Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

GDPR. Co powinieneś wiedzieć o ogólnym rozporządzeniu o danych osobowych?

2,080 views

Published on

Co o RODO powinien wiedzieć CIO, aby przygotować swoją organizację do wejścia w życie europejskiego rozporządzenia?
CIONET Polska razem z partnerami biznesowymi i prawnikami z kancelarii Maruta Wachta sp j przygotował publikację dedykowana dla osób zarządzających w firmach obszarem cyfrowym

Published in: Economy & Finance
  • Update on Ace - I have gotten him involved in playing some of the games and I can see a difference in his confidence already! My other dog played along and he became intrigued - now its a daily part of our routine - about 3 times a day we do the shell game and the muffin tin game. I am so grateful for coming upon your training techniques! ♣♣♣ https://bit.ly/38b79Wm
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

GDPR. Co powinieneś wiedzieć o ogólnym rozporządzeniu o danych osobowych?

  1. 1. What’s next. GDPR Co powinieneś wiedzieć o ogólnym rozporządzeniu o danych osobowych?
  2. 2. Spis treści 04 Co CIO musi wiedzieć o RODO? 08 Unijna reforma ochrony danych osobowych – istotna zmiana, czy tylko zmiany kosmetyczne? 10 Podejście Microsoft do implementacji RODO 12 Usługi doradcze w zakresie prywatności oferowane przez firmę Cisco: Ogólne rozporządzenie o ochronie danych 14 Badanie Trend Micro i VMware: ponad połowa polskich firm nie słyszała o rozporządzeniu GDPR 16 GDPR i nowe wyzwania cyberbez- pieczeństwa … przemyślenia eksperta Dimension Data 18 Potrzeba podjęcia odpowiednich środków 20 Przygotowanie do wejścia w życie ogólnego rozporządzenia o ochronie danych 22 Komentarz Veeam Software na temat GDPR dla CIONET 23 Zarządzanie i ochrona informacji w kontekście GDPR 2
  3. 3. Przed nami jeszcze rok na przygotowania, a RODO już staje się najbardziej znienawidzonym akronimem XXI wieku. Wydaje się, że mamy idealny przykład tego, jak strategia FUD (Fear, Uncertainty, Doubt) może działać w skali makro. RODO jest daleko idącym aktem prawnym – nie pamiętam regulacji wywołującej tak duże i bezpośrednie skutki biznesowe, organiza- cyjne i technologiczne. Z drugiej strony rynek zalewają uproszczo- ne komunikaty i narracje nastawione na wywołanie strachu, w pod- tekście zachęcające do szybkiego nabywania usług, które strach ten mają stłumić. Jak z każdą łatwą receptą na życie – ładnie wygląda, ale niekoniecznie działa.   Z całą pewnością RODO jest rzeczywistością już teraz i już teraz każda organizacja musi się z tą rzeczywistością zmierzyć. Każda na swój sposób, stosownie do własnej specyfiki. Tymczasem, spectrum postaw różnych organizacji wobec RODO jest szerokie, od zupeł- nej nieświadomości, poprzez ignorowanie lub kwestionowanie zmieniającej się rzeczywistości i związanych z tym zagrożeń, aż po skrajną RODO-fobię. Gdzieś pomiędzy są organizacje, które starają się sukcesywnie, ale też ostrożnie dostosowywać do nowych wy- magań, śledząc jednocześnie rozwój sytuacji. Najprawdopodobniej te organizacje nie przeinwestują, ani też nie pozwolą się zaskoczyć.   Dostosowanie procesów ochrony danych i ich przetwarzania wy- maga czasu, zasobów i przede wszystkim jak najszerszego zaanga- żowania organizacji w proces transformacji do standardów RODO. To ważne, bo RODO wymaga transformacji organizacji jako całości i wbudowania w jej DNA dbałości o prywatność. Z tego powodu procesu dostosowania nie da się zlecić na zewnątrz, tak jak nie da się wyoutsourcować w całości działań związanych z zapewnieniem bezpieczeństwa. We wdrożeniu RODO można zatem pomóc, ale nie można wyręczyć. Nie istnieje dostawca, który jednym ruchem do- starczy magiczne rozwiązanie, wszelkie kłopoty usuwające. Żaden dostawca nie zdoła poznać organizacji tak jak osoba z wewnątrz, dlatego taki dostawca może wspierać, konsultować, doradzać, jed- nak na końcu tego procesu to organizacja zdoła lub nie zdoła do- stosować się do nowych zasad gry.   