CyberArk. Πως να προετοιμάσετε την εταιρεία σας για τον GDPR

O Γενικός Ευρωπαϊκός Κανονισμός Προστασίας Δεδομένων λέγεται ότι είναι μία από τις σπουδαιότερες αλλαγές στους κανονισμούς προστασίας της ιδιωτικής ζωής και των προσωπικών δεδομένων τις τελευταίες δύο δεκαετίες.

Ο πρωταρχικός σκοπός του Ευρωπαϊκού Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR ) είναι να ενισχύσει τα δικαιώματα που αφορούν στα προσωπικά δεδομένα όλων των ατόμων που διαμένουν στην Ευρωπαϊκή Ένωση, και στη συνέχεια, να εναρμονίσει τον τρόπο με τον οποίο τα κράτη μέλη θα επιβάλλουν τη νομοθεσία για τη προστασία των δεδομένων κατά μήκος όλης αυτής της γεωγραφίας.

Είναι γεγονός επίσης ότι στις μέρες μας, οι περισσότεροι άνθρωποι δεν εμπιστεύονται τα προσωπικά τους δεδομένα στα χέρια των επιχειρήσεων – και ειλικρινά, ποιος μπορεί να τους κατηγορήσει; Μεγάλες και σημαντικές παραβιάσεις δεδομένων συνεχίζουν να απασχολούν τις επικεφαλίδες των ειδήσεων.

Οι περισσότεροι οργανισμοί δεν λαμβάνουν σοβαρά υπόψη την ασφάλεια, ενώ κάποιοι ομολογούν ότι γνωρίζουν καλά τα υπάρχοντα κενά ασφαλείας, αλλά βλέπουν σκόπιμα προς την άλλη μεριά, για να μειώσουν τα λειτουργικά κόστη και να διατηρήσουν υψηλότερη τη κερδοφορία. Όπως είδαμε τους τελευταίους μήνες, τα μέσα μαζικής ενημέρωσης υπογράμμισαν τόσο τις οικονομικές επιπτώσεις όσο και τις επιπτώσεις στη φήμη με το να πιαστείς σε κατάσταση μη συμμόρφωσης – και για καλό σκοπό.

Το GDPR θα επηρεάσει τις εταιρείες και τους οργανισμούς σε παγκόσμιο επίπεδο. Αν ένας οργανισμός διαπιστωθεί ότι είναι αμελής, θα αντιμετωπίσει πρόστιμα υψηλότερα από €20 εκατομμύρια ή και που ενδέχεται να ισοδυναμούν με το 4% του κύκλου εργασιών του σε παγκόσμιο επίπεδο (όποια είναι η μεγαλύτερη από τις δύο ποινές). Επιπλέον, υπάρχουν εξίσου σοβαροί κίνδυνοι που αφορούν στην φήμη, όπως σημαντικές ζημιές στο εμπορικό σήμα και απώλεια τόσο της πίστης όσο και της εμπιστοσύνης των καταναλωτών στην μάρκα/ επιχείρηση.
Η Gartner προβλέπει ότι έως το τέλος του 2018, περισσότερο από το 50% των εταιρειών που επηρεάζονται από το GDPR δεν θα είναι πλήρως συμμορφωμένες με τις απαιτήσεις του. Και αυτό οδηγεί σε ένα πολύ σημαντικό ερώτημα: είναι η επιχείρησή σας πραγματικά έτοιμη;

Τι είναι απαραίτητο να γνωρίζετε και να έχετε κατανοήσει

Μάθετε και εντοπίστε τα σημεία που υπάρχουν προσωπικά δεδομένα στον οργανισμό σας. Τα προσωπικά δεδομένα μπορούν να είναι κάποιο όνομα, διεύθυνση, τοποθεσία, κάποιο ηλεκτρονικό αναγνωριστικό ή ηλεκτρονική ταυτότητα, πληροφορίες για την υγεία, εισόδημα, πολιτιστικό προφίλ και άλλα. Οι επιχειρήσεις θα πρέπει να χαρτογραφούν τις ροές δεδομένων τους κατά προτεραιότητα, ξεκινώντας από πάνω προς τα κάτω με οτιδήποτε θεωρείται ότι είναι υψηλού κινδύνου και με οποιεσδήποτε επιχειρησιακές διαδικασίες περιλαμβάνουν τη συλλογή, επεξεργασία και προστασία ευαίσθητων προσωπικών δεδομένων.

Οι λύσεις της CyberArk μπορούν να βοηθήσουν μια επιχείρηση να κλειδώσει την πρόσβαση που έχουν τόσο ανθρώπινοι όσο και μη ανθρώπινοι χρήστες σε κρίσιμης σημασίας συστήματα και εφαρμογές, αλλά προτού καταφέρετε να κάνετε κάτι τέτοιο, είναι απολύτως απαραίτητο να προσδιορίσετε ακριβώς που βρίσκονται τα δεδομένα στον οργανισμό σας. Επιπλέον, οποιαδήποτε προσωπικά δεδομένα δεν εξυπηρετούν πλέον τις νόμιμες ανάγκες της επιχείρησης και δεν είναι απαραίτητα για κάποια λειτουργία, θα πρέπει να διαγραφούν. Τα αντίγραφα ασφαλείας και τα διπλά αντίγραφα των αρχείων προσωπικών δεδομένων ενδέχεται να σας φέρουν σε δύσκολη θέση, εάν δεν διαχειρίζεστε σωστά το δικαίωμα των υποκείμενων δεδομένων στη λήθη ή στη διαγραφή (right to erasure, right to be forgotten).  

