršením demo licence, která je omezena 30 dny, ze systému vygenerujeme potřebná data, která jsou následně doplněna do grafů a tabulek, která jasně a výstižně popisují zjištěná rizika. Pokud se klient rozhodne, že nástroje softwaru Varonis bude nadále využívat, zakoupenou licenci aktualizuje a může nadále využívat plnou funkcionalitu.       V čem je toto řešení jiné? Nabízí automatickou kontrolu procesů a směrnic. Je to technický a bezpečnostní nástroj, který nelze funkčností omezit jen na splnění požadavků GDPR. Kromě dalšího velmi efektivně pomáhá plnit ISO 27000 v oblasti ochrany informací, jako je stanovení cílů a požadavků na zabezpečení, zajištění efektivní správy zabezpečení, dodržení právních předpisů a pravidel, zajištění zvláštních požadavku na zabezpečení u konkrétních organizací. Jedním z nejdůležitějších a klíčových faktorů je nasazení tohoto systému v řádech dnů, a to i do velké společnosti čítající stovky uživatelů. A v neposlední řadě dokáže Varonis efektivně snížit náklady na zaměstnance. Jak software minimalizuje náklady na zaměstnance? Umožní lidem odpovědným za bezpečnost rychle najít složky a soubory obsahující citlivé osobní údaje, které jsou často rozptýleny mezi podnikovými souborovými systémy. U středně velkých společností se počet potenciálně citlivých složek a souborů pohybuje běžně v řádu statisíců, a není tak v lidských silách tato data identifikovat ručně. Navíc si představte, že je to třeba opakovaně i několikrát ročně podle prováděných auditů. Zjistit jaká citlivá data mám a kde leží, je skvělý způsob zahájení procesu snižování rizika. Klasifikační engine Varonisu na pozadí skenuje obsah souborů a dokáže rozpoznat vzorce identifikátorů osobních údajů – rodná čísla, čísla účtů, emaily, IP adresy, čísla kreditních karet a další a vyhodnotit soubory na základě počtu nalezených shod. Dokáže nejen identifikovat citlivá data, ale poskytne klíčové informace, které napomáhají minimalizovat bezpečnostní rizika. Například kdo a jak k těmto datům přistupuje, zdali k nim nemají přístup všichni zaměstnanci společnosti, která data jsou zřídka nebo vůbec využívána a měla by tedy podléhat jinému režimu zabezpečení a další. Díky komplexnímu pohledu na data ve společnosti je Varonis vhodným technickým opatřením, pomocí kterého lze správně a jednoduše implementovat opatření organizační a vyhovět tak základním požadavkům GDPR.

zdroj: http://nazory.e15.cz/rozhovory/spolecnosti-se-gdpr-boji-zbytecne-mohou-na-nem-i-vydelat-rika-expert-1345459

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *