Колко струва пробивът в защитата на личните данни?
Оценката, известна като „ Impact Assessment ”, би трябвало да се прави регулярно във всяка организация на период сред 6 месеца и една година, поучава Вихрен Славчев, Мнемоника
„ Защитата на персоналните данни се явява частен случай на цялостната отбрана на организационните данни и инфраструктури “, споделя Вихрен Славчев, шеф на Мнемоника
Колко коства пробивът в отбраната на персоналните данни, които съхранява дадена организация? Това е въпросът, чиито отговор би трябвало да знаят „ даже и насън “ всички компании, администрации и Неправителствени организации, обработващи нечии персонални данни, та даже единствено на един човек, след 25 май 2018 година С влизането в действие на новия общоевропейски правилник за отбрана на персоналните данни GDPR изчисляването на „ цената “ за всеки пробив в опазването на сензитивната лична информация става неизменима част от развиването на активността на всяка организация.
Оценката на пробива на отбраната на персоналните данни, известна повече като „ Impact Assessment ” (IA), би трябвало да се прави регулярно във всяка организация на период сред 6 месеца и една година. Така е, тъй като всички бизнес-процеси в актуалната среда се трансформират непрекъснато и доста динамично. С всяка смяна се променя и рискът от пробив в отбраната на персоналните данни. А пробивът може да коства на организацията доста пари – и даже самото й битие.
IA не е неизменима част от по този начин наречения GAP-анализ, който се прави при въвеждането на GDPR, макар, че може да бъде част от него, изяснява Вихрен Славчев, шеф на Мнемоника. „ Важно е да оценим кои са персоналните данни, които обработваме, и какво е тяхното качество – т.е. до каква степен данните, които събираме, са ни в действителност нужни. Може да се окаже, че събираме персонални данни, които са изцяло ненужни, само че ги трупаме, просто тъй като настояването за тях е заложено в дадена стандартизирана бланка “.
Добрите практики
Според регулаторните условия, оценката на пробива на отбраната на персоналните данни би трябвало да се прави на не повече от две години. Този интервал обаче може да е прекомерно дълъг в някои случаи. Добрата процедура допуска интервалът да е по-кратък – 6 до 12 месеца.
„ Важно е оценката да се прави от специалисти с опит в тази активност, които добре схващат понятията в работата с персонални данни “, прибавя Вихрен.
Резултатите от IA могат да бъдат директно свързани с въпроса дали организацията има потребност от отбрана, каква отбрана е потребна, респективно каква застраховка. Едва идващият стадий допуска да се пристъпи към внедряване на каквито и да е ограничения и средства за отбрана на данните.
Циклично повтаряща се инспекция
“Много хора се заблуждават, че IA е еднократно деяние, ” предизвестява Вихрен. Но то е развой, който се повтаря циклично. Така е, тъй като отбраната на персоналните данни, сходно на цялостната кибер-защита, е нужно да еволюира непрекъснато – дружно с еволюцията на самите закани. „ Де факто отбраната на персоналните данни се явява частен случай на цялостната отбрана на организационните данни и инфраструктури “, акцентира Славчев.
В този смисъл е значимо да се знае, че актуалните системи за отбрана не се концентрират върху технологиите, а върху поведенческите модели и профилите на потребителите. Чрез профилиране на потребителите и фокусиране върху тяхното държание се вкарва метод за адаптиране по отношение на рисковете на база оценка на държанието.
С всяка смяна в бизнес процесите се променя и рискът от пробив в отбраната на персоналните данни
Кой води процеса на оценка
Обичайно в процеса на оценката вземат участие всички основни експерти, които имат отношение към работата с персонални данни – сходно на екипа за GAP разбор. Това са правист на организацията, ИТ началник, управител по сходството с нормативната база („ compliance manager ”), експерт по сигурността, представител на финансов отдел, началник човешки запаси. Процесът може да се води от личния DPO на организацията или от външен специалист.
Все по-интензивно се развива аутсорсингът на IA . Опитът на доста западни организации към този момент демонстрира, че освен дребни, само че и огромни организации търсят метод отбраната на персоналните данни и IA да се правят като външна услуга от профилиран екип „ чартърен “. Това взема решение сложния проблем с намирането на подобаващ човек за чиновник по отбраната на персоналните данни, който да е вярно квалифициран и да има потенциала да води образования, да сигнализира, да следи за използването на регламента. При аутсорсинга обаче е нужно да се изследва деликатно доставчикът. За задачата е добре да се наблюдава неговата история, да се потърсят референции за него.
