Autor fotografie: redakce|Popisek: brzy začnou platit nová pravidla pro GDPR
Hromada nejasností, strach z astronomických pokut, pochybné firmy slibující jednoduchá univerzální řešení – to je jen krátký výčet jevů, které doprovází na cestě k nám strašáka jménem GDPR. Negativně je toto nařízení vnímáno samozřejmě jenom firmami a subjekty zpracovávajícími osobní údaje. Lidem má naopak sloužit a vytvářet pro ně výhodnější pozici.
Nařízení má být nástrojem občanů evropských zemí pro ochranu osobních údajů - legislativní úpravou, která je vymahatelná napříč Evropskou unií a díky hrozbám vysokých sankcí v případě nedodržení bude zřejmě i silně respektována. Její příchod však nemusí být ani pro firmy apokalypsou nebo něčím děsivým, stačí pouze nepodcenit přípravy a obecnému evropskému nařízení o ochraně osobních údajů věnovat patřičnou pozornost.
Na trhu je celá řada společností, které inzerují, že vám snadno a rychle zajistí soulad s GDPR. Ale jak už to tak v životě bývá, snadná řešení nejsou vždy ta nejšťastnější a tato problematika bohužel není výjimkou. Snaží-li se na vaši firmu taková společnost napasovat jakési univerzální řešení, berte to jako varovný signál. Jednoduché řešení aplikovatelné na všechny zkrátka neexistuje! Jak poznat takovéto firmy si můžete přečíst v našem článku „3 způsoby jak poznat firmy parazitující na GDPR“.
Samozřejmě jsou na trhu i firmy, které vám s přípravami pomůžou, ale skutečná pomoc vyžaduje aplikaci značně specifických opatření, které vychází z prvotní důkladné analýzy vaší firmy, jejích struktur a procesů. Jednotlivé kroky Platformy KYBEZ ukazují, kudy se musí vydat, aby se podařilo rozklíčovat všechna specifika a následně „utkat síť“ procesů a opatření na míru konkrétní firmě. Ptáte se kde začít?
Nechte si zmapovat interní procesy
Na úvod je nutné prověřit aktuální připravenost zkoumané firmy, což obnáší důkladné zmapování procesů v oblasti zpracování osobních údajů, průzkum rovin inventarizace a identifikace, odhalení rozvrstvení struktur i posouzení rizikových zpracování. Už tento výčet naznačuje, že se nejedná o nic snadného, a to jsme teprve na začátku cesty k optimalizaci firemních procesů.
Psali jsme: Jak nová legislativa EU o kyberbezpečnosti a ochraně dat ovlivní podnikání a na co je potřeba se připravit?
Zaměřeno na riziková místa
Za výjimečnou lze považovat firmu, u které již prvotní fáze neodhalí nějakou tu skulinku - slabé místo, na kterém je možné zapracovat. Pokud firmy slabinu mají, a to věřte, že v naprosté většině mají, je nutná druhá fáze cesty za požadovanou optimalizací. Zde se středem pozornosti stávají právě riziková zpracování osobních údajů včetně veškerých dopadů.
KYBEZ dovede jednotlivá zpracování údajů ohodnotit a rozčlenit do několikastupňové škály rizikovosti. Pro nejvyšší tři stupně pak okamžitě analyzuje možné dopady a navrhuje nejvhodnější opatření k odstranění rizika. Je paradox, že až v této fázi, kdy se mluví o konkrétních možných dopadech, dochází k prozření managementu většiny firem a uvědomění, jak nutné podstoupení změn a náprav je. Analýza je tak přínosem nejen pro odstranění strachu z nesplnění nařízení GDPR. Klíčové je i poznání firem, že v dnešní natolik elektronizované době je kybernetická bezpečnost nejen zákonnou povinností, ale i existenční nutností.
Jedničky a nuly
I tak jde popsat třetí úsek našeho putování. Analyzovat je nutné i samotné informační systémy, se kterými firma pracuje. Často se liší jejich algoritmy, nastavení, úroveň zabezpečení a s tím i související riziko. Tým IT expertů KYBEZ sestavil mechanismy, díky kterým odhalí rizikovost zpracování dat v jednotlivých systémech i úroveň bezpečnosti při komunikaci se třetími stranami. Optimalizovat tak lze nejen zmiňované firemní procesy, ale i systémovou infrastrukturu, nastavení firewallu a mnoho dalších IT prvků.
A co z toho máme?
Odpověď na tuto otázku lze zřejmě intuitivně vytušit. Výstupem analýzy je shrnutí aktuálního stavu, upozornění na riziková místa, a soubor doporučených opatření, která by firma neměla brát na lehkou váhu. Otálení nebo dokonce ignorace by nemusely mít šťastný konec a je v podstatě jedno, jestli mluvíme o možných obrovských pokutách za nedodržení požadavků GDPR nebo o riziku, kterému vystavuje takové vedení firmy sebe i své zaměstnance. Hrozby, kterým se nařízení snaží čelit číhají bez nadsázky na každém kroku a v budoucnu tomu nebude jinak.
Do bezpečí!
Konečným cílem není nic jiného než implementace vhodných opatření, nastavení optimálních procesů, mnohdy se jedná o zjednodušení a narovnání složitých struktur. I zde je možné pro přehlednost rozdělit opatření do několika rovin, některá jsou čistě procesní, jiná spíše organizačního rázu a třetí typ lze považovat za technické. Ve všech těchto oblastech obdrží zadavatelská firma od projektového týmu KYBEZ podrobný výstup, jak postupovat směrem k souladu s GDPR.
Zdroj: Gordic