Часы тикают: готов ли ваш бизнес к соблюдению GDPR?

Независимо от того, являетесь ли вы малым бизнесом, который продает индивидуальные футболки в Интернете, управляете стартап-сервисом с цифровым управлением, предлагающим консультации по SEO и цифровому маркетингу, или являетесь гигантом в индустрии облачных услуг — ваш мир вот-вот изменится из-за необходимости Соответствие GDPR.

Любой, кто занимается бизнесом или даже взаимодействует с людьми в Интернете в деловых или сетевых целях, должен хранить по крайней мере какие-то данные, относящиеся к его заинтересованным сторонам. Это может быть список клиентов и их домашних адресов для интернет-магазина, сведения о корпоративной сети и списки сотрудников компании для поставщика облачных услуг и информация о кредитных картах миллионов веб-пользователей для поставщика решений платежного шлюза. Данные — это сила, они дороги и священны. Кража данных и нарушения конфиденциальности — самые большие проблемы, которые не дают спать по ночам бизнес-лидерам и специалистам по кибербезопасности. Вот почему мир движется к структурированным правилам безопасности и конфиденциальности данных. Вершиной этого движения является GDPR (Общее положение о защите данных). Это набор правил, которые должны быть введены в действие в качестве юридически обязательных для Европейского Союза. GDPR — это свод правил и положений, касающихся законов о конфиденциальности данных, которые применимы ко всем членам Европейского Союза, а также к любому бизнесу или физическому лицу, которые обмениваются данными в электронном виде с гражданином ЕС. Приближается крайний срок для соблюдения GDPR: это 25 мая 2018 года. Если вы еще не придумали план соответствия GDPR, вам лучше начать. Как сейчас.

Соответствие GDPR: «Право на забвение»

«Право быть забытым» — это не какая-то научно-фантастическая история о расставании; это один из самых спорных принципов соблюдения GDPR. Это право дает любому гражданину ЕС право просить предприятия удалить его или ее личные данные из их баз данных. Это настоящий кошмар для бизнес-организаций.

Недавно проведенное Veritas исследование показало, как некоторые организации были обеспокоены тем, что у них не было возможности искать, идентифицировать и удалять личные данные любого человека из своих систем. Очистка или удаление чьих-либо личных данных создает серьезные проблемы для всех видов организаций. В большинстве баз данных такие записи ведутся в последовательном порядке и связаны с несколькими другими базами данных. Поддержание этих перекрестных ссылок является одним из ключевых факторов гигиены для баз данных. А восстановление одного блока из одной базы данных может сделать несколько узлов взаимосвязанных таблиц данных нестабильными. Однако недостатки, из-за которых компании не могут удалить информацию о пользователях по запросу, также означают, что они не соблюдают GDPR.

Большинство организаций ошибаются, когда речь заходит о принципах GDPR, касающихся ответственности за конфиденциальность и безопасность данных. В то время как большинство организаций считают, что их поставщики облачных услуг несут ответственность за обеспечение защиты данных, на самом деле именно «контролер данных» (то есть организация, которой принадлежат данные) должен обеспечивать это.

Вы понимаете нюансы «ответственности» в соответствии с GDPR?

Теперь есть эксперты по кибербезопасности и науке о данных, которые рекомендуют организациям рассматривать эти строгие меры как возможность. Компании, которые развивают культуру защиты данных, безопасные методы обмена данными и конфиденциальность информации, также смогут обеспечить полную защиту данных (как того требует GDPR).

Однако многие современные предприятия внедрили гибридные облачные модели с несколькими облачными платформами, поставщиками и моделями услуг, задействованными во всей экосистеме. Для таких организаций сейчас самое подходящее время убедиться, что все поставщики в достаточной мере соответствуют требованиям GDPR.

Оберегаете ли вы свои данные от бывших сотрудников?

Ключевое требование GDPR заключается в том, что организациям необходимо внедрить надежные методы, чтобы гарантировать, что бывшие сотрудники не смогут получить доступ к их системам. Это включает в себя блокировку их имен пользователей и учетных данных в приложениях, удаление их доступа к общим документам и дискам организации, а также обеспечение того, чтобы их выход был предметом тщательной документации и системных проверок. К сожалению, тот факт, что бывшие сотрудники и подрядчики могут получить доступ к своим системам даже после ухода из компании, может привести к тому, что тысячи компаний подвергнутся штрафным санкциям GDPR. Итак, убедитесь, что ваша организация начинает создавать методы для обеспечения неприкосновенности системы.

У вас ложное впечатление, что вы уже соответствуете GDPR?

Знаете ли вы, что может быть хуже, чем несоблюдение GDPR, когда правила становятся применимыми по закону? Это ложное впечатление уступчивости и отсутствия необходимых усилий из-за ложных убеждений.

В опросе Veritas, о котором мы говорили, группа респондентов (представители организаций) заявили, что их организации уже соответствуют GDPR. Однако на конкретные вопросы о правилах они дали ответы, противоречащие их убеждениям. На самом деле опрос показал, что только 2 процента опрошенных организаций фактически соответствуют требованиям GDPR.

Заметность инцидентов с потерей персональных данных среди предприятий на удивление низкая. Огромный процент из них не в состоянии обнаружить и сообщить об утечке данных в течение трех дней после такого события. Все это глубокие ловушки, с которыми любому предприятию будет трудно справиться, если оно попытается перейти на безопасную сторону GDPR.

Чтобы добиться большего успеха, убедитесь, что вы начали пользоваться консультационными услугами, которые могут объективно оценить реальную готовность вашего бизнеса к GDPR.

Предусмотрели ли вы в бюджете расходы, связанные с соблюдением GDPR?

Исследование Veritas показало, что компании прогнозируют инвестиции в среднем в размере 1,4 миллиона долларов США для повышения эффективности методов обеспечения безопасности в соответствии с требованиями GDPR. Сумма огромна для малого бизнеса; Неудивительно, что несколько малых предприятий опасаются за свое существование из-за несоблюдения GDPR. Однако вместо того, чтобы паниковать, вашей организации было бы лучше определить облачные решения, которые вы можете использовать, чтобы сделать данные вашей компании полностью безопасными и совместимыми с GDPR. Поскольку такие услуги можно приобрести в виде ежемесячных подписок, благодаря им малые предприятия могут использовать инфраструктуру качества, соответствующую GDPR.

Регуляторная реальность

Соблюдение GDPR станет регулятивной реальностью раньше, чем вы думаете, поэтому сейчас самое время подвести итоги и сделать все необходимое, чтобы уложиться в срок 25 мая.