Klamka zapadła. Okres przejściowy dla wdrożenia rozporządzenia o ochronie danych osobowych (RODO) ostatecznie się skończył. Od dnia 25 maja 2018 r. wszystkie przedsiębiorstwa, które znajdują się na terenie Unii Europejskiej lub mają tu powiązania handlowe, muszą podporządkować się nowym regulacjom. Mimo to, wiele firm nie dostosowuje się do RODO, co może nieść ze sobą dotkliwe konsekwencje. O Rozporządzeniu i związanymi z nim zmianami, które firmy mogą wprowadzić mówi Sebastian Wąsik, Country Manager na Polskę w baramundi software AG.
Sensem i celem tej normy prawnej jest ochrona danych osobowych. Jest to cel naprawdę godny pochwały właśnie w czasach, w których dane osobowe są odsprzedawane dla zysku przez media społecznościowe oraz firmy dostarczające usługi związane z wyszukiwarkami internetowymi lub są wykradane z powodu zaniedbań w trakcie ataków cybernetycznych.
Jednak prawo obowiązuje każdego tak samo. Nie tylko duże koncerny podlegają karom za naruszenia – każde przedsiębiorstwo, każda organizacja i stowarzyszenie podlega RODO. Za łamanie przepisów przyjdzie słono zapłacić: Zaniedbania w sferze ochrony danych mogą kosztować do 20 milionów euro lub do 4% rocznego obrotu – zależnie od tego, która suma jest wyższa.
Warunki zgodności z RODO
Aby zachować zgodność z nowym rozporządzaniem należy przestrzegać kilku kwestii. Przede wszystkim przedsiębiorstwa muszą podjąć odpowiednie kroki, aby przechowywać dane z zachowaniem poufności. Wymusza to zastosowania dobrego szyfrowania, przy czym zarówno przechowywane dane, jak i te, które są przekazywane, muszą być zaszyfrowane i spseudonimizowane. Definicja właściwych kroków formułowana jest przez dane przedsiębiorstwo w dokumencie dotyczącym środków technicznych i organizacyjnych.
W tekście ustawy pojawia się termin „stan wiedzy technologicznej”, którego nie wyjaśniono. Ponieważ jednak stan ten nieustannie się zmienia, przedsiębiorstwa i organizacje są zobowiązane do ciągłego przeprowadzania aktualizacji. RODO uzupełniono o zapis mówiący o tym, że systemy IT, a zatem zarówno sprzęt i oprogramowanie oraz sieć, muszą działać stabilnie i niezawodnie. O ile w przeszłości było to zalecane w ramach usprawnienia działalności firmy, o tyle obecnie jest to wymóg prawny. Przyjęte środki bezpieczeństwa muszą być również stale sprawdzane pod kątem bezpieczeństwa i funkcjonalności. W efekcie prawdopodobieństwo nadużycia danych, jak również wynikające z niego możliwe szkody, muszą być dokumentowane.
Zarządzanie słabymi punktami
Na czym polega zarządzanie słabymi punktami? Jeśli podczas regularnych kontroli infrastruktury IT wykryte zostanie ryzyko, system zarządzania przeprowadza ocenę potencjalnych konsekwencji. W przypadku wykrycia wielu słabych punktów następuje ustalanie priorytetów, przede wszystkim które z nich powinny zostać opracowane w pierwszej kolejności. Ocenę udostępnia się w formie raportów i w ogólnym systemie typu dashboard, do których administratorzy mają stały dostęp. Uzyskana dzięki temu przejrzystość jest zasadniczym elementem uzyskania zgodności z RODO.
Źródła błędów oraz wynikające z nich niebezpieczeństwa mogą być przy tym wielopłaszczyznowe. Na przykład systemy operacyjne mogą działać niestabilnie lub posiadać słabe punkty, w związku z czym konieczna będzie aktualizacja. Aplikacje mają luki w bezpieczeństwie, wprowadzone hasła są zbyt słabe lub nieważne, a w konfiguracji systemowej serwerów występują niezgodności. Zarządzanie słabymi punktami pozwoli na wykrycie takich problemów. Oprócz często występujących słaby punktów w oprogramowaniu może ono również pomóc rozpoznać nieprawidłowo skonfigurowane systemy i przywrócić właściwą konfigurację. W przypadku wykrycia słabych punktów system zarządzania sięga do baz danych uznanych organizacji zajmujących się bezpieczeństwem, dzięki czemu jego analiza jest zawsze bardzo aktualna.
Gdy potrzebna jest szybka reakcja
Automatyzacja umożliwia szybkie zapobieganie niebezpieczeństwom. Jest to ważne dla obszaru IT przedsiębiorstwa z wielu powodów. Oprócz zmniejszenia okna czasowego na przeprowadzanie ataku ze strony cyber-przestępców, również wytyczne ustawodawcy wymagają szybkiej reakcji. Jeśli dane osobowe zostały skradzione lub zmanipulowane, należy w ciągu 72 godzin wysłać zawiadomienie do właściwych organów oraz do osoby, której sprawa dotyczy.
Automatyzacja się opłaca
Zastosowanie systemu zarządzania słabymi punktami jest wskazane również podczas uwzględniania strony finansowej. Stała ocena ryzyka jako ciągły proces wiąże wartościowe zasoby ludzkie, a eliminowanie słabych punktów związane jest ze wzmożonym wysiłkiem. Ponieważ rozwiązania w zarządzaniu słabymi punktami często można połączyć również z zarządzaniem punktami końcowymi, dla przedsiębiorstw i organizacji zbędna staje się kosztowna administracja ad hoc.
Dzięki temu wprowadzenie rozporządzenia o ochronie danych osobowych wniosło coś dobrego i zmotywowało przedsiębiorstwa do ugruntowania koncepcji bezpieczeństwa na nowej, stabilniejszej podstawie, jednocześnie pozwalając na dokonanie oszczędności.