Голямата картина и GDPR

Дойде етапът на формиране на институционално схващане за проблемите, свързани със защитата на информационните системи.  След като се разбра потребността от кибер сигурност стигнахме и до яснота, че защитата на данните е интегрална част от нея, а личните данни се оказаха в центъра на събитията. Това доведе до изместване на фокуса встрани от цялостния проблем със сигурността на информационните и комуникационни технологии. В следващите редове представям някои грешки при внедряване на соътветствие с GDPR.

Защитата на данните и кибер сигурността са двете страни на монетата!

Натрупаният опит по въвеждането на правилата на GDPR, обучение и консултантската дейност с различни компании, ни даде интересни примери за подходи от страна на фирмите.

Голяма част от компаниите разбират обхвата на проблема според тяхната корпоративна експертиза.

В следващите редове са изложени често срещани грешки, с които се сблъскваме редовно. Примерите не са ограничени само до проектите за внедряване на съответствие с GDPR, а са свързани с продължителното поддържане на съответствието с него във времето.

Според нашия опит малка част от компаниите първоначално разбират обхвата на проблема. Обикновено той се разглежда като скъп ангажимент за спазване на правилата, който може да бъде сведен до инициализиране на съответствие с изискванията по документи, решен с инструменти за сигурност на ИТ, базиран на изпълнени вече стандарти за информационна сигурност или решен условно с интерпретиране на изискванията по подразбиране. За изясняване на последното разбиране може да послужи следния

Пропуска се целта на регламента – примери за внедряване на съответствие с GDPR

  1. След като по закон даден комплект от лични данни е задължителен, институцията или компанията решава, че няма защо да се обяснява на субектите на данни каквото и да е.

Коментар по тази политика: на този етап в масовия случай субектите на данни не са наясно с правата си, но какво ще стане, когато започнат да ги практикуват? Да искат информация за какво се обработват данните им и на кои трети страни са предавани, пожелаят да си коригират данните или данните ми биват прехвърлени в друга институция или компания?

Вижда се, че подобна политика изключва комуникацията със субекта на данните и се бламира целта на GDPR, според която субектът на данните трябва да може да си ги управлява.

2. По повод на ограничения подход с прилагане на софтуерни инструменти за сигурност лесно се вижда , че обхватът е подценен и усилията са недостатъчни. Проблемът е, че GDPR се използва като средство за продажба на често неподходящи или дори ирелевантни решения.

Често срещани типични грешки при възприемането на GDPR в компаниите

GDPR е създаден за да пази компаниите от проверки. Наблюдаваме още много грешки, но най-интересни флуктуации има тази. GDPR защитава личните данни. GDPR дава на компаниите за онлайн маркетинг възможност да изпълняват законно бизнеса си… Защо е създаден GDPR си е написано  текста му!

GDPR гарантира правота на всеки от нас да управлява личните си данни, като се спазват законите и се осигури непрекъснатостта на бизнеса. 

GDPR е пречка. Точно колкото правилника за движение по пътищата е пречка за шофьорите. Тази визия води до провеждане на кампанийно мероприятие, с козметични резултати. Неглижират се реалните организационни и технически мерки. Компаниите, които са се подготвили сериозно, с вникване и акумулиране на корпоративна експертиза бързо разбират, дали тези, на които предават данните, спазват GDPR или само го казват. Можем ли да познаем при проверка или инцидент с изтичане на данни о веригата за доставки, коя компания ще бъде в благоприятна позиция? Минимизирането на данните е елемент от по-широкия процес саниране на данните, което ги прави по-ценни. Третирането на GDPR като еднократна мярка за съответствие ще остави простор за развихряне на динамиката на рисковете за сигурността на личните данни. Наличието на документация, която е попълнена и стои в папка, едва ли ще заинтересува криминалния контингент, които търгува с данни в даркнет (darknet), а изтичанията на данни понякога се установяват месеци и години след като са станали.

GDPR се отнася до отметка в полето за съответствие на сайта или в декларация за съгласие. Това е непрекъснат процес, обхващащ организационни и технически мерки, от който зависи състоянието на бизнеса. Данните са актив, те имат цена, отчитат се в счетоводните документи, загубата им може да доведе до уронване на името, реномето и пазарните позиции на компанията. Промените и иновациите в компаниите налагат адекватни организационни и технически решения за спазване на GDPR. Постоянно излизат делегирани документи, които са свързани с GDPR, а предстоят и нови директиви и регламенти по темата защита на данните и кибер сигурност.

Направили сме си всичко сами и вече изпълняваме закона GDPR.  Страничният наблюдател винаги гледа по нов начин. Обемът от умения и компетенции, който е необходим за инициализиране на мерките и  спазване на GDPR във времето варира от управление на регулаторния риск до информационния риск, ИТ, информационната сигурност и анализ на бизнес процесите. С навлизане в дълбочина DPO откриват, че има разлика между данни и информация и трябва да се познава природата и жизнения цикъл на личните данни, необходима е техническа експертиза от областта на мрежовата сигурност и широк спектър защити на обкръжението от ИТ и комуникации. Тези, които са решили да го направят сами, в случай че се отнесат задълбочено, често разбират сложността, започват да изпитват затруднения и да търсят външна помощ. Задълбочаването в някоя от споменатите области пък редовно води до липса на визия за по-голямата картина.

Началото на пътя или как да се избегнат грешките при внедряване на съответствие с GDPR

Задълбоченото познаване на терминологията, принципите и изискванията на GDPR дава възможност да се изпълняват законосъобразно изискванията му. Голяма част от въпросите от страна на служителите в компаниите стават релевантни към духа и буквата на този закон едва след като са преминали първоначалното обучение GDPR01.

Текстовете на GDPR вменяват непрекъснато обучение на служителите. Устойчивостта на компаниите срещу атаки в голяма степен зависи от бдителността и рефлексите на служителите, които са подложени на софистични атаки от злонамерени актьори.  Текучеството и инерцията, рутината в работата, забравянето, водят до необходимост от редовно опресняване на тренинга и формата. Внедряване на съответствие с GDPR започва с одити на текущото състояние,  изпълнени със собствени сили или външни доставчици на подобни услуги.

За да протече внедряване на съответствие с GDPR на базата на пълноценен контакт с изпълнителя на одита и следващите стъпки е необходимо разбиране на терминологията, принципите и философията на регламента.

Внедряване на соътветствие с GDPR може де изпълни без корпоративен стрес и накъсване на бизнес процесите когато е предшествано от създаване на експертиза в ключовите служители и обработващите лични данни. Това условие е необходимо и за генериране на правилно задание с изисквания към одитиращите.