Έχετε πλήρη κατανόηση της αλυσίδας εφοδιασμού σας

Μία σημαντική αλλαγή που έρχεται με το νέο Ευρωπαϊκό Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) που απουσίαζε από τον νόμο/ οδηγία που αντικαθιστά (ντιρεκτίβα για την προστασία δεδομένων, Data Protection Directive) είναι οι νέες άμεσες νομικές υποχρεώσεις για τους μεταποιητές/ επεξεργαστές δεδομένων. Με αυτή την αλλαγή ενδέχεται να οδηγήσει σε αξιώσεις περί ζημιών και αποζημιώσεις απευθείας από τα υποκείμενα δεδομένων, όταν παλαιότερα, οι υπεύθυνοι επεξεργασίας δεδομένων έπρεπε στην ουσία να ανησυχούν μόνο για τις υφιστάμενες συμφωνίες και συμβάσεις τους με τους με τους υπεύθυνους διαχείρισης δεδομένων.

Μόλις ολοκληρωθεί η εφαρμογή του GDPR, τόσο όσοι ελέγχουν και διαχειρίζονται δεδομένα όσο και εκείνοι που επεξεργάζονται δεδομένα θα πρέπει να αποδείξουν ότι δεν είχαν ευθύνη σε περίπτωση παραβίασης. Μπορεί να έχετε εφαρμόσει την πιο ολοκληρωμένη στρατηγική GDPR εφοδιασμένη με όλα τα απαραίτητα εργαλεία και εξαρτήματα για την προστασία των προσωπικών δεδομένων – ωστόσο εξακολουθούν να υπάρχουν σημαντικοί κίνδυνοι στην αλυσίδα εφοδιασμού από τρίτους προμηθευτές. Έτσι, θα πρέπει να υπάρξει μεγαλύτερος βαθμός διαφάνειας στην αλυσίδα εφοδιασμού, έχοντας κοινή ευθύνη στην διασφάλιση των προσωπικών δεδομένων.

Πρόσθετα μέτρα

Δεδομένου ότι ο GDPR είναι ένας περίπλοκος και εκτεταμένος κανονισμός δεν πρόκειται να συμμορφωθείτε εν μια νυκτί. Ακριβώς για να μην πνιγείτε σε μια κουταλιά νερό, θα πρέπει να έχετε μια ρεαλιστική προσέγγιση. Ένα από τα πρώτα και πιο κρίσιμα βήματα για τις επιχειρησιακού-επιπέδου οργανισμούς είναι να συνεργαστούν με κάποια συμβουλευτική εταιρεία. Οι περισσότερες εταιρείες παροχής τέτοιων υπηρεσιών προσφέρουν εργαστήρια ειδικά για GDPR, με λεπτομερείς αξιολογήσεις, τακτικές δοκιμές και πρακτικές οδηγίες. Θα συνεργαστούν με την ομάδα σας για να τοποθετήσουν στις απαραίτητες θέσεις το κατάλληλο προσωπικό, να εφαρμόσουν διαδικασίες και να εγκαταστήσουν τεχνολογία που να ευθυγραμμίζεται με τη βέλτιστη στρατηγική σας για τη διατήρηση της συμμόρφωσης σας με τον υφιστάμενο κανονισμό.

Είναι πάντως κατανοητό ότι η συμμόρφωση με τον GDPR δεν μπορεί να επιτευχθεί χρησιμοποιώντας λύσεις μόνο μίας εταιρείας ασφαλείας – πρόκειται για ομαδική προσπάθεια. Οι πελάτες της CyberArk έχουν πρόσβαση στο C3 Alliance Technology Program, που προσφέρει ένα ευρύ φάσμα ενοποιήσεων με παρόχους λύσεων ασφάλειας από όλο τον κόσμο. Αυτές οι τεχνολογικές ενσωματώσεις επιτρέπουν σε έναν οργανισμό να υλοποιήσει μια πολύ πιο ολοκληρωμένη λύση GDPR, καθώς και να προσδώσει περισσότερη αξία στις υπάρχουσες επενδύσεις σε ζητήματα ασφαλείας.

Πραγματοποιήστε το πρώτο βήμα και κατεβάστε την λίστα ελέγχου ασφαλείας για την διασφάλιση προσωπικών δεδομένων (Security Checklist for Securing Personal Data) ώστε η επιχείρησή σας να είναι έτοιμη για τον GDPR. Επισκεφθείτε την ιστοσελίδα της λύσης GDPR της CyberArk για περισσότερες πληροφορίες σχετικά με το πώς η ασφάλεια προνομιακών λογαριασμών διαδραματίζει κρίσιμο ρόλο στη διασφάλιση των ευαίσθητων προσωπικών δεδομένων. Ετοιμάστε λοιπόν την επιχείρησή σας για τον Γενικό Ευρωπαϊκό Κανονισμό Προστασίας Δεδομένων πριν τελειώσει ο χρόνος και βρεθείτε στο μάτι του κυκλώνα.

 

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.