Kuidas GDPRiks valmistuda?

Loendus on alanud! Andmekaitset käsitlevat üldmäärust ehk GDPR hakatakse ELis kohaldama 25. mail 2018, mis tähendab, et ettevõtetel pole selle saavutamiseks isegi terve aasta aega. Paljude organisatsioonide jaoks on see massiivne ülesanne, kuna ühelt poolt peavad nad oma praeguseid protsesse ja tehnikaid muutma, et need vastaksid uutele eeskirjadele, ja viimased peavad lisaks sellele tegema midagi täiendavat, et tulla toime uue seadusega kaasnevate väljakutsetega. esile tooma.

Kui teie ettevõte teeb koostööd Euroopaga või tegeleb eriti ELi kodanike isikuandmetega, on nüüd aeg hakata mõtlema, kuidas selle eelseisva olukorraga toime tulla. Ei, selle postituse eesmärk ei ole teid hirmutada, vaid mitte unustada, et karistused selle seaduse rikkumise eest võivad olla väga karmid. See võib teile maksta isegi 4% teie rahvusvahelisest aastakäibest.

GDPR-i ettevalmistamine peaks eeldatavasti olema funktsioonidevaheline tegevus, kuna kõigil on oma roll nii juriidilisel, IT kui ka järelevalves. Muidugi on kõige keerulisem läbida kõik 99 artiklit ja 173 põhjendust ning mõista neid (kuna sisu on puhtalt põhiseaduspärane ja sõnastatud, ei saa teie lugemisoskus palju kasu tuua). Jah, me teame, et see on tohutu, kuid tänu ICO 12-astmelisele plaanile saavad ettevõtted nüüd hõlpsasti viisardiks valmistuda.

Miks on GDPR oluline?

Me elame maailmas, kus meilt oodatakse mingisuguse veebitehingu osana aeg-ajalt isiklikke andmeid. Ükskõik, kas broneerite lennu Internetis või võtate ühendust oma sotsiaalsete tuttavatega, pääsete oma kontole juurde või ostate isegi kõige väiksemaid asju (jah, isegi kui ostate soki paari veebist, peate saidile edastama oma e-posti aadressi), teil on oma isikuandmete üleandmiseks.

Olgu, me nõustume, et elame ühendatud maailmas ja sellise teabe jagamine on tänapäeval möödapääsmatu, kuid see ei tähenda tingimata, et me ei peaks oma privaatsuse pärast muretsema. GDPR on kavandatud selleks, et anda ELi asunikele selle mure üle rohkem selgust ja kontrolli.

See mitte ainult ei ühtlusta normatiivset keskkonda, vaid toob ka esiplaanile infoturbe, mis ilmselgelt ei muutu halvaks.

Eeldame, et kui te seda artiklit läbi vaatate, on see ainult sellepärast, et otsite lahendusi, abi ja juhiseid, mis aitavad teil planeerida ja jätkata. Ehkki ükski konkreetne programm ega teenusepakkuja ei suuda GDPR-i jaoks maagilist lahendust tagada, saame kindlasti aidata teil katta mõned peamised andmekaitsega seotud probleemid.

Alustusjuhend

GDPR-i järgimine pole lihtne asi. See on kõikehõlmav protsess, mis nõuab, et mõistaksite täpset piirkonda, kus isikuandmed tegelikult asuvad, omandatud või kontrollitavate isikuandmete rühmi ning seda, kelle poolt ja millise meetodi kohaselt sellele pöördutakse. Privaatsusele avalduva mõju hindamise teostamine on suurepärane idee. Lisaks sellele vajavad kontrolli omandamist, juhtumite tuvastamist, reageerimist, rikkumiste hoiatust ja palju muud vajalikku ka ülevaatamist ja harjutamist. 20 miljoni euro suuruse trahvi saamine ei tähenda midagi, mida ükski ettevõte soovib ümber pöörata. Selle suurusega karistus võib sõltuvalt teie ettevõtte suurusest kiiresti lõppeda.

Hea uudis on nõuetele vastavuse tõestamine, riski leevendamine ja erakorraliste turvameetmete kehtestamine - neid aspekte, mida uuritakse, kui teil ei õnnestu andmetega rikkuda. Kuid see, et te ei ole riffeeritud, on suurepärane, ja oleme kindlad, et tunnistate, nii et just selles osas tuleb teie päästmiseks kasutusele ohutusalane hoiak.

Kes vastutab?

GDPR-iga ettevalmistamine on kogu ettevõtte kohustus. See mõjutab osakondi mitmel erineval viisil.

Õigusosakond

Neist kõige olulisem on juriidiline osakond. Juriidilise meeskonna jaoks oleks ülioluline koondada oma tähelepanu kindlatele valdkondadele, selle asemel, et proovida kõigega hakkama saada. Varustusläbirääkimisi ja lepingute sõlmimist tuleb regulaarselt läbi viia, et tagada tarnijate nõusolek ja asjad sujuvad.

