Το τελευταίο διάστημα πολλά γράφονται και λέγονται για τον κανονισμό GDPR, ο οποίος έχει ήδη εγκριθεί από το 2016 και θα τεθεί σε ισχύ τον Μάιο του 2018. Ο κανονισμός αφορά στην επεξεργασία προσωπικών δεδομένων και επηρεάζει όλες τις επιχειρήσεις που -με τον έναν ή τον άλλον τρόπο- διαχειρίζονται προσωπικά δεδομένα πολιτών της Ε.Ε.
Παρά την επικείμενη προθεσμία και την υποχρέωση των επιχειρήσεων να ενδυναμώσουν τις πρακτικές τους για την προστασία δεδομένων που σχετίζονται με την αποθήκευση και την επεξεργασία προσωπικών δεδομένων, πρόσφατες ανεξάρτητες μελέτες δείχνουν ότι η πλειονότητα των επιχειρήσεων είναι ανέτοιμες.
Από τα παραπάνω είναι προφανές ότι η ευκαιρία που παρουσιάζεται για το κανάλι των συνεργατών είναι μεγάλη και οφείλει να την αξιοποιήσει. Εκτός από τον βασικό σύμβουλο σε υφιστάμενους και δυνητικούς πελάτες, ο GDPR αποτελεί επίσης και ευκαιρία ανάπτυξης σε νέες αγορές και σύναψη επωφελών συνεργασιών.
Χρειάστηκαν κάποια χρόνια προετοιμασίας και διαβουλεύσεων μέχρις ότου ο GDPR τελικά να εγκριθεί από το Ευρωπαϊκό Κοινοβούλιο στις 14 Απριλίου 2016. Ο κανονισμός αυτός ουσιαστικά αντικαθιστά τον ξεπερασμένο Data Protection Directive 95/46/EC (σε ισχύ από το 1995). Στόχος του είναι να εναρμονίσει τους νόμους περί προστασίας δεδομένων σε όλα τα κράτη-μέλη της Ε.Ε., να προστατεύσει και να ενισχύσει το απόρρητο των δεδομένων των Ευρωπαίων πολιτών, αναπροσαρμόζοντας τον τρόπο με τον οποίο οι επιχειρήσεις σε όλη την ήπειρο προσεγγίζουν το απόρρητο των δεδομένων αυτών. Συν τοις άλλοις, ο GDPR ρυθμίζει την εξαγωγή προσωπικών δεδομένων εκτός Ε.Ε.
Οι προβλέψεις είναι συγκεκριμένες και για τα 28 μέλη της Ε.Ε., το οποίο σημαίνει πως οι επιχειρήσεις θα πρέπει να ανταποκριθούν σε ένα και μόνο πρότυπο. Έτσι, οι επιχειρήσεις θα αναγκαστούν να προβούν σε σημαντικές επενδύσεις προκειμένου να ανταποκριθούν.
Σε συνέχεια των παραπάνω, σύμφωνα με την εταιρεία ερευνών Ovum, τα δύο-τρίτα των επιχειρήσεων με έδρα τις ΗΠΑ πιστεύουν πως ο GDPR θα τις κάνει να επαναπροσδιορίσουν τη στρατηγική τους στην Ευρώπη. Ακόμα περισσότερες (το 85% περίπου) πιστεύει πως ο GDPR θα αποτελέσει ανταγωνιστικό μειονέκτημα σε σχέση με τις ευρωπαϊκές επιχειρήσεις.
Ας δούμε όμως αναλυτικότερα τι πρέπει να γνωρίζει το κανάλι συνεργατών για τον GDPR και τον αντίκτυπο που θα έχει στις επιχειρήσεις.
Ποια η διαφορά μεταξύ κανονισμού και οδηγίας;
Ένας κανονισμός είναι μια δεσμευτική νομοθετική πράξη. Θα πρέπει να εφαρμοστεί στην ολότητά του σε όλη την Ε.Ε., ενώ μια οδηγία είναι μια νομοθετική πράξη που θέτει έναν στόχο, το οποίο θα πρέπει να επιτύχουν όλες οι ευρωπαϊκές χώρες. Εντούτοις, εναπόκειται στις μεμονωμένες χώρες να αποφασίσουν το πώς. Είναι σημαντικό να σημειώσουμε πως ο GDPR είναι κανονισμός, σε αντίθεση με την προηγηθείσα νομοθεσία που ήταν οδηγία.
Ποιες επιχειρήσεις επηρεάζει ο GDPR;
Όλες οι επιχειρήσεις που αποθηκεύουν ή επεξεργάζονται προσωπικές πληροφορίες σχετικά με τους πολίτες της Ε.Ε. εντός των κρατών της Ε.Ε. θα πρέπει να συμμορφωθούν με τον GDPR, ακόμα και εάν δεν έχουν παρουσία εντός της επικράτειάς της. Η συμμόρφωση αυτή περιλαμβάνει συγκεκριμένα κριτήρια, τα οποία είναι τα εξής:
- Παρουσία σε μια χώρα της Ε.Ε
- Καμία παρουσία εντός της Ε.Ε., αλλά επεξεργασία προσωπικών δεδομένων Ευρωπαίων πολιτών
- Περισσότεροι από 250 εργαζόμενοι
- Λιγότεροι από 250 εργαζόμενοι, αλλά η επεξεργασία δεδομένων έχει αντίκτυπο στα δικαιώματα και στις ελευθερίες των υποκειμένων, δεν είναι περιστασιακή ή περιλαμβάνει συγκεκριμένους τύπους ευαίσθητων προσωπικών δεδομένων. Ουσιαστικά περιλαμβάνονται όλες οι επιχειρήσεις
Πότε θα πρέπει να συμμορφωθούν οι επιχειρήσεις;
Ο κανονισμός θα τεθεί σε ισχύ στις 25 Μαΐου 2018, οπότε οι επιχειρήσεις πρέπει να έχουν συμμορφωθεί ως τότε.
Ποιος είναι ο υπεύθυνος εντός της επιχείρησης για τη συμμόρφωση;
Ο GDPR καθορίζει συγκεκριμένους ρόλους προκειμένου να διασφαλίσει τη συμμόρφωση: τον data controller, τον data processor και τον data protection officer (DPO). Ο πρώτος καθορίζει πώς θα επεξεργαστούν τα προσωπικά δεδομένα, και τους σκοπούς για τους οποίους θα γίνει αυτό. Ο controller είναι επιπλέον υπεύθυνος για να διασφαλίσει τη συμμόρφωση των εξωτερικών αναδόχων.
Ο data processor μπορεί να είναι κάποιο άτομο ή ομάδες εντός της επιχείρησης που συντηρούν και επεξεργάζονται προσωπικά δεδομένα ή κάποια άλλη ανεξάρτητη επιχείρηση που διαχειρίζεται το σύνολο ή τμήμα των δραστηριοτήτων αυτών. Είναι σημαντικό να σημειώσουμε ότι ο GDPR θεωρεί νομικά υπεύθυνο τον processor για οποιοδήποτε ζήτημα μη συμμόρφωσης.
Ο GDPR απαιτεί από τον controller και τον processor να ορίσουν έναν DPO που θα επιβλέπει τη στρατηγική ασφάλειας δεδομένων και τη συμμόρφωση. Οι επιχειρήσεις είναι υποχρεωμένες να διαθέτουν έναν DPO εφόσον διαχειρίζονται ή αποθηκεύουν μεγάλες ποσότητες δεδομένων των πολιτών της Ε.Ε., ελέγχουν τακτικά τα υποκείμενα των δεδομένων ή είναι κάποια δημόσια αρχή. Κάποιες αρχές όπως εκείνες που έχουν σχέση με την ασφάλεια και την επιβολή του νόμου, εξαιρούνται από την απαίτηση για DPO.
Τι συμβαίνει σε περίπτωση μη συμμόρφωσης;
Τα πρόστιμα στην περίπτωση αυτή είναι σοβαρά και αγγίζουν τα 20 εκατομμύρια δολάρια ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών (όποιο από τα δύο είναι μεγαλύτερο). Πρόκειται για το μέγιστο πρόστιμο που μπορεί να επιβληθεί στις πλέον σοβαρές περιπτώσεις παραβιάσεων, για παράδειγμα, εφόσον μια επιχείρηση δεν έχει επαρκή συναίνεση του πελάτη για την επεξεργασία των δεδομένων του. Επιπροσθέτως, τα πρόστιμα είναι κλιμακωτά: Για παράδειγμα, 2% σε μια επιχείρηση που δεν έχει τακτοποιημένα τα αρχεία της (άρθρο 28), που δεν έχει ειδοποιήσει την εποπτεύουσα αρχή και το υποκείμενο των δεδομένων σχετικά με παραβίαση ή για μη διενέργεια αξιολόγησης αντικτύπου. Είναι σημαντικό να γνωρίζουν οι συνεργάτες πως οι κανόνες αυτοί αφορούν τόσο τους controllers όσο και τους processors, το οποίο σημαίνει πως και το cloud δεν θα εξαιρείται από την επιβολή του GDPR. Υπενθυμίζουμε ότι ο data processor μπορεί να είναι μια τρίτη επιχείρηση η οποία θα αναλάβει τη διαχείριση των προσωπικών δεδομένων για λογαριασμό άλλων εταιρειών.
Σύμφωνα τώρα με έρευνα της Ovum, το 52% των επιχειρήσεων πιστεύουν πως θα τιμωρηθούν για μη συμμόρφωση. Οι προβλέψεις λένε πως η Ε.Ε. θα συλλέξει περί τα 6 δις σε ποινές και πρόστιμα μέσα στο πρώτο έτος! Ένα ερώτημα που πρέπει να απαντηθεί είναι πώς θα γίνεται εκτίμηση των ποινών. Ας πούμε, πώς θα διαφοροποιούνται τα πρόστιμα για μια παραβίαση που έχει ελάχιστη επίδραση σε άτομα, σε σύγκριση με κάποια που όντως προκαλεί πραγματική βλάβη. Η εκτίμηση είναι πως η αρχή θα κινηθεί άμεσα ενάντια σε κάποιες λίγες επιχειρήσεις που θα βρεθούν ελλιπείς νωρίς, για να στείλει μήνυμα. Στη συνέχεια, οι επιχειρήσεις θα έχουν πλέον επίγνωση σχετικά με το τι να περιμένουν στην περίπτωση που δεν συμμορφωθούν.
Τι είδους δεδομένα προστατεύει ο GDPR;
- Βασικές πληροφορίες ταυτότητας, όπως το όνομα, η διεύθυνση και ο αριθμός αστυνομικής ταυτότητας
- Web δεδομένα όπως η τοποθεσία, η διεύθυνση IP, τα δεδομένα των cookies και τα RFID tags
- Γενετικά και δεδομένα υγείας
- Βιομετρικά δεδομένα
- Φυλετικά ή εθνικά δεδομένα
- Πολιτικές απόψεις
- Σεξουαλικός προσανατολισμός
Ποιες απαιτήσεις του GPDR θα επηρεάσουν την επιχείρησή σας;
Ο GPDR θα αναγκάσει τις επιχειρήσεις να αλλάξουν τον τρόπο με τον οποίο επεξεργάζονται, αποθηκεύουν και προστατεύουν τα προσωπικά δεδομένα των πελατών τους. Για παράδειγμα, θα επιτρέπεται να αποθηκεύουν και να επεξεργάζονται προσωπικά δεδομένα μόνο με τη συναίνεση των ατόμων και όχι περισσότερο από όσο είναι απαραίτητο για τους σκοπούς τους οποίους επεξεργάζονται τα δεδομένα αυτά. Τα προσωπικά δεδομένα θα πρέπει να μπορούν να μεταφερθούν από μια επιχείρηση στην άλλη, ενώ οι επιχειρήσεις θα πρέπει να τα διαγράφουν άμεσα μόλις τους ζητηθεί.
Το τελευταίο είναι εξάλλου γνωστό και ως “δικαίωμα στη λήθη” ή Data Erasure. Οι συνθήκες της διαγραφής, όπως ξεκαθαρίζονται στο άρθρο 17, περιλαμβάνουν δεδομένα που πλέον δεν είναι σχετικά με τις αρχικές τους προθέσεις για επεξεργασία ή την απόσυρση συναίνεσης των υποκειμένων των δεδομένων. Να σημειωθεί πως σε αυτές τις περιπτώσεις, απαιτείται από τους controllers να συγκρίνουν τα δικαιώματα των υποκειμένων με το δημόσιο συμφέρον όσον αφορά τη διαθεσιμότητα των δεδομένων αυτών, κατά την εξέταση των απαιτήσεων.
