Z
arządzanie prywatnością danych zmienia się na naszych oczach nie do poznania, dzięki wprowadzeniu ogólnego rozporządzenia o ochronie danych i ustawy o ochronie prywatności konsumentów w Kalifornii.
Wiele firm nie spełniło norm zgodności z RODO, a 67% firm, które dotrzymały terminu, obawia się, że nie będą w stanie utrzymać zgodności.
Administratorzy danych mają poczucie, że zgodność z przepisami RODO są w stanie osiągnąć jeden raz – można przygotować się do audytu i wprowadzić odpowiednie dokumenty, ale następnego dnia po zakończeniu audytu ludzie wracają do swoich codziennych obowiązków, – Chris Hallenbeck, CISO dla obu Ameryk w Tanium , powiedział CIO Dive.
Czy prawdziwa sieć intencjonalna może powstać?
Pierwszym krokiem w kierunku sieci opartej na intencjach jest weryfikacja projektu i zachowania w sieci.
Bezpieczeństwo wymaga zaangażowania biznesu, w ochronie ścieżki podróży Naszych danych. Konkretna informacja o śledzeniu użytkownika i zbieraniu danych, bez względu na to, dokąd migrują, zapewni zgodność firm – a nie, jak można zauważyć – politykę prywatności wiele firm ukrywa na dole strony.
Hallenbeck zauważył, że w scenariuszu wycinania i wklejania lub arkusza kalkulacyjnego na laptopie pracownika dane rzadko są nieruchome: „Otrzymasz kopie, a nawet same podzbiory danych”.
Bez wiarygodnego wyczucia, gdzie, co i ile danych podróżuje, firmy są podatne na naruszenia prywatności lub, w najgorszym przypadku, na naruszenie danych. W Polsce w 2019 roku wydarzył się incydent, gdy jeden z sędziów utracił pendrive z danymi osobowymi z kilku lat.
Jak wynika z ankiety BDO Middle Market, naruszenia prywatności stanowią największy problem dyrektorów finansowych . Grzywny w ramach RODO osiągnęły w przybliżeniu 126 mln USD od 2018 r.
Większość dyrektorów finansowych spodziewa się wzrostu wydatków na IT w tym roku z konieczności zwrócenia uwagi na zarządzanie informacją i prywatnością. Karen Schuler, lider BDO, skomentował to tak: „Z czasem firmy mogą oczekiwać, że koszty związane z technologią i personelem dotyczące prywatności danych staną się łatwiejsze do zarządzania i będą normą.”
Dyrektorzy finansowi uznali prywatność danych za główny priorytet regulacyjny na 2020 r. Uważamy, że rok 2020 stanowi drugi etap egzekwowania RODO. „Miesiąc miodowy się skończył, a organy regulacyjne nie będą już tak łagodne” – powiedział Schuler.
Według badań Tanium, firmy amerykańskie wydały 82 miliony dolarów w ciągu ostatnich 12 miesięcy na środki zapewniające zgodność.
Prywatność nie jest jednorazowym wydatkiem. Utrzymanie zgodności jest wyzwaniem dla firm, którym brakuje „spójnego i uregulowanego podejścia do GDPR (RODO)” – powiedziała CIO Dive Eve Maler, obecny CTO w ForgeRock.
RODO było kiedyś „najbardziej rygorystycznym” prawem. CCPA i inne utrzymujące przepisy państwowe mogą stać się jeszcze większym wyzwaniem, co wpływa na sposób zarządzania danymi firmy- powiedział Mardack.
Oba przepisy różnią się między sobą. RODO ma zastosowanie do administratorów danych, podczas gdy rozporządzenie CCPA rozciąga się tylko na organizacje, które osiągają przychody przekraczające 25 milionów USD. Przepisy różnią się także, w jaki sposób organizacje powinny przetwarzać wymagane dane przez konsumentów i prawo do rezygnacji. Pamiętajmy, że przepisy CCPA nie obowiązują jeszcze w Polsce.
„Wiele firm zgodnych z RODO wciąż potrzebowało przeglądu swoich procesów reakcji konsumentów, aby zachować zgodność z CCPA ” – powiedział Schuler.
Rynek o wartości miliarda dolarów
W odpowiedzi na wymagania dotyczące prywatności od dostawców oczekuje się wbudowania funkcji związanych z prywatnością w ich produkty, a administratorzy danych muszą za nie płacić.
„To jest interesujące, ponieważ teraz to staje się niezbędne dla innowacji technologicznych, które mają się rozpocząć w celu dostosowania się do wymogów prawnych,” powiedział Mardack .
Według Market Research Engine, wartość rynku ochrony danych przekroczy 158 miliardów dolarów do 2024 roku. Raport sugeruje złożony roczny wzrost w wysokości 15% w tym czasie.
Hallenbeck powiedział, że narzędzia związane z prywatnością są sprzedawane zespołom ds. Bezpieczeństwa i zarządzania ryzykiem . Jeśli firma chce zapobiec utracie danych lub własności intelektualnej, prawdopodobnie przyjmie oprogramowanie zapobiegające utracie danych. Koniecznym staje się również wdrożenie oprogramowania do zarządzania bezpieczeństwem takiego jak Kryptos72.
Zgodność firm rozciąga się także na ich dostawców i partnerów biznesowych . Pomimo tego, że mogło dojść do naruszenia, organy regulacyjne będą nakładać grzywny na firmy odpowiedzialne za dbanie o dane konsumentów.
Firmy mają problemy z wykorzystaniem zakresu gromadzonych danych i rutynowym ich utrzymywaniem.
„Szczerze mówiąc, największym wyzwaniem w tym wszystkim jest ludzka natura” – powiedział Hallenbeck.
Pracownicy pracują nad finalizacją projektu, aby utworzyć plik tymczasowy, a następnie zapomnieć o jego usunięciu. Przepływ danych nie zawsze jest złośliwy… Jest zaniedbany.
„Musisz założyć, że dane wylądują gdzieś na laptopie. A koszmarnym scenariuszem jest oczywiście to, że laptop zostaje z tyłu taksówki”, powiedział Hallenbeck. Teraz firma nie wie, które dane są wrażliwe.
Ponieważ nie ma jeszcze szczególnego rynku technologii ochrony danych, firmy polegają na narzędziach bezpieczeństwa w ciemno, jako rozwiązaniach zapewniających prywatność. Liderzy technologii muszą wykazać się kreatywnością w stosowaniu dostępnych rozwiązań.
Według Tanium, firmy przyjęły średnio dziewięć narzędzi do zgodności z CCPA.
Sugeruje, aby firmy ponownie oceniły sposób wdrażania nowych rozwiązań, mając na uwadze prywatność:
• Jakie protokoły prywatności należy wprowadzić przed napisaniem oprogramowania (pamiętajmy, że arkusz kalkulacyjny, który sami stworzymy, również ma charakter programu?
• Czy powinna być dyskusja na temat tego, jakie konkretne dane firmy mogą przetwarzać?
• Dlaczego firma tego potrzebuje?
• Jak długo potrzebujemy danych?
Zaufanie to podstawowa koncepcja wszystkich narzędzi do ochrony prywatności.
Zaufanie konsumentów, które towarzyszy wysiłkom na rzecz poprawy higieny zarządzania danymi osobowymi, jest nieocenione” – powiedział Maler.
Sugeruje, aby firmy oceniły swoje obecne metody ochrony danych:
• Traktuj dane osobowe jako „wspólny zasób” dla firmy i klienta.
• Sprawdź zgodę użytkownika.
• Zastosuj systemy zarządzania dostępem i zarządzania zgodami, aby utrzymać integralność danych.
Przemysł musi jeszcze dopracować zautomatyzowane reakcje na incydenty związane z bezpieczeństwem lub prywatnością. Mniej niż jedna piąta firm twierdzi, że może poinformować organy regulacyjne w ciągu 72 godzin od wykrycia naruszenia. Firmy nadal ręcznie zbierają dane w odpowiedzi na żądania konsumentów. Idealnym narzędziem do zgłoszeń naruszeń jest Program do RODO – Kryptos72.
Zachęcamy do kolejnego materiału: Czy RODO dotyczy również najmłodszych?