;

Společnosti se GDPR bojí zbytečně. Mohou na něm i vydělat, říká expert

17. 10. 2018
Doba čtení: 6 minut

Sdílet

 Autor: Fotolia - pe3check
Řada firem propadá kvůli GDPR obavám. Opatření proti zneužívání citlivých dat si ale nakonec nemusejí pochvalovat pouze ti, kteří informace poskytují, tedy klienti či zaměstnanci, ale i samotné firmy. Už dnes je na trhu řada nástrojů, které kromě splnění požadavků GDPR dokážou vyřešit spousty každodenních trápení v oblasti bezpečnosti a auditu IT, vysvětluje Jakub Karvánek z FreeDivision.

Obecné nařízení o ochraně osobních údajů (zkráceně GDPR) platí od 25. května 2018. Nová směrnice Evropské unie má v první řadě bránit zneužívání a únikům citlivých dat. Povinnost dodržovat směrnici se týká každého, kdo jakýmkoli způsobem shromažďuje nebo zpracovává osobní údaje zákazníků, klientů či zaměstnanců. Tedy jak firem, institucí, tak i živnostníků.

„Menší subjekty v případě zavádění směrnice GDPR pravděpodobně vystačí s jednodušším řešením. Větší firmy o desítkách a více zaměstnancích využívajících výpočetní techniku budou muset volit sofistikovanější postup,“ říká Jakub Karvánek ze společnosti FreeDivision, která se zabývá zabezpečením IT systémů.

V čem podle vás spočívá největší problém této směrnice?
Řekl bych, že je to hysterie, která se kolem toho vzedmula. Málo totiž zaznívá, že jde o posun vpřed. Zavedením směrnice se významně snižuje riziko zneužívání osobních dat, které je teď relativně běžné. Zvyšuje se míra práv pro občany, kteří budou mít právo žádat dotčenou společnost například o to, jaké informace o nich uchovávají, jejich případnou opravu či smazání. Takže v první fázi jde o to, udělat si pořádek ve svých dokumentech, uklidnit se a změny postupně realizovat do vytyčeného cíle. V druhém sledu je třeba si uvědomit, že dnes existují dostupné nástroje, které umějí velké množství práce udělat samy. Menší subjekty v případě zavádění GDPR pravděpodobně vystačí i s jednodušším řešením, ale i tak bych byl opatrný při výběru příliš univerzálních metod. Větší instituce o stovkách a více zaměstnancích, kteří využívají výpočetní techniku, budou muset volit sofistikovanější postup.

Co je nyní třeba udělat?
Jako nutnou vidím, hlavně u větších firem a institucí, prvotní analýzu stavu jejich nakládání s daty, tzv. GAP analýzu. Ta zjistí, kdo, kde a jak s daty nakládá. Oddělí soubory s citlivým obsahem od zbytku, který neobsahuje osobní data. To umožní nastavit správné procesy zpracování dat a samozřejmě i jejich ochranu. Následovat určitě budou nové interní směrnice a dodatky k existujícím smlouvám. Doporučujeme převádět odpovědnost za data na samotné uživatele, protože jen ti znají skutečný obsah a citlivost dat. Po všech těchto krocích bude třeba vyhotovit revizi datových úložišť, přístupových práv i samotnou fyzickou bezpečnost uchovávání a archivaci dat. Jak jsem ale zmínil, na tyto kroky existují fungující nástroje, které vše v souladu s nařízeními zajistí.

Jak to funguje?
Na provozní servery se do ostrého IT prostředí instalují vybrané moduly softwaru Varonis, které jsou nakonfigurovány, aby sbíraly potřebná metadata. Systém disponuje předdefinovanými pravidly, která umožňují vyhledávat citlivá data v rámci platné legislativy jednotlivých států EU. Následuje průběžné vyhodnocování metadat o souborech a práce s daty uživatelů, tak jak jsou uživatelé běžně zvyklí s nimi pracovat. Po instalaci nedochází k žádnému omezení uživatelů. Vše probíhá podle časového harmonogramu a před vypršením demolicence, která je omezena 30 dny, ze systému vygenerujeme potřebná data, která jsou následně doplněna do grafů a tabulek, jež jasně a výstižně popisují zjištěná rizika. Pokud se klient rozhodne, že nástroje Varonisu bude nadále využívat, zakoupenou licenci aktualizuje a může nadále využívat plnou funkcionalitu.

V čem je toto řešení jiné?
Softwarové řešení Varonis nabízí automatickou kontrolu procesů a směrnic. Je to technický a bezpečnostní nástroj, který nelze funkčností omezit jen na splnění požadavků GDPR. Kromě dalšího velmi efektivně pomáhá plnit ISO 27000 v oblasti ochrany informací, jako jsou stanovení cílů a požadavků na zabezpečení, zajištění efektivní správy zabezpečení, dodržení právních předpisů a pravidel, zajištění zvláštních požadavků na zabezpečení u konkrétních organizací, začlenění nových procesů řízení zabezpečení informací, stanovení úrovně dodržování pravidel, nařízení a standardů přijatých danou organizací, poskytování relevantních informací o pravidlech zabezpečení, nařízeních, standardech a postupech zákazníkům a obchodním partnerům stejně jako spolupracujícím organizacím. Robustní řešení pomáhá plnit zvýšené nároky na kybernetickou bezpečnost ve společnostech a institucích. Jedním z nejdůležitějších a klíčových faktorů je nasazení tohoto systému v řádech dnů, a to i do velké společnosti čítající stovky uživatelů.

bitcoin_skoleni

Jak Varonis minimalizuje náklady na zaměstnance?
Varonis umožní lidem starajícím se o bezpečnost rychle najít složky a soubory obsahující citlivé osobní údaje, které jsou často rozptýleny mezi podnikovými souborovými systémy. U středně velkých společností se počet potenciálně citlivých složek a souborů pohybuje běžně v řádu statisíců, a není tak v lidských silách tato data identifikovat ručně, a to opakovaně několikrát ročně podle prováděných auditů. Zjistit, jaká citlivá data a kde leží, je skvělý způsob zahájení procesu snižování rizika. Klasifikační engine Varonisu na pozadí skenuje obsah souborů a dokáže rozpoznat vzorce identifikátorů osobních údajů – rodná čísla, čísla účtů, e-maily, IP adresy, čísla kreditních karet apod. – a vyhodnotit soubory na základě počtu nalezených shod. Varonis nejen dokáže identifikovat citlivá data, ale poskytne další klíčové informace, které napomáhají minimalizovat bezpečnostní rizika, jako např. kdo a jak k těmto datům přistupuje, zdali k nim nemají přístup všichni zaměstnanci společnosti, která data jsou zřídka nebo vůbec využívána, a měla by tedy podléhat jinému režimu zabezpečení a další. Díky komplexnímu pohledu na data ve společnosti je Varonis vhodným technickým opatřením, pomocí kterého lze správně a jednoduše implementovat opatření organizační, a vyhovět tak základním požadavkům GDPR.

Více informací najdete na www.varonis.cz