Ας δούμε όμως τις απαιτήσεις που θα επηρεάσουν άμεσα τις ομάδες ασφαλείας. Πρώτον, οι επιχειρήσεις θα πρέπει να είναι ικανές να προσφέρουν ένα “λογικό” επίπεδο προστασίας δεδομένων και απορρήτου στους Ευρωπαίους πολίτες. Το τι ακριβώς εννοεί με το “λογικό” ο GDPR, δεν είναι επακριβώς καθορισμένο. Πρόκληση εξάλλου αποτελεί και το γεγονός πως οι επιχειρήσεις θα πρέπει να αναφέρουν και τα όποια κενά ασφαλείας στις επιβλέπουσες αρχές και στα άτομα που επηρεάζονται από το πρόβλημα, εντός 72 ωρών από την ανίχνευση επίθεσης. Μια ακόμα απαίτηση είναι η διενέργεια των λεγόμενων εκτιμήσεων αντικτύπου (impact assessments), οι οποίες θα βοηθήσουν στον περιορισμό του ρίσκου των κενών ασφαλείας, μέσω της αναγνώρισης των αδυναμιών και του τρόπου αντιμετώπισής τους.
Τι συμβαίνει με τα υποκείμενα των δεδομένων κάτω των 16 ετών;
Απαιτείται η γονική συναίνεση για την επεξεργασία των προσωπικών δεδομένων των παιδιών κάτω από 16 ετών για τις online υπηρεσίες. Τα κράτη-μέλη θα έχουν τη δυνατότητα να νομοθετήσουν για ακόμα μικρότερη ηλικία συναίνεσης, αλλά αυτή δεν μπορεί να είναι κάτω από την ηλικία των 13 ετών.
Πότε μια επιχείρηση θα είναι έτοιμη;
Προτεραιότητες
Καταρχάς, θα πρέπει να τεθούν κάποιες προτεραιότητες άμεσα, οι οποίες θα ξεκινούν από την κορυφή. Η εταιρεία διαχείρισης κινδύνου Marsh επισημαίνει την προσοχή που πρέπει να δώσουν οι executives στην ορθή προετοιμασία. Η συμμόρφωση με τα καθορισμένα πρότυπα αποτελεί μέρος της προετοιμασίας.
Συμμετοχή των ενδιαφερομένων μερών
Από μόνο του τμήμα ΙΤ δεν είναι απαραίτητα προετοιμασμένο για να ανταποκριθεί στις απαιτήσεις του GDPR. Μια συμβουλή προς τις επιχειρήσεις είναι να συστήσουν μια ομάδα εργασίας που θα περιλαμβάνει το marketing, το finance, τις πωλήσεις και γενικά όποια ομάδα εντός της επιχείρησης θα συλλέξει, θα αναλύσει και γενικά θα χρησιμοποιήσει τα στοιχεία προσωπικής ταυτοποίησης των πελατών (Personally identifiable information, PII). Έχοντας διαρκή παρουσία εντός της ομάδας του GPDR, θα μπορούν να μοιραστούν πληροφορίες που θα είναι χρήσιμες σε εκείνους που θα εφαρμόσουν τις απαραίτητες τεχνικές και διαδικαστικές αλλαγές. Ταυτόχρονα, θα είναι ακόμα καλύτερα προετοιμασμένες για να αντεπεξέλθουν σε όποια ζητήματα προκύψουν εντός των ομάδων τους.
