Kuinka valmistautua GDPR: ään

Lähtölaskenta on alkanut! Yleistä tietosuoja-asetusta eli GDPR: ää sovelletaan EU: ssa 25. toukokuuta 2018, mikä tarkoittaa, että yrityksillä ei ole edes koko vuotta valmistautua sen vaikutuksiin. Monille organisaatioille tämä tulee olemaan massiivinen tehtävä, koska niiden on toisaalta muutettava nykyisiä prosessejaan ja tekniikoitaan uusien sääntöjen noudattamiseksi, ja viimeksi mainittujen on myös tehtävä jotain ylimääräistä selviytyäkseen uuden lain haasteista. viedä eteenpäin.

Jos yrityksesi työskentelee Euroopan kanssa tai käsittelee erityisesti EU: n kansalaisten henkilötietoja, on nyt aika pohtia tapoja käsitellä tätä tulevaa tilannetta. Ei, tämän viestin tarkoituksena ei ole pelottaa sinua, mutta ei unohtaa, että rangaistukset tämän lain rikkomisesta voivat olla todella ankarat. Se voi maksaa sinulle jopa 4% kansainvälisestä vuosiliikevaihdosta.

GDPR: ään valmistautumisen odotetaan olevan monialaista toimintaa, koska juridisella, IT: llä ja valvonnalla on kaikilla rooli. Vaikein osa on tietenkin käydä läpi ja ymmärtää kaikki 99 artiklaa ja 173 johdanto-osan kappaletta (koska sisältö on puhtaasti perustuslaillista ja sanallista, lukutaitosi eivät voi tehdä paljon hyvää). Kyllä, tiedämme, että tämä on valtava, mutta ICO: n 12-vaiheisen suunnitelman ansiosta yritykset voivat nyt helposti valmistautua ohjattuun toimintaan.

Miksi GDPR on tärkeä?

Elämme maailmassa, jossa meidän odotetaan toimittavan henkilökohtaisia ​​tietoja aina silloin tällöin osana jonkinlaista verkkotapahtumaa. Varaus riippumatta siitä, varaatko lennon verkossa vai otatte yhteyttä sosiaalisiin tuttaviin, käytät tiliäsi tai ostatte jopa pienimpiä asioita (kyllä, vaikka ostaisitte sukkaparin verkossa, sinun on annettava sivustolle sähköpostiosoitteesi), sinulla on luovuttaa henkilötietosi.

Okei, olemme yhtä mieltä siitä, että elämme kytketyssä maailmassa ja tällaisten tietojen jakaminen on nykyisin välttämätöntä, mutta se ei välttämättä tarkoita, että meidän ei pitäisi olla huolissamme yksityisyydestämme. GDPR: n tarkoituksena on antaa EU: n uudistajille selkeyttä ja valvoa tätä huolenaihetta.

Se ei vain virtaviivaista sääntely-ympäristöä, vaan myös asettaa tietoturvan eturintamaan, mikä ei selvästikään ole mikään paha asia.

Odotamme, että jos tutustut artikkeliin, se johtuu vain siitä, että etsit ratkaisuja, apua ja ohjeita, jotka auttavat sinua suunnittelemaan ja jatkamaan. Vaikka mikään erityinen ohjelma tai palveluntarjoaja ei voi taata maagista lääkettä GDPR: lle, voimme varmasti auttaa sinua kattaa joitain tietosuojan peruskysymyksiä.

Opas aloittamiseen

GDPR: n noudattaminen ei ole helppoa. Se on kattava prosessi, joka vaatii sinua ymmärtämään tarkan alueen, missä henkilötiedot tosiasiallisesti sijaitsevat, hankkimiesi tai hallitsemiesi henkilötietojen ryhmien sekä sen, kenellä ja millä menetelmällä niitä lähestytään. Tietosuojavaikutusten arviointien suorittaminen on hieno idea. Lisäksi hallinnan saamiseksi, tapahtumien tunnistamiseksi, reaktioiksi, rikkomusvaroituksiksi ja muiksi vaaditaan myös harkintaa ja harjoittelua. 20 miljoonan euron sakkorangaistuksen määrääminen ei ole mikään yritys, joka haluaa kiertää sen. Yrityksen koosta riippuen tämän painon seuraamus voi nopeasti olla sulkemiskohta.

Hyvät uutiset todistavat vaatimustenmukaisuuden, vähentävät riskiä ja asettavat satunnaisia ​​turvatoimia ovat näkökohtia, joita tutkitaan, jos et epäonnistu läpi tietojen rikkoutumista. Mutta kaiken kaikkiaan olematonta riffeitua on hienoa, ja olemme vakuuttuneita siitä, että tunnustat, joten tässä on turvallisuusohjeesi pelastusta varten.

Kuka on vastuussa?

Valmistautuminen GDPR: ään on koko yrityksen velvollisuus. Se vaikuttaa osastoihin monin eri tavoin.

Lakiasiainosasto

Tärkein näistä on juridinen osasto. Olisi erittäin tärkeää, että lakimiesryhmä keskittää huomionsa tietyille alueille sen sijaan, että yrittäisi vain hallita kaikkea. Toimitusneuvottelut ja sopimusten käsittely on tehtävä säännöllisesti, jotta varmistetaan toimittajien suostumus ja asioiden sujuvuus.

Rahoittaa

Viimeaikaiset määräykset vaikuttavat suuresti myös tapaan, jolla kirjanpito ja rahoitusmenettelyt toimivat organisaatiossa. Valtava määrä luottamuksellisia tietoja voi kulkea tämän osaston yli, ja moitteettomat GDPR-seuraamukset julistetaan organisaatioille, jotka eivät ole vartioineet tätä pylvästä.