Przetwarzanie danych osobowych jest i będzie kluczową potrzebą współczesnego biznesu. Nie możemy zapomnieć, że nadmiernie asekuracyjne podejście może utrudniać a nawet blokować roz- wój. Jak to ładnie ujął prawie sto lat temu John A. Shedd „A ship in harbor is safe, but that is not what ships are built for”. Wygrają podmioty, które będą potrafiły znaleźć rozsądną równowagę mię- dzy dążeniem do realizacji celów biznesowych, a zgodnością z wy- maganiami prawa. Takie, które będą płynąć dalej zgodnie z obraną strategią i korzystnymi prądami, ale jednocześnie zrobią wszystko, żeby nie dać się zatopić. Przegrają ci, którzy zostaną w porcie lub wypłyną nieprzygotowani.   W świecie strategii FUD liczy się wiedza i odpowiednie decyzje. Konieczne jest budowanie świadomości, co dla organizacji jest groźne, a następnie zlokalizować skuteczne i optymalne dla bizne- su metody  zapewnienia ochrony przed tymi zagrożeniami. RODO przetestuje te umiejętności jak mało który akt prawny. I trzeba przyznać, że choć przymusowe, będzie to najwyższej klasy wy- zwanie intelektualne.  Mec. Marcin Maruta Jeden z najlepszych w Polsce ekspertów w zakresie prawa nowych technologii i własności intelektualnej. Nadzorował największe kontrakty technologiczne w Polsce, posiada ponad 20 lat doświadczenia w doradztwie dla dostawców i klientów sektora ICT. 3
  4. 4.  Sławomir Kowalski, Senior Associate w kancelarii Maruta Wachta sp. j. Co CIOmusi wiedzieć o RODO? 4
  5. 5. Rozporządzenie ogólne o ochronie danych osobowych zacznie obowiązywać 25 maja 2018 r. Tego dnia obudzimy się w nowej rzeczywistości ochrony danych osobowych - dużo bardziej wymagającej i dużo mniej przyjaznej, także dla działów informatyki i CIO. Oto co nas czeka. Po pierwsze kary finansowe – to na gruncie polskim nowość. Obecnie za brak zgodności z ustawą nie zapłacimy ani złotówki, w rze- czywistości RODO ryzykujemy nawet 20 mln EUR lub 4% całkowitego rocznego świato- wego obrotu. Dotychczas zaniedbany przez wiele organizacji obszar stanie się obszarem ryzyka, które trudno będzie bagatelizować. Po drugie zupełnie nowe wymagania – jeśli organizacja przetwarza dane osobowe zgodnie z aktualnymi regulacjami, to i tak będzie musiała wykonać dużo dodatkowej pracy. Jeśli w obszarze ochrony danych nie zrobiła dotychczas nic, to będzie musiała wdrożyć terapię szokową i mocno zająć się tematem, jeśli nie chce się znaleźć w grupie tych co nie zdążą. A jak prognozuje Gartner nie zdąży 50% dużych firm. Po trzecie nowe, oparte na ryzku podej- ście – koniec z jednolitym traktowaniem wszystkich przetwarzających. Im bardziej ryzykowne procesy przetwarzania danych, tym bardziej trzeba będzie o nie zadbać. Jeśli przedsiębiorca opiera swój biznes na przetwarzaniu danych, będzie musiał zrobić dużo więcej niż ten, który dane przetwarza jedynie pomocniczo. Jeśli ktoś uważa, że danych osobowych nie przetwarza wcale, cóż – jest w błędzie. Po czwarte brak twardych wytycznych – nie będzie już odgórnych, w miarę jed- noznaczych (choć mało aktualnych) wy- tycznych jak zmiana hasła co 30 dni. Na podstawie analizy ryzyka uwzględniającej takie czynniki jak rodzaj danych, skalę i cel przetwarzania oraz jego kontekst, trzeba będzie opracować dedykowaną strategię obejmującą m.in. adekwatne mechanizmy zabezpiecza- jące. Nasza decyzja – nasza odpowiedzialność. Po piąte privacy by design i privacy by default – ko- nieczność nieustannego dbania o prywatność i wyka- zywania inicjatywy w kierun- ku jak najlepszej jej ochrony. Na każdym etapie procesu od planowania, poprzez projek- towanie sposobu działania, aż po operacyjne stosowa- nie, trzeba będzie uwzględ- niać perspektywę ochrony prywatności. Powszechne obecnie podejście, polegające na uzyskaniu możliwie szerokiego zakresu danych (a nuż się przyda) i ich przetwarzaniu w sposób maksymalizujący korzyści (bo czemu nie) raczej się nie sprawdzi w czasach RODO. Po szóste rozliczalność – trzeba będzie wykazać, że rzeczywiście przestrzegamy RODO. Aktualne na dziś polityki mogą nie wystarczyć – bo z reguły są pisane na spo- kojne czasy, w których zgodność z checkli- stą w jest w praktyce zgodnością z prawem. Rozliczalność natomiast wymaga wykazania, że polityki przetwarzania danych są żywe, z realną egzekucją i realnymi środkami wy- muszania wewnętrznego podporządkowa- nia organizacji zasadom ochrony danych. Po siódme zarządzanie dostawcami – zgodnie z RODO nie będzie można zlecać przetwarzania niezweryfikowanemu pod- miotowi. Dopuszczalne będzie korzystanie tylko z takich dostawców, którzy gwarantują, że przetwarzanie przez nich danych będzie bezpieczne i zgodne z prawem. Trzeba bę- dzie sprawdzić obecnych dostawców i za- dbać o to, żeby w przyszłości wybierać tylko takich, którzy zapewniają stabilność i bezpie- czeństwo na odpowiednim poziomie. Po ósme budowanie świadomości – klucz do zgodności z RODO. Musimy wiedzieć kto, co i dlaczego przetwarza, komu prze- kazuje, od kogo i na jakiej podstawie dosta- je. Bez tego ani rusz. Najlepsze procedury i systemy nie uratują organizacji, która nie ma pełnej świadomości tego, co robi z da- nymi osobowymi. Po dziewiąte umacnianie kultury organi- zacyjnej – uniknięcie bolesnej konfrontacji z RODO wymaga wykształcenia wrażliwo- ści na ochronę prywatności u osób, które przetwarzają dane. Generalnie wszystkich, chociaż najważniejsze, aby taką wrażliwość miały osoby zarządzające procesami prze- twarzania danych i decydujące o nowych sposobach ich wykorzystania. W głównej mierze od tych osób zależy czy nasza orga- nizacja okaże się RODO-proof. Po dziesiąte mocne przełożenie na ob- szar IT i systemy informatyczne – brak konkretnych wytycznych odnoszących się do IT może powodować błędne i nie- bezpieczne wrażenie, że tego obszaru nie trzeba będzie dostosować do RODO. Tymczasem, wymagania dla IT są pochod- ną innych wymagań, jakie przetwarzający dane będą musieli spełnić. Realizacji czę- ści obowiązków wynikających z RODO po prostu nie sposób sobie wyobrazić bez sprawnie działającego i odpowiednio przygotowanego IT. 5
  6. 6. Obowiązek zapewnienia bezpieczeństwa danych osobowych, poprzez zastosowanie środków takich jak szyfrowanie czy pseudonimizacja i przygotowanie procedur awaryjnych – business continuity czy disaster recovery, w zakresie odpowiadającym wnioskom z oceny ryzyka przetwarzania danych. Trzeba wziąć pod uwagę, że koszty dostosowania systemów i procedur IT oraz czas potrzebny na ich przeprowadzenie, to najprawdopodobniej największe wyzwanie jakie stawia nam RODO. Polityki można opracować szybko, ale rozszerzenie funkcjonalności systemów IT to proces dłuższy, w świecie PZP nawet bardzo długi. 