Πρόσληψη ή ορισμός ενός DPO
Ο GDPR δεν αναφέρει κατά πόσον η θέση του DPO πρέπει να είναι ξεχωριστή, οπότε πιθανότατα η επιχείρηση θα πρέπει να ορίσει κάποιον που διαθέτει παρεμφερή ρόλο για τη θέση αυτή, αρκεί βέβαια το άτομο αυτό να μπορεί να διασφαλίσει την προστασία των στοιχείων προσωπικής ταυτοποίησης χωρίς να προκύψει σύγκρουση συμφερόντων. Σε διαφορετική περίπτωση, η επιχείρηση πιθανώς να πρέπει να προσλάβει κάποιον DPO. Ανάλογα με την επιχείρηση, είναι πιθανό η θέση αυτή να χρειαστεί να είναι μόνιμη, οπότε υπάρχει ακόμα και η δυνατότητα πρόσληψης ενός «εικονικού DPO». Οι κανόνες του GDPR επιτρέπουν σε έναν DPO να εργάζεται για πολλαπλές επιχειρήσεις, οπότε ο «εικονικός DPO» θα μπορεί να είναι όπως ένας σύμβουλος που εργάζεται όποτε τον χρειαστείτε.
Δημιουργία σχεδίου προστασίας δεδομένων
Οι περισσότερες επιχειρήσεις διαθέτουν ήδη ένα έτοιμο πλάνο, αν και θα χρειαστεί να το αναθεωρήσουν ή να το ενημερώσουν προκειμένου να εξασφαλίσουν πως ευθυγραμμίζεται με τις απαιτήσεις του GPDR.
Διεξαγωγή εκτίμησης κινδύνου
Η επιχείρηση θα πρέπει να γνωρίζει επακριβώς ποια δεδομένα Ευρωπαίων πολιτών αποθηκεύει και επεξεργάζεται, κατανοώντας τους κινδύνους που σχετίζονται με αυτά. Θυμηθείτε πως η εκτίμηση κινδύνου θα πρέπει επίσης να περιγράφει λεπτομερώς τα μέτρα που έχουν ληφθεί προκειμένου να περιοριστεί ο κίνδυνος.
Υλοποίηση μέτρων για τον περιορισμό του κινδύνου
Αφότου η επιχείρηση έχει αναγνωρίσει τους κινδύνους και το πώς να τους μετριάσει, θα πρέπει να ξεκινήσει την υλοποίηση των μέτρων. Για τις περισσότερες επιχειρήσεις, αυτό συνεπάγεται την αναθεώρηση των υπαρχόντων μέτρων περιορισμού ρίσκου. Κάποια από τα πρακτικά μέτρα που μπορεί να λάβουν είναι τα εξής:
- Έλεγχος πρόσβασης στα δεδομένα της επιχείρησης, ώστε οι υπεύθυνοι να γνωρίζουν ποιος έχει πρόσβαση, αποτρέποντας κάποια παραβίαση
- Διασφάλιση πως τα προνόμια admin έχουν δοθεί σε επιλεγμένα άτομα, ώστε να περιοριστεί ο κίνδυνος ανεξέλεγκτης πρόσβασης στο δίκτυο
- Έλεγχος πρόσβασης στα δεδομένα, βάσει του χρήστη, της συσκευής και του δικτύου από το οποίο προέρχεται το αίτημα
- Διασφάλιση ανάκτησης και διαγραφής δεδομένων από όλες τις συσκευές με πρόσβαση στα προσωπικά δεδομένα, ιδιαίτερα σε περιπτώσεις απώλειας ή κλοπής
Αναζητώντας βοήθεια
Εφόσον η επιχείρηση ανήκει στις μικρομεσαίες, πιθανώς να χρειαστεί κάποια βοήθεια. Θυμηθείτε πως και οι μικρές επιχειρήσεις θα επηρεαστούν από τον GDPR, κάποιες περισσότερο από άλλες, και πιθανώς να μη διαθέτουν τους απαραίτητους πόρους για να ανταποκριθούν στις απαιτήσεις. Στην περίπτωση αυτή, υπάρχουν διαθέσιμες εξωτερικές πηγές για να προσφέρουν συμβουλές αλλά και τεχνικές γνώσεις, προκειμένου να βοηθήσουν στην επεξεργασία και στον περιορισμό του αναπόφευκτου disruption. Είναι προφανές πως αναφερόμαστε στο κανάλι συνεργατών που καλείται σε αυτή την καμπή να παίξει σημαντικό ρόλο, προσφέροντας την πολύτιμη συνδρομή του στους πελάτες του.
