GDPR: Bič na bezpečné a systémové uchovávání dat

GDPR: Bič na bezpečné a systémové uchovávání dat

 

Revoluce v zabezpečovaní dat – i tak by se dal nazvat jeden z důležitých aspektů světa, ve kterém žijeme.

 

Firmy se připravují na povinnosti vyplývající z nových pravidel ochrany osobních údajů (GDPR), které Evropská unie uvede v platnost 25. května 2018. I když je táto zpráva v éteru již mnoho měsíců, ne všechny společnosti jsou si vědomy toho, jaké změny od nich toto nařízení bude vyžadovat. V mnoha z nich vládne přesvědčení, že se jich novinka nijak nedotkne a zaměstnanci zodpovědní za bezpečnost často ani netuší, o co v ní jde. Klíčovým tématem GDPR je management dat a jejich uchovávání – existuje proto vážná obava, zda ovládáme základní fakta: jaká data se obvykle uchovávají a kde k tomu dochází.

Mnoho manažérů IT firem často ani netuší, jaká data skrývají počítače jejich zaměstnanců. Nepokládají to za důležité, vždyť všechny klíčové informace o klientech jsou bezpečně uschované na firemní síti. Omyl. Více než polovina těchto údajů kotví na koncových zařízeních řadových zaměstnanců. Podle požadavků GDPR budou muset firmy vytvořit přísnou strategii uchovávání osobních informací o klientech: od jejich umístění až po detailní pohyb interním systémem.

Novinkou bude také povinnost ustanovení odpovědné osoby při zpracování a uchovávání osobních údajů a také změny týkající se souhlasu nezletilých osob.

Změna nastane i při povinnosti informovat třetí osoby, a to při žádosti dotčené osoby o vymazání všech kopií a odkazů na tyto osobní údaje.

 

Jinými slovy: IT týmy musí sledovat, kde a jak se údaje vytvářejí, ukládají a sdílejí.

 

Vzhledem k tomu, že nosit si práci domů je už běžnou součástí života, bude monitoring a zabezpečování dat tvrdým oříškem pro nemálo z nich.

Bez podobné strategie se už žádná společnost neobejde. Přesně to nám nedávno potvrdily kyber útoky, které překonaly bezpečnostní zábrany i těch nejlépe vyzbrojených globálních společností. Manažery však momentálně zaměstnává jiný segment, a tím je modernizace procesů, internet věcí atd., proto pro ně GDPR, jak se zdá, zatím není prioritou. Dívají se na něj hlavně jako na doplněk práce s daty. Jejich ochrana by ale měla být integrální součástí života každé firmy a jedním z pilířů jejího bezpečného fungování.

Okruh, v kterém se data pohybují, se neustále zvětšuje – už nejsou „balzamována“ na jednom nebo dvou místech, sú v neustálém pohybu. Mapování dat proto musí být mnohem komplexnější, především v prostředí, které tvoří různé aplikace, kontrolní nástroje, senzory a které distribuuje data použitím jedinečných komunikačních protokolů.

 

Pro mnoho společností bude proto těžké přijmout, že výnos EU není jen dalším z běžných nařízení týkajících se bezpečnosti.

 

Bytostně se jich dotkne například fakt, že budou muset nahlásit každé neoprávněné vniknutí do systému v průběhu 72 hodin. To znamená, že firmy budou muset pro podobné případy vytvořit krizový plán a citelně zkrátit čas, který jim detekce a odpověď na útok zabere. Mít přesné informace o tom, kam incident směroval a které údaje mohou být v ohrožení. Mnoho z nich bude při tom odkázáno na pomoc a know-how externích odborníků.

Takzvaný „privacy by design“, klíčový požadavek GDPR, bude od firem očekávat, že vykonají významné změny v architektuře svých systémů, aplikací a projektů. Bude to však i příležitost do hloubky změnit pohled na firemní bezpečnost jako takovou. Přehodnotit mnohé, včetně funkčních operačních systémů, které je možné průběžně aktualizovat a neustále tak modernizovat jejich výkon a ochranu. Budoucnost totiž přinese další výzvy v podobě přísných regulací či sofistikovaných kyber útoků.

Pokud nechceme, aby nás nastávající změny paralyzovaly, musíme se na podobné situace včas a efektivně připravit. To znamená implementovat a řídit bezpečnostní program přesně na míru svým potřebám.

 

Kompletní znění zákona o ochraně osobních údajů účinného od 25.05.2018 naleznete ZDE.

Sdílet

Komentáře

Žádné komentáře

Sorry, the comment form is closed at this time.