03 05 Obowiązki w zakresie zarządzania cyklem życia danych (od zebrania aż do usunięcia) i realizowania po drodze praw podmiotów danych, m.in. prawa do informacji, prawa do usunięcia części lub całości danych (prawo do bycia zapomnianym) czy prawo do sprzeciwu wobec przetwarzania danych w różnych odmianach. Obowiązek notyfikowania naruszeń ochrony danych osobowych do organu nadzorczego oraz podmiotów danych, przy czym notyfikacja do organu nadzorczego powinna nastąpić w ciągu 72 godzin od stwierdzenia naruszenia. 02 04 Obowiązek zapewnienia przenoszalności danych, to jest umożliwienia podmiotom danych zabranie danych ze sobą (pobrania), w popularnym formacie, nadającym się do maszynowego odczytu, np. w celu przekazania ich innemu usługodawcy. 01 Kilka przykładów wymagań, które będą miały wpływ na IT: 6
  7. 7. Inwentaryzacja – sprawdźmy co mamy. Jakie procesy przetwarzania, jakie systemy, jakie dane, jakich dostawców. To punkt wyjścia do dalszych działań i od tego trzeba zacząć. Identyfikacja – określmy obszary, które wymagają dostosowania do wymagań RODO. To nam pozwoli określić ilość pracy, zaplanować zasoby i budżet. Step plan i jego realizacja – rozpiszmy działania dostosowujące na 2017 i 2018, tj. opracowanie polityk, ocena ryzyka, przygotowanie nowych wzorów umów i klauzul (zgody i informacyjnych), dostosowanie systemów, szkolenie personelu– ostatecznie mamy jeszcze prawie półtora roku. W tym czasie dużo można zrobić. Monitoring – sprawdzajmy, jak zmienia się otoczenie RODO. Samo rozporządzenie to nie wszystko, będą dodatkowe wytyczne, będzie nowa polska ustawa o ochronie danych osobowych i będzie dyskusja jak to wszystko przełożyć na praktykę. Warto być na bieżąco z tematem. 01 02 03 04 Jak to ugryźć? Jeśli chcemy być RODO-ready w maju 2018 to musimy wystartować już. To jest jeden z tych tematów, w których ASAP oznacza wczoraj. Są tacy, którzy twierdzą, że jeśli ktoś jeszcze nie zaczął, to już nie zdąży. Aż tak źle raczej nie jest, ale warto już teraz przyjrzeć się następującym obszarom: 7
  8. 8. Rozporządzenie RODO dotyczy praktycznie wszystkich Organiza- cji przetwarzających dane osobowe i wprowadza szereg istotnych zmian takich jak konieczność pozyska- nia zgody na przetwarzanie danych w sposób jednoznaczny w stosunku do określonego celu przetwarzania, brak konieczności zgłaszania zbio- rów danych osobowych do rejestru prowadzonego przez GIODO, ko- nieczność przeprowadzania analizy ryzyka danych osobowych i stosowa- nia adekwatnych do poziomu ryzyka zabezpieczeń technicznych oraz organizacyjnych, prawna dopusz- czalność pseudoanonimizacji i szy- frowania danych, czy też prawo do bycia zapomnianym lub zaprzestania przetwarzania danych. A to już nie są zmiany kosmetyczne. Warto również odnotować istotne wzmocnienie znaczenia organów nadzoru poprzez rozszerzenie kata- logu ich zadań oraz dostępnych na- rzędzi. Organ nadzorczy jakim jest GIODO będzie musiał być informo- wany o naruszeniach dotyczących gromadzonych i przetwarzanych danych osobowych nie później niż w terminie 72 godzin po stwierdze- niu naruszenia wraz z informacjami odnośnie charakteru naruszenia czy konsekwencji z niego wynikających dla osób których incydent dotyczy. Wyjątkiem mają być sytuacje kiedy naruszenie stwarza niskie prawdo- podobieństwo aby skutkowało ry- zykiem dla praw osób fizycznych. Jednak w przypadku zgłoszenia na- stępującego po upływie 72 godzin podmiot będzie miał obowiązek dołączenia wyjaśnienia przyczyn opóźnienia. Chociaż praktyka w tym zakresie z przyczyn oczywistych niż ostała jeszcze wypracowana, wydaje się być nieuchronne, że oczekiwa- niem regulatora będzie, że elemen- tem składowym takiego wyjaśnienia będzie analiza wpływu naruszenia i związanego z nim ryzyka. Wbrew pozorom zdolność organiza- cji