Έλεγχος σχεδίων αντιμετώπισης περιστατικών
Ο GDPR απαιτεί από τις επιχειρήσεις να αναφέρουν τις παραβιάσεις εντός 72 ωρών. Το πόσο καλά οι ομάδες αντιμετώπισης θα προλάβουν ή θα καλύψουν τις όποιες ζημιές προκύψουν, θα επηρεάσει τον όποιο κίνδυνο προστίμων που θα υποχρεωθεί να πληρώσει η επιχείρηση για την παραβίαση. Αυτό σημαίνει, επίσης, πως θα πρέπει να μπορεί να δώσει αναφορά και να ανταποκριθεί εντός του συγκεκριμένου χρονικού διαστήματος.
Διεργασία για συνεχή έλεγχο
Η επιχείρηση θα πρέπει να διασφαλίσει πως παραμένει σε διαρκή εγρήγορση όσον αφορά τη συμμόρφωση και αυτό διασφαλίζεται μέσω συνεχούς ελέγχου και βελτίωσης.
Η ευκαιρία για το κανάλι
Η αλήθεια είναι πως ο κανονισμός GDPR είναι ένα σύνθετο θέμα, τόσο τεχνολογικής όσο και νομικής φύσης, με αποτέλεσμα να πρέπει να εμπλέξει τα αντίστοιχα τμήματα των επιχειρήσεων. Από μόνο του αυτό το γεγονός καθιστά τη συμβουλευτική παρουσία του καναλιού συνεργατών εξαιρετικά σημαντική, ώστε να διασφαλίσει πως οι πελάτες του θα συμμορφωθούν πλήρως και με απόλυτη ασφάλεια στον νέο κανονισμό.
Για να γίνει όμως αυτό, και με τον απολύτως ενδεδειγμένο τρόπο, ο συνεργάτης οφείλει να είναι σωστά ενημερωμένος και στη συνέχεια να καθοδηγήσει και τους πελάτες του κατάλληλα. Συγκεκριμένα, θα πρέπει να εξηγήσει στους πελάτες τις τι λύσεις που θα πρέπει να ενσωματώσουν, αλλά και το κατά πόσον θα πρέπει να προσλάβουν νέο προσωπικό που θα ασχολείται με την επεξεργασία των προσωπικών δεδομένων. Όπως δείξαμε ήδη προηγουμένως, θα πρέπει να συμβουλέψει την επιχείρηση για τον εάν τη συγκεκριμένη ευθύνη θα επωμιστεί κάποιος υφιστάμενος συνεργάτης/σύμβουλος. Θυμίζουμε πάντως πως ο κανονισμός αναφέρει ρητά την αναγκαιότητα ύπαρξης εξειδικευμένου προσωπικού για το σκοπό αυτόν.
Βασικό βήμα για το κανάλι είναι να βοηθήσει τους πελάτες του να διαπιστώσουν τον βαθμό ετοιμότητάς τους, με την αρωγή εξειδικευμένων cloud εργαλείων ή ερωτηματολογίων. Απλά οι συνεργάτες θα πρέπει να τα ανακαλύψουν και να τα αξιοποιήσουν κατάλληλα, προσφέροντας στον πελάτη εξαρχής μια «συναισθηματική» ασφάλεια, η οποία θα μετουσιωθεί σε πράξη με τις κατάλληλες συμβουλές και λύσεις.
Το συμπέρασμα; Η ευκαιρία και οι προοπτικές είναι εδώ. Μην τις αφήσετε να πάνε χαμένες. Εδραιώστε την παρουσία σας με ισχυρές συνεργασίες -νέες μα και ήδη υπάρχουσες- που θα φέρουν με τη σειρά τους νέες ευκαιρίες για το μέλλον!
Αν και θα περίμενε κάποιος το αντίθετο, τα στοιχεία δεν είναι και τόσο ενθαρρυντικά στο θέμα αυτό. Συγκεκριμένα, η Kaspersky Lab κυκλοφόρησε μια αναφορά που εξετάζει το πώς αντιμετωπίζουν τα περισσότερα τμήματα των επιχειρήσεων το GPDR, και τα αποτελέσματα είναι ενδιαφέροντα.
Σύμφωνα με την έρευνα, το 67% των ερωτηθέντων ανησυχούν πως τα προσωπικά τους δεδομένα θα πέσουν στα χέρια hackers ή θα παραβιαστούν, με ένα επιπλέον 55% των ερωτηθέντων να δηλώνουν πως τα προσωπικά τους δεδομένα θα τύχουν ασφαλούς μεταχείρισης. Ένα ακόμα ενδιαφέρον στοιχείο είναι πως μόλις το 50% των επιχειρήσεων πιστεύει πως είναι προετοιμασμένο για τον GPDR, ενώ το υπόλοιπο μισό δηλώνει απροετοίμαστο. Πρόκειται για ανησυχητικό νούμερο, δεδομένου πόσο σημαντικό είναι το θέμα.
Σε κάθε περίπτωση, πάντως, και παρ’ όλα τα απαισιόδοξα στοιχεία, είναι αρκετοί εκείνοι οι decision makers του IT που πιστεύουν πώς πρόκειται για κάτι θετικό – ευκαιρία για μια πραγματική αλλαγή εντός της επιχείρησης. Αυτό αντικατοπτρίζεται και στην έρευνα, με το 63% των ερωτηθέντων να ισχυρίζονται πως ο νέος κανονισμός θα τους επιτρέψει να δημιουργήσουν ακόμα καλύτερους κανόνες εντός των επιχειρήσεων.
Με τον GDPR να τίθεται σε ισχύ στις 25 Μαΐου 2018, η Trend Micro Incorporated σε μια σχετική της έρευνα διαπίστωσε πως οι executives δεν προσεγγίζουν τον κανονισμό με τη σοβαρότητα που του αρμόζει, με αποτέλεσμα να υπάρχει μια υπερβολική εμπιστοσύνη όσον αφορά τη συμμόρφωση.
Συγκεκριμένα, διαφαίνεται μεταξύ των executives ευρεία επίγνωση των αρχών του GPDR, με το 95% να γνωρίζουν πως πρέπει να συμμορφωθούν με τον κανονισμό και το 85% να έχει διαβάσει τις απαιτήσεις του. Επιπρόσθετα, το 79% των επιχειρήσεων που ρωτήθηκαν είναι σίγουρες πως τα δεδομένα τους είναι όσο το δυνατόν πιο ασφαλή.
Βέβαια, παρ’ όλη την επίγνωση, διακρίνεται κάποια σύγχυση σχετικά με το πώς θα προστατευτούν οι Personally Identifiable Information (PII). Από τους ερωτηθέντες, το 64% δεν γνώριζε πως η ημερομηνία γέννησης του πελάτη ανήκει στις PII. Επιπρόσθετα, το 42% δεν θεωρεί τις βάσεις δεδομένων email marketing ως PII, το 32% δεν θεωρεί τις φυσικές διευθύνσεις ως PII και το 21% δεν το θεωρεί για τις email διευθύνσεις. Τα αποτελέσματα καταδεικνύουν πως οι επιχειρήσεις δεν είναι τόσο ασφαλείς ή προετοιμασμένες, όπως πιστεύουν οι ίδιες.
Σύμφωνα με την ίδια έρευνα, ένα 66% όσων ανταποκρίθηκαν δεν φάνηκε να έχουν υπόψη τους το μέγεθος του προστίμου, ενώ μόλις το 33% γνωρίζει πως υπάρχει περίπτωση να θυσιαστεί το 4% επί του συνολικού κύκλου εργασιών τους. Μάλιστα, το 66% των επιχειρήσεων δήλωσε πως η εμπιστοσύνη στη φήμη της επιχείρησης είναι το πρώτο που διαρρηγνύεται στην περίπτωση παραβίασης, με το 46% των ερωτηθέντων να ισχυρίζεται πως το θέμα της εμπιστοσύνης έχει τον μέγιστο αντίκτυπο μεταξύ των υπαρχόντων πελατών.
Ένα ακόμα συμπέρασμα της έρευνας της Trend Micro είναι πως οι επιχειρήσεις παραμένουν αβέβαιες σχετικά με το ποιος είναι υπεύθυνος για την απώλεια, για παράδειγμα, ευρωπαϊκών δεδομένων από κάποιον service provider των ΗΠΑ. Μόλις το 14% μπορεί να αναγνωρίσει με ορθό τρόπο πως η απώλεια δεδομένων αποτελεί υπαιτιότητα και των 2 πλευρών – το 51% θεωρεί πως το πρόστιμο πηγαίνει στον Ευρωπαίο κάτοχο των δεδομένων, ενώ το 24% πιστεύει πως μόνο ο Αμερικανός provider είναι υπεύθυνος.
Συν τοις άλλοις, οι επιχειρήσεις δεν είναι σίγουρες σχετικά με το ποιος θα πρέπει να είναι υπεύθυνος για τη συμμόρφωση με τον κανονισμό. Από τους ερωτηθέντες, το 31% πιστεύουν πως ο CEO πρέπει να είναι υπεύθυνος για τη συμμόρφωση με τον GDPR, ενώ το 27% πως είναι δουλειά της ομάδας ασφάλειας. Εντούτοις, μόλις το 21% των ερωτηθεισών επιχειρήσεων διαθέτουν κάποιον senior executive που είναι αναμεμειγμένος με τον GDPR. Εντωμεταξύ, το 65% των επιχειρήσεων έχουν αναθέσει το έργο στο τμήμα ΙΤ, ενώ το 22% έχει αναθέσει τη συμμόρφωση σε ένα μέλος του board ή του management.
Όσον αφορά τώρα την απαιτούμενη τεχνολογία, σύμφωνα με τον GDPR, οι επιχειρήσεις θα πρέπει να υλοποιήσουν τεχνολογίες «state of the art» ανάλογες με τους κινδύνους που αντιμετωπίζουν. Ανεξάρτητα από αυτό, μόλις το 34% των επιχειρήσεων έχουν υλοποιήσει εξελιγμένα εργαλεία για την αναγνώριση των επιτήδειων, το 33% έχουν επενδύσει σε τεχνολογία αποτροπής δεδομένων και το 31% έχει υλοποιήσει τεχνολογίες κρυπτογράφησης.
Τέλος, η NetsKope που ασχολείται με cloud security, ανακοίνωσε την κυκλοφορία του «September 2017 Netskope Cloud Report», όσον αφορά τη χρήση των cloud services και των trends. Δεδομένου πως ο Μάιος του 2018 είναι κοντά, διεξήχθη έρευνα σχετικά με την προετοιμασία των enterprise cloud υπηρεσιών, και τα αποτελέσματα δεν ήταν και τόσο θετικά στο ζήτημα της προετοιμασίας, σε σύγκριση με τα απαιτούμενα επίπεδα.
Στην αναφορά της αυτή, η NetsKope ανακοίνωσε πως η μέση επιχείρηση έχει υλοποιήσει 1.220 cloud υπηρεσίες. Από τις εν ενεργεία, μόλις το 24,6% έχουν λάβει υψηλή βαθμολόγηση, βασισμένες σε ιδιότητες όπως η τοποθεσία που έχουν αποθηκευτεί τα δεδομένα, το επίπεδο κρυπτογράφησης και οι λεπτομέρειες επεξεργασίας δεδομένων.
Η υιοθέτηση του cloud αποτελεί κάτι το αναπόφευκτο και έχει τεράστια επιχειρηματική αξία για τις επιχειρήσεις σε όλες τις χώρες και τις κάθετες αγορές. Επιπλέον εισαγάγει ένα περίπλοκο σετ προκλήσεων ασφαλείας, με κανονισμούς όπως εκείνους του GDPR να… επιβαρύνουν την κατάσταση, ως μια εξαιρετικά περίπλοκη διαδικασία.
Σύμφωνα με τον Sanjay Beri, CEO και ιδρυτή της Netskope, με δεδομένη τη χρονική στιγμή του deadline, η πλήρης διαφάνεια στον (σε πραγματικό χρόνο) έλεγχο της χρήσης και δραστηριότητας του cloud, με έναν ενοποιημένο και καλοσχεδιασμένο τρόπο για όλες τις cloud υπηρεσίες είναι ζωτικής σημασίας. Αυτό συνεπάγεται πως οι επιχειρήσεις θα κατανοήσουν πώς θα χρησιμοποιήσουν και θα προστατέψουν τα προσωπικά δεδομένα των πελατών τους, και τελικά, θα συμμορφωθούν απόλυτα με τον GPDR.