Myynti

Myynti- ja markkinointiosaston oletetaan olevan eturintamassa, kun on kyse asiakastietojen käsittelystä. Tämän osaston on varmistettava markkinointitiiminsä turvallisuus osoittamalla asiakasta, joka on valinnut hakemaan selkeää ja selvää tekstiä sisältävää materiaalia.

henkilöstöhallinto

Äskettäinen GDPR parantaa työntekijöiden oikeuksia, mikä lisää heidän henkilötietojensa turvallisuutta. Koko jaon on siis oltava oikeassa suhteessa työntekijän tietoihin.

Tietotekniikka

Tämä osasto luo perustan koko GDPR-kehykselle. Sisäinen ohjelmisto vaatii käytön helppoutta. Tietoturva on ensisijaista, joten tämän alan on kiinnitettävä erityistä huomiota salaukseen ja tietojen todennukseen.

Kuinka suojata ympäristösi?

· Tiedonsalaus

Tämä edellyttää, että sinun on keskityttävä tietoihin sekä levossa että liikkeessä. Käyttämällä tietojen salausta sinun ei enää tarvitse ilmoittaa rekisteröidylle, jos sinua rikotaan. Suosittelemme, että keskustelet kanavakumppanisi kanssa saadaksesi tietoa markkinoilla olevista erilaisista ratkaisuista. Muista tutustua 34 artiklaan saadaksesi lisätietoja tästä.

· Haavoittuvuuden hallintajärjestelmä

Myydyn haavoittuvuusjärjestelmän pitäminen on TÄYTÄ koko ympäristössä, koska se lisää luottamuksellisuutta ja oikeudenmukaisuutta. Tarkista 32 artikla saadaksesi yksityiskohdat käsiksi.

· Tee varmuuskopioita

Tietojen varmuuskopiointi ja palauttaminen ovat tärkeitä näkökohtia menestyvän yrityksen johtamiselle. Se ei vain toimi suojelusenkelinä, jos tapahtuu kestämätöntä lunnaatarvikkeiden tunkeutumista, vaan tarjoaa myös yleisen suojan varastoinnin epäonnistumiselta, luonnonkatastrofilta, jopa järjestelmän päälle läikkyneen teekupin (varotoimet ovat kuitenkin aina parempia kuin parannukset, joten se on hyvä idea, jos valitset sohvan, joka on kilometrin päässä kannettavasta tietokoneesta, juoda suosikki juomaasi). Tämän lisäksi on tärkeää sisällyttää luetteloon myös katastrofien palautumisen hallinta riippumatta siitä, mihin tiettyihin säädöksiin sinun on tarkkailtava.

· Suojaa verkkosovelluksiasi

Suunniteltu luottamuksellisuus tulisi sisällyttää rakenteeseen ja prosesseihin. Muista, että jos keräät henkilökohtaisia ​​tietoja verkkosovelluksen kautta ja käytät silti selkeää tekstiä tai html-tiedostoa, olet jo vakavissa vaikeuksissa.

· Ota rikkojat välittömästi

Jos havaitset, että sinua on rikottu 4 kuukautta sen jälkeen, kun se tapahtui, siitä ei ole hyötyä sinulle. Tarkastele vaihtoehtoja, jotka voivat auttaa sinua tunnistamaan vaarantuneet käyttöoikeustiedot alussa, jotta voit kuulustella ja palauttaa nopeasti.

· Kynätestejä

32 artiklan mukaan sinun on hankittava järjestelmä turvallisuustoimenpiteiden tehokasta rutiinitarkastelua, arviointia ja arviointia varten. Voit tehdä tämän joko valitsemalla työkalut, kuten Metasploit Pro, tai myös palkata ammattitaitoisen ryhmän suorittamaan nämä testit sinulle.

· Aseta ansoja

Petoksen tekniikoiden käyttö on myös hieno idea. Näiden työkalujen käyttöönotto voi auttaa havaitsemaan hyökkääjät jo heti, kun he alkavat tutkia järjestelmääsi ja kulmaasi tärkeiden henkilötietojesi saamiseksi.

· Pilvipohjaiset ohjelmat

Yksi tapa vahvistaa näkyvyyttäsi sekä pakotettujen että ei-valvottujen palveluiden suhteen on valita pilvipohjaisia ​​ohjelmia, jotka auttavat suojaamaan tällaisia ​​palveluita ja suojaamaan myös niihin sisältyvää tietoa.

· Suorita pikatoimet

Kun tiedät, että olet keskellä tunkeutumista, ota heti yhteyttä vaaratilanteiden vastausryhmään vahingoittumisen rajoittamiseksi ja nopeuttamiseksi.

Valmistaudu muutokseen - lopullinen ajatus

Nykyisten käytäntöjen muuttaminen vie ehdottomasti aikaa, etenkin suurten asetusten ja organisaatioiden toteuttamiseen. Olipa iso tai pieni, tosiasia on, että et voi sivuuttaa tätä lakia, eikä sinulla ole varaa saada tämä GDPR-asia pieleen. Lisäksi kyse ei ole vain rangaistuksista ja mojoista sakoista, vaan myös asiakkaasi henkilökohtaisten tietojen suojaamisesta.

Oletko valmis vastaamaan haasteeseen? Mitä valmisteluja olet tehnyt tätä uutta asetusta varten? Voit vapaasti pudottaa palautetta alla olevaan kommenttiosaan. Haluaisimme kuulla takaisin!

kirjoittanut Oleksandr Knyga, ohjelmistoinsinööri
avustajana Dima Dmytriienko, toimittaja ja tuotemerkkien asiantuntija