Nowa regulacja Unii Europejskiej o ochronie danych (General Data Protection Regulation, GDPR), inaczej Rozporządzenie o Ochronie Danych Osobowych (RODO), wejdzie w życie 25 maja 2018 r. i będzie obowiązywała we wszystkich krajach UE. RODO w istotny sposób reguluje prawne aspekty ochrony danych i związane z tym procesy, co wymusza wprowadzenie zmian dotyczących procesów biznesowych i technologii. W Polsce większość firm będzie objęta tą regulacją.
Nowe unijne przepisy o ochronie danych wchodzą w życie już za kilka miesięcy, ale duża część przedsiębiorstw może nie zdążyć się do nich przygotować. Ostatni raport One Identity („Five IAM practices that will help you succeed with GDPR”) pokazuje, że firmy nie tylko mało wiedzą o wymaganiach RODO (tylko 4% organizacji w UE uważa, że posiada dużą wiedzę na temat RODO), ale nie są też gotowe do spełnienia wymagań rozporządzenia. Tylko jedna na trzy organizacje twierdzi, że jest przygotowana do wprowadzenia zmian, a połowa nie jest pewna, czy zdąży na czas. Mniej niż 50% organizacji uważa, że ich obecne technologie IAM i praktyki w tym obszarze są odpowiednie, aby spełnić wymagania RODO. Z kolei 89% firm jest zdania, że ich aktualne podejście do bezpieczeństwa danych będzie musiało się zmienić, aby sprostać wymaganiom RODO.
Systemy informatyczne i procesy biznesowe przetwarzające dane osobowe będą musiały zostać poddane istotnym zmianom, dlatego proces dostosowywania do RODO może być czasochłonny i kosztowny. Ale nie musi… Wsparciem są odpowiednie narzędzia informatyczne, które w prosty, zautomatyzowany i kompleksowy sposób mogą zapewnić odpowiednią ochronę organizacji zgodnie z wymaganiami RODO. Pozwolą także uniknąć sankcji przewidzianych w rozporządzeniu. Unijne wymagania są wyjątkowo restrykcyjne, a kary mogą sięgać nawet do 4% rocznego globalnego przychodu (nawet do 20 milionów euro).
W celu dostosowania organizacji do RODO, należy podjąć kilka kluczowych kroków: rozpoznać wykorzystywane zasoby danych, zabezpieczyć dane i kontrolować dostęp do nich, monitorować zmiany, badać potencjalne naruszenia bezpieczeństwa, raportować i przeprowadzać audyty.
Podstawową kwestią związaną z dostosowaniem do RODO jest identyfikacja i ewidencja przetwarzanych danych osobowych (pracownicy, współpracownicy, klienci) wraz z uprawnieniami. Uzyskanie szczegółowych i rzetelnych informacji o tym, jakie dane i w jakim zakresie są wykorzystywane w organizacji jest pierwszym krokiem do zapewnienia zgodności z RODO.
Dla wielu organizacji bardzo trudnym zadaniem w zapewnieniu zgodności z RODO może być odpowiednie zabezpieczenie i kontrola kont uprzywilejowanych. Konta te zapewniają niemal nieograniczony dostęp do krytycznych danych oraz systemów i z tego powodu są najczęstszym celem cyberataków, jak również szkodliwych dla organizacji działań nieuczciwych pracowników. Prostym sposobem na bezpieczne zarządzanie kontami uprzywilejowanymi i zapewnienie zgodności z wymaganiami RODO jest zastosowanie odpowiednich rozwiązań informatycznych typu PAM (Privileged Access Management). To zestaw zintegrowanych narzędzi, które pozwalają spełnić wymagania compliance (także z RODO) i zapewnić bezpieczeństwo IT w obszarze kontroli dostępu oraz zarządzania uprzywilejowanymi kontami.
RODO nakłada na organizacje obowiązek monitorowania bezpieczeństwa systemów. Administrator danych będzie musiał zgłosić do organu nadzorującego każde potencjalne naruszenie bezpieczeństwa i to w ciągu 72 godzin od jego zaistnienia. Manualne śledzenie zmian i tworzenie raportów jest czasochłonne i niedokładne. Czynności te można jednak całkowicie zautomatyzować.