Rahandus

Viimased eeskirjad mõjutavad oluliselt ka raamatupidamis- ja finantsprotseduuride toimimist organisatsioonis. Sellest osakonnast võib üle minna tohutul hulgal konfidentsiaalseid andmeid ja kopsakad GDPR-i karistused kuulutatakse välja organisatsioonidele, kes seda samba valvata ei suuda.

Müük

Müügi- ja turundusosakond peaks olema kliendiandmete käsitlemisel esirinnas. See osakond peab oma turundusmeeskonna turvalisuse tagamiseks pöörduma klientide poole, kes on otsustanud korjata materjali, mis sisaldab selget ja ilmset teksti.

Inimressursid

Hiljutine GDPR parandab töötajate õigusi, võimaldades neil oma isikuandmete turvalisust suurendada. Seega peab kogu jaotus olema töötaja andmetega püsti.

Infotehnoloogia

See osakond loob aluse üldisele GDPR-i raamistikule. Sisetarkvara peab olema mugav juurde pääseda. Andmeturve on peamine ja seetõttu peab see sektor hoolikalt jälgima krüptimist ja andmete autentimist.

Kuidas kaitsta oma keskkonda?

· Andmete krüptimine

Selleks peate keskenduma andmetele nii puhkeasendis kui ka liikumisel. Andmete krüptimise abil ei pea te andmesubjekte enam rikkumise korral teavitama. Soovitame teil rääkida oma kanalipartneriga, et saada teada turul pakutavatest erinevatest lahendustest. Selle kohta lisateabe saamiseks ärge unustage vaadata artiklit 34.

· Haavatavuse haldussüsteem

Müüdud haavatavussüsteemi hoidmine on kohustuslik kogu keskkonnas, kuna see suurendab konfidentsiaalsust ja ausust. Vaadake artiklit 32, et saada üksikasjad.

· Tehke varukoopiaid

Andmete varundamine ja andmete taastamine on eduka ettevõtte juhtimisel olulised aspektid. See ei ole mitte ainult kaitseingel juhul, kui varjamatu lunaraha sissetungimise korral toimib, vaid pakub ka üldist kaitset ladustamishäirete, loodusõnnetuste, isegi süsteemi kohale voolanud teetassi eest (ettevaatusabinõud on siiski alati parem kui ravi, nii et see on hea idee, kui valite oma lemmikjoogi joomiseks diivanil, mis jääb sülearvutist miili kaugusele. Lisaks on oluline lisada oma loendisse ka avariitaaste haldamine, olenemata sellest, milliseid konkreetseid eeskirju teil vaja on.

· Kaitske oma veebirakendusi

Konfidentsiaalsuspõhine projekt peaks olema integreeritud struktuuri ja protsessidesse. Pidage meeles, et kui kogute isikuandmeid veebirakenduse kaudu ja kasutate endiselt selget teksti või HTML-i, olete juba tõsistes probleemides.

· Kohapeal rikkujaid tuvastada

Tuvastamine, et teid on rikutud 4 kuud pärast selle esmakordset ilmnemist, ei too teile mingil viisil kasu. Vaadake võimalusi, mis aitavad teil alguses ohustatud mandaati tuvastada, et saaksite kiiresti ülekuulamist ja taastamist teostada.

· Pliiatsitestid

Artikli 32 kohaselt peate omandama süsteemi ohutusmeetmete tõhususe rutiinseks kontrollimiseks, hindamiseks ja hindamiseks. Selleks võite valida selliste tööriistade nagu Metasploit Pro või palgata ka teie jaoks professionaalse meeskonna, kes neid katseid teeks.

· Püünised asetada

Ka petetehnoloogiate kasutamine on suurepärane idee. Nende tööriistade juurutamine võib aidata ründajaid tuvastada juba siis, kui nad hakkavad teie süsteemi uurima ja suunama teie olulistele isikuandmetele juurdepääsu protseduurideks.

· Pilvepõhised programmid

Üks viisidest, kuidas kinnitada oma nähtavust nii sanktsioneeritud kui ka sanktsioneerimata teenuste suhtes, on valida pilvepõhised programmid, mis mitte ainult ei toeta selliseid teenuseid, vaid kaitsevad ka neis sisalduvaid andmeid.

· Tehke kiiresti

Kui teate, et olete sattunud sissetungimise poole, võtke viivitamatult ühendust juhtumi reageerimise meeskonnaga, et piirata kahju ja kiirendada kontrolli.

Valmistumine muutusteks - viimane mõte

Praeguste tavade muudatuste tegemine võtab kindlasti aega, eriti suurte seadistuste ja organisatsioonide puhul. Olgu need suured või väikesed, on tõsiasi, et te ei saa seda seadust eirata ja te ei saa endale lubada seda GDPR-i valesti ajada. Lisaks ei puuduta see mitte ainult karistusi ja kopsakaid trahve, vaid ka teie kliendi isiklike andmete ja teabe turvamist.

Kas olete valmis väljakutse vastu võtma? Milliseid ettevalmistusi olete selle uue määruse jaoks teinud? Lisage oma tagasiside alla kommentaaride jaotisesse. Meile meeldiks kuulda!

autor Oleksandr Knyga, tarkvarainsener
abiga toimetaja & brändispetsialist Dima Dmytriienko