Друг вероятен метод при оценката е спазването на GDPR и осъществяването на оценката на пробива на отбраната на персоналните данни да се разпореждат на ИТ отдела или екипа по сигурността , който и без друго се грижи за кибер-защитата. Този прийом изхожда от разбирането, че отбраната на персоналните данни се явява частен случай на цялостната отбрана на организационните данни и инфраструктури.
При всички случаи експертите по отбрана на персоналните данни могат да почерпят опит от задграничната процедура . В доста от страните от Европейски Съюз към този момент има настоящи закони, в които са вградени условията на GDPR. Техните бизнес-организации към този момент натрупат скъп опит в опазването на персоналната информация при новите условия и решаването на съответни, характерни обстановки.
Изключително значима помощ за спазването на новата регулация е следенето на насоките и наставленията на т. нар. „ Working party 29 ”. Това е инициативна група към Европейска комисия по въвеждането на новия правилник (http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358). Публикациите на работната група съдържат потребни на практика насоки, в това число по вертикали, т.е. за съответни промишлености.
В някои случаи най-голяма изгода може да има запитването към локалния рег улатор – в България това е Комисията за отбраната на персоналните данни. При неизясненост или съмнение по отношение на регулациите, осъществяването на IA или други елементи от новия правилник организациите постоянно могат да се извърнат към КЗЛД с въпрос какво в действителност би било най-правилното решение в дадена обстановка.
Насоки от професионални организации
Ценни насоки могат да се потърсят и от експертите в региона на сигурността, кибер-защитата и опазването на персоналните данни. Темата за провокациите на GDPR е прегледана задълбочено в средите на експерти – като членовете на ISACA, да вземем за пример, а още по-фокусирано се работи по тематиката в IAPP – интернационалната организация на експертите в отбраната на персонални данни (Internatinal Association of Privacy Professionals). В редиците им са налице над 34 хиляди специалисти.
„ Ние в Мнемоника сме член на тази организация от няколко месеца – те имат много богат опит и на практика познания. Направихме обзор на всички организации, които работят по тематиката, и избрахме IAPP, тъй като тя най-вече може да способства за това да опазваме персоналните данни най-правилно за нашите клиенти. Можем да употребяваме базите със познания на IAPP и сега към този момент сме в развой на узаконяване по „ data privacy ”, изясни Вихрен Славчев.
Статията е готова взаимно с екип на Мнемоника – консултантска компания, работеща в региона на кибер сигурността и отбраната на данните, с над 600 сполучливо осъществени плана за над 100 организации.
„ Защитата на персоналните данни се явява частен случай на цялостната отбрана на организационните данни и инфраструктури “, споделя Вихрен Славчев, шеф на Мнемоника
Колко коства пробивът в отбраната на персоналните данни, които съхранява дадена организация? Това е въпросът, чиито отговор би трябвало да знаят „ даже и насън “ всички компании, администрации и Неправителствени организации, обработващи нечии персонални данни, та даже единствено на един човек, след 25 май 2018 година С влизането в действие на новия общоевропейски правилник за отбрана на персоналните данни GDPR изчисляването на „ цената “ за всеки пробив в опазването на сензитивната лична информация става неизменима част от развиването на активността на всяка организация.
Оценката на пробива на отбраната на персоналните данни, известна повече като „ Impact Assessment ” (IA), би трябвало да се прави регулярно във всяка организация на период сред 6 месеца и една година. Така е, тъй като всички бизнес-процеси в актуалната среда се трансформират непрекъснато и доста динамично. С всяка смяна се променя и рискът от пробив в отбраната на персоналните данни. А пробивът може да коства на организацията доста пари – и даже самото й битие.
IA не е неизменима част от по този начин наречения GAP-анализ, който се прави при въвеждането на GDPR, макар, че може да бъде част от него, изяснява Вихрен Славчев, шеф на Мнемоника. „ Важно е да оценим кои са персоналните данни, които обработваме, и какво е тяхното качество – т.е. до каква степен данните, които събираме, са ни в действителност нужни. Може да се окаже, че събираме персонални данни, които са изцяло ненужни, само че ги трупаме, просто тъй като настояването за тях е заложено в дадена стандартизирана бланка “.
Добрите практики
Според регулаторните условия, оценката на пробива на отбраната на персоналните данни би трябвало да се прави на не повече от две години. Този интервал обаче може да е прекомерно дълъг в някои случаи. Добрата процедура допуска интервалът да е по-кратък – 6 до 12 месеца.
„ Важно е оценката да се прави от специалисти с опит в тази активност, които добре схващат понятията в работата с персонални данни “, прибавя Вихрен.
Резултатите от IA могат да бъдат директно свързани с въпроса дали организацията има потребност от отбрана, каква отбрана е потребна, респективно каква застраховка. Едва идващият стадий допуска да се пристъпи към внедряване на каквито и да е ограничения и средства за отбрана на данните.
Циклично повтаряща се инспекция
“Много хора се заблуждават, че IA е еднократно деяние, ” предизвестява Вихрен. Но то е развой, който се повтаря циклично. Така е, тъй като отбраната на персоналните данни, сходно на цялостната кибер-защита, е нужно да еволюира непрекъснато – дружно с еволюцията на самите закани. „ Де факто отбраната на персоналните данни се явява частен случай на цялостната отбрана на организационните данни и инфраструктури “, акцентира Славчев.
В този смисъл е значимо да се знае, че актуалните системи за отбрана не се концентрират върху технологиите, а върху поведенческите модели и профилите на потребителите. Чрез профилиране на потребителите и фокусиране върху тяхното държание се вкарва метод за адаптиране по отношение на рисковете на база оценка на държанието.
С всяка смяна в бизнес процесите се променя и рискът от пробив в отбраната на персоналните данни
Кой води процеса на оценка
Обичайно в процеса на оценката вземат участие всички основни експерти, които имат отношение към работата с персонални данни – сходно на екипа за GAP разбор. Това са правист на организацията, ИТ началник, управител по сходството с нормативната база („ compliance manager ”), експерт по сигурността, представител на финансов отдел, началник човешки запаси. Процесът може да се води от личния DPO на организацията или от външен специалист.
Все по-интензивно се развива аутсорсингът на IA . Опитът на доста западни организации към този момент демонстрира, че освен дребни, само че и огромни организации търсят метод отбраната на персоналните данни и IA да се правят като външна услуга от профилиран екип „ чартърен “. Това взема решение сложния проблем с намирането на подобаващ човек за чиновник по отбраната на персоналните данни, който да е вярно квалифициран и да има потенциала да води образования, да сигнализира, да следи за използването на регламента. При аутсорсинга обаче е нужно да се изследва деликатно доставчикът. За задачата е добре да се наблюдава неговата история, да се потърсят референции за него.
Друг вероятен метод при оценката е спазването на GDPR и осъществяването на оценката на пробива на отбраната на персоналните данни да се разпореждат на ИТ отдела или екипа по сигурността , който и без друго се грижи за кибер-защитата. Този прийом изхожда от разбирането, че отбраната на персоналните данни се явява частен случай на цялостната отбрана на организационните данни и инфраструктури.
При всички случаи експертите по отбрана на персоналните данни могат да почерпят опит от задграничната процедура . В доста от страните от Европейски Съюз към този момент има настоящи закони, в които са вградени условията на GDPR. Техните бизнес-организации към този момент натрупат скъп опит в опазването на персоналната информация при новите условия и решаването на съответни, характерни обстановки.
Изключително значима помощ за спазването на новата регулация е следенето на насоките и наставленията на т. нар. „ Working party 29 ”. Това е инициативна група към Европейска комисия по въвеждането на новия правилник (http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358). Публикациите на работната група съдържат потребни на практика насоки, в това число по вертикали, т.е. за съответни промишлености.
В някои случаи най-голяма изгода може да има запитването към локалния рег улатор – в България това е Комисията за отбраната на персоналните данни. При неизясненост или съмнение по отношение на регулациите, осъществяването на IA или други елементи от новия правилник организациите постоянно могат да се извърнат към КЗЛД с въпрос какво в действителност би било най-правилното решение в дадена обстановка.
Насоки от професионални организации
Ценни насоки могат да се потърсят и от експертите в региона на сигурността, кибер-защитата и опазването на персоналните данни. Темата за провокациите на GDPR е прегледана задълбочено в средите на експерти – като членовете на ISACA, да вземем за пример, а още по-фокусирано се работи по тематиката в IAPP – интернационалната организация на експертите в отбраната на персонални данни (Internatinal Association of Privacy Professionals). В редиците им са налице над 34 хиляди специалисти.
„ Ние в Мнемоника сме член на тази организация от няколко месеца – те имат много богат опит и на практика познания. Направихме обзор на всички организации, които работят по тематиката, и избрахме IAPP, тъй като тя най-вече може да способства за това да опазваме персоналните данни най-правилно за нашите клиенти. Можем да употребяваме базите със познания на IAPP и сега към този момент сме в развой на узаконяване по „ data privacy ”, изясни Вихрен Славчев.
Статията е готова взаимно с екип на Мнемоника – консултантска компания, работеща в региона на кибер сигурността и отбраната на данните, с над 600 сполучливо осъществени плана за над 100 организации.
Източник: technews.bg
КОМЕНТАРИ