do zgłoszenia naruszenia we wła- ściwym terminie nie musi być zada- niem trywialnym. Przede wszystkim organizacja musi posiadać mecha- nizmy umożliwiające jej zidentyfiko- wanie naruszenia. Mechanizmy inne niż informacja w mediach, że dane np. klientów sę dostępne gdzieś na serwerach a Internecie. Jeżeli „zgło- szenie” odbędzie się poprzez me- dia można oczekiwać, że Regulator szczególnie uważnie może zechcieć przejrzeć się, czy organizacja doło- żyła należytej staranności projektu- jąc swój system zabezpieczeń i do- statecznie poważnie podchodzi do Unijna reforma ochrony danych osobowych – istotna zmiana, czy tylko zmiany kosmetyczne? Konsekwencje finansowe do 4% globalnych przychodów grupy: Kary finansowe za brak zgodności mogą wynieść do 4% globalnych przychodów grypy lub 20 milinów EUR, w zależności od tego która z kar jest bardziej dotkliwa. Kraje członkowskie mogą uzupełnić kata- log sankcji o dodatkowe elementy. Inspektor Ochrony Danych osobowych: Musi zostać powołany inspektor ochrony danych osobowych (DPO) w jednostkach publicznych oraz jednostkach gdzie działalność pod- stawowa wiąże się z regularnym i systematycznym monitorowa- niem i przetwarzaniem specjalnych kategorii danych osobowych. Szeroka definicja danych osobowych: GDPR/RODO definiuje dane oso- bowe jako jakiekolwiek informacje odnoszące się do zidentyfikowanej lub identyfikowalnej osoby w tym dane pseudoanonimowe. Zgłoszenie naruszenia: RODO wymaga aby nie później niż w terminie 72 godzin po stwierdze- niu naruszenia zostało ono zgło- szone właściwemu organowi nad- zorczemu. Odpowiedzialność: Organizacje są zobowiązane usta- nowić kulturę odpowiedzialności oraz świadomego rejestrowania jakie dane osobowe posiadają, do czego są wykorzystywane, zakres kontroli mających zapewnić mi- nimalizację przetwarzania danych oraz ich retencji, w tym ustano- wienie polityk oraz stosownych procedur.      Materiał przygotowany przez firmę: 8
  9. 9. swoich obowiązków wynikających z Rozporządzenia. A konsekwencje ja- kie może wyciągnąć Regulator mogą być bardzo bolesne… Po wtóre samo wykrycie incydentu to jeszcze zbyt mało. Wiele podmio- tów funkcjonujących na rynku nie do końca posiada, lub wręcz zupełnie zaniedbało wypracowanie procedur w zakresie zarządzania kryzysowego w tym zasady komunikacji wewnątrz i na zewnątrz organizacji, w tym z Za- rządem firmy, mediami i regulatorem. Nawet jeżeli zasady takie istnieją to często nie brano pod uwagę rygoru 72 godzinnego okienka, kiedy taka komunikacja musi zaistnieć. Reagowanie na naruszenie danych bę- dzie wymagało dobrze przemyślane- go zbioru działań przeprowadzonych przez różnych ludzi, a raportowanie do Regulatora będzie jednym z tych działań. Definiowanie tych działań i prewencyjne testowanie będzie tylko usprawniać cały proces oraz skracać czas odpowiedzi przy rzeczywistym naruszeniu danych. Nowe obowiązki Przetwarzania Danych Jedną z najbardziej istotnych wśród nowych regulacji dotyczących prze- twarzania danych jest przekazanie odpowiedzialności jednostkom kon- trolującym oraz przetwarzającym dane poprzez wdrożenie organiza- cyjnych i technicznych środków ma- jących na celu zapewnienie bezpie- czeństwa przetworzonych danych osobowych. Podczas gdy Dyrektywa z 1995 przy- pisywała tą odpowiedzialność tylko kontrolerom danych, teraz również w obszarze procesu przetwarzania danych należy wdrożyć odpowied- nie zabezpieczenia w celu osiągnię- cia wymagań ustalonych w RODO. Jednostki przetwarzające dane będą musiały ocenić, czy wdrożone środ- ki są wystarczające jeśli chodzi o cel i zakres przetwarzania, ilość zebra- nych danych, okres składowania da- nych oraz dostęp do danych. Umowa przetwarzania pozostanie podstawą ustalenia celu i zakresu czynności przetwarzania pomiędzy kontrolowa- niem a przetwarzaniem danych, gdzie określenie środków bezpieczeństwa jest możliwe (i pożądane). Pomimo tego, iż możliwe będą tak do- tkliwe kary, nie spodziewamy się, aby regulator nakładał na przedsiębior- stwa nie wywiązujące się ze swoich obowiązków wynikających z rozpo- rządzenia najdotkliwsze z dostępnych sankcji. Przynajmniej nie w ciągu najbliższych kilku lat. Duże organi- zacje, które przetwarzają praktycznie nieograniczone ilości danych osobo- wych, powinny jednak pamiętać, że będą jednymi z pierwszych do których organy ochrony danych zapukają do drzwi w celu sprawdzenia zgodności procesów z RODO. Niemniej jednak, warto aby każda z organizacji, a zwłaszcza te prze- twarzające dane osobowe na skalę masową, zweryfikowały na jakim eta- pie są w swojej drodze do uzyskania zgodności z wymogami wynikający- mi z unijnego rozporządzenia. Jeżeli nie zaczęliśmy jeszcze drogi, warto sięgnąć po owoce wiszące najniżej – analiza luki jako punkt wyjścia wydaje się być najbardziej sensownym punk- tem wyjścia. Po wtóre – dokumenta- cja. Polityki, procedury, opis środo- wiska przetwarzania danych i zasady ich zabezpieczania. Bez tego trudno będzie dowieść, że organizacja doło- żyła należytej staranności w zakresie ochrony danych osobowych, które zostały jej powierzone. Ocena wpływu: Powinien zostać ustanowiony pro- ces regularnego testowania I oceny skuteczności technicznych I orga- nizacyjnych mechanizmów wdro- żonych przez organizację mają- cych na celu zapewnić bezpie- czeństwo zgromadzonych danych osobowych. Zarządzanie dostawcami: Podmioty którym powierzono przetwarzanie danych również są obarczone odpowiedzialności I podlegają rozporządzeniu. Są zo- bowiązani do utrzymywania rejestru działalności jeżeli przetwarzają dane osobowe. Transgraniczne przetwarza- nie danych osobowych: Osoba odpowiedzialna za za dane osobowe zobowiązana jest znać wszystkie podmioty przetwarzające dane osobowe za które są odpo- wiedzialni. Osoba ta jest odpowie- dzialna wspólnie z przetwarzający- mi dane za zapewnienie zgodności z wymogami RODO. Rozszerzenie indywidualnego prawa do prywatności: Osobom, których dane są gro- madzone nadano dodatkowe uprawnienia w zakresie dostępu do danych, udzielania zgody na ich gromadzenie i przetwarzanie, w tym profilowanie na potrzeby marketingu. Prywatność “by design and default”: RODO modyfikuje wymogi tech- niczne w zakresie ochrony danych osobowych tak aby były one brane pod uwagę na etapie projektowania mechanizmów zabezpieczających.      9
  10. 10. 10
  11. 11. Microsoft tworzy i udostępnia usługi sto- sując się do czterech zasad: zapewnienia bezpieczeństwa, ochrony prywatności, za- pewnienia zgodności z wymaganiami prawa oraz przejrzystości. Przy wdrożeniu RODO nasi klienci mogą oczekiwać: • Technologii, które spełniają wyma- gania prawne – szeroka gama usług w chmurze obliczeniowej może być wykorzystana do wdrożenia wymogów RODO, m.in. usuwania, modyfikacji, przesyłania, dostępu i sprzeciwu wobec przetwarzania danych osobowych. • Zobowiązań umownych – wspieramy działania naszych klientów w  zobowią- zaniach umownych dotyczących usług w chmurze, np. wsparcia bezpieczeństwa i powiadomień o naruszeniu bezpieczeń- stwa danych zgodnych z nowymi wymo- gami RODO. W najbliższym czasie nasze umowy licencyjne będą zawierały zobo- wiązania zgodności z RODO. • Dzielenia się doświadczeniami – dzie- limy się naszymi doświadczeniami we wdrażaniu zapisów RODO bazując na naszej praktyce. Podejście Microsoft do implementacji RODO Jak Microsoft może pomóc w przygotowaniach do wdrożenia RODO? Celem Microsoft jest ułatwienie proce- su wdrożenia rozporządzenia u naszych klientów i partnerów. Staramy się to osią- gnąć dzięki naszym technologiom, do- świadczeniom oraz obopólnej współpra- cy. Pomożemy zbudować bezpieczniejsze środowisko, uprościmy wdrożenie zgod- ności z RODO oraz udostępnimy narzędzia i środki potrzebne, by zapewnić zgodność z obowiązującym prawem. The new General Data Protection Regulation (GDPR) is the most significant change to European Union (EU) privacy law in two decades. The GDPR re- quires that organizations respect and protect personal data – no matter where it is sent, processed or stored. Complying with the GDPR will not be easy. To simplify your path to compliance, Microsoft is committing to be GDPR compliant across our cloud services when enforcement begins on May 25, 2018.1 Brendon Lynch – Chief Privacy Officer, Microsoft Opublikowano: 15 lutego 2017 r. 1 blogs.microsoft.com/on-the-issues/2017/02/15/get-gdpr-compliant-with-the-microsoft-cloud/ #sm.0000ehu9cr12jneqsqmjpj68sf1df, dostęp: 27 lutego 2017r. Materiał przygotowany przez firmę: 11
  12. 12. W związku z rosnącą świadomością konsumen- tów na temat konsekwencji naruszeń danych osobowych i możliwości ich nielegalnego wy- korzystania, w prowadzeniu działalności biz- nesowej na znaczeniu zyskują takie czynniki jak zaufanie i odpowiedzialne praktyki w zakresie za- rządzaniainformacjami.Jesttoszczególnieistot- ne w kontekście rozwiązań cyfrowych umożli- wiających gromadzenie i analizę coraz większych ilości informacji o klientach i pracownikach. Do roku 2018 organizacje znajdujące się w posiadaniu danych dotyczących obywateli UE, na podstawie których możliwa jest iden- tyfikacja osoby fizycznej, będą musiały dosto- sować się do zapisów Ogólnego Rozporzą- dzenia o Ochronie Danych (ang. General Data Protection Regulation, GDPR). Rozporządzenie GDPR wprowadza kryterium odpowiedzialności, zgodnie z którym podmio- ty gospodarcze muszą zarówno przestrzegać regulacji, jak i wykazać zgodność z ich zapisa- mi. Artykuł rozporządzenia GDPR 5 (1f) stano- wi, że „dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpie- czeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z pra- wem przetwarzaniem oraz przypadkową utra- tą, zniszczeniem lub uszkodzeniem, za pomo- cą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Artykuł 32 (1) nakłada na przedsiębiorstwa obowiązek „wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”. W rozporządzeniu GDPR nie określo- Korzyści Zakomunikowanie dobrej znajomości wymogów rozporządzenia GDPR w odniesieniu do prywatności i ochrony danych Opracowanie i wdrożenie skutecznego programu GDPR Wiedza o skutkach rozporządzenia GDPR w zakresie cyfryzacji i rozwiązań IoT Większe zaufanie klientów dzięki wdrożeniu efektywnego programu zgodności z rozporządzeniem GDPR Plan rozwoju opartego o transformację i przystosowanie się do rozporządzeń obowiązujących w skali globalnej Ograniczenie kosztów stałych i ryzyka naruszenia danych Szybsza implementacja programu GDPR przy wsparciu doświadczonych konsultantów i wykorzystaniu sprawdzonej metodologii Najważniejsze jest zaufanie klientów Usługi doradcze w zakresie prywatności oferowane przez firmę Cisco: Ogólne rozporządzenie o ochronie danych        Materiał przygotowany przez firmę: 12
  13. 13. Analiza wpływu i zakresu rozporządzenia GDPR Odniesienie się do wymogów regulacyjnych określonych w rozporządzeniu GDPR • Ocena poziomu, w jakim dane, partnerzy i podmioty organizacji mają odpowi- adać zapisom rozporządzenia GDPR • Poznanie bieżącego stanu wdrażanego programu zgodności oraz zdefiniowan- ie kroków, które należy podjąć w celu opracowania skutecznego programu pry- watności spełniającego kryteria określone w rozporządzeniu GDPR • Analiza programu zgodności z rozporządzeniem GDPR mająca na celu dostoso- wanie go do zmian w usługach biznesowych, nowych rynków, wprowadzania rozwiązań technologicznych, współpracy z partnerami i zmian regulacyjnych • Identyfikacja pozostałych zobowiązań w obszarze zgodności, uwzględnionych w planach biznesowych Opracowanie i ocena programu GDPR Opracowanie programu ochrony danych i prywatności zgodnego z rozporządze- niem GDPR, uwzględniającego konkretne potrzeby organizacji i nowe regulacje • Ewaluacja kryteriów i obowiązków określonych w rozporządzeniu GDPR • Poznanie konkretnych potrzeb biznesowych, cyklu życia informacji, planów rozwojowych i sposobów wykorzystania technologii • Ocena wpływu na prywatność (ang. Privacy Impact Assessment) w celu zdefin- iowania informacji umożliwiających identyfikację osób – chodzi o to, jakie dane są gromadzone, w jakim celu, jak zostaną wykorzystane i zabezpieczone, jak będą przechowywane i przekazywane. • Ocena istniejącego programu i porównanie go ze standardowym zestawem odpowiednich założeń odnoszących się do dojrzałości procesów • Opracowanie kompleksowego planu dotyczącego programu prywatności, który spełni zarówno oczekiwania przedsiębiorstwa, jak i wymogi rozporządzenia GDPR w zakresie zgodności GDPR – wsparcie w zakresie zgodności i certyfikacji Konsolidacja i przyspieszenie skutecznej implementacji istniejących inicjatyw w programie GDPR • Udzielanie niezależnych i cennych sugestii dotyczących tego, jak w praktyczny sposób sprostać wymaganiom dotyczącym prywatności i ochrony danych • Szybsze przygotowanie i wdrożenie programu GDPR dotyczącego prywatności i ochrony danych • Przekształcenie wymogów rozporządzenia GDPR w zakresie zgodności w prak- tyczny program i plan implementacji • Analiza mechanizmów nadzoru nad istniejącym programem GDPR w zakresie zgodności oraz ocena gotowości do certyfikacji GDPR – usługi w zakresie ochrony danych Opis świadczonych usługno konkretnej metody bezpiecznego prze- twarzania danych – firmy same muszą zadbać o wdrożenie mechanizmów kontrolnych do- stosowanych do poziomu ryzyka, na które na- rażone są dane osobowe. Największy sukces osiągną organizacje, które zdecydują się na współpracę z partnerami rozumiejącymi jed- nolity rynek cyfrowy UE i potrafiącymi spełnić kryteria zgodności obowiązujące w technicz- nej strukturze ramowej. Firma Cisco już od kilku dekad koncentruje się na tworzeniu i ochronie sieci (oraz zarzą- dzaniu nimi), które łączą systemy z ich użyt- kownikami. Nasze rozwiązania umożliwiają skuteczne poznanie technologii, ich segmen- tację i zarządzanie nimi w samym sercu po- łączonego świata – na poziomie sieci, ser- werów, aplikacji, użytkowników i danych. To właśnie ta dogłębna znajomość skompliko- wanych powiązań między różnymi domena- mi technicznymi oraz interakcji z procesami biznesowymi i wymogami zgodności pozwa- la firmie Cisco pomagać klientom w przygo- towaniu i wdrożeniu odpowiednich mecha- nizmów zarządzania informacją. A wszystko to z myślą o realizacji skutecznych strategii w dziedzinie ochrony prywatności i danych w cyfrowym świecie. Usługi doradcze w zakresie prywatności i ochrony danych oferowane przez firmę Cisco zapewniają rzetelne i wszechstronne wsparcie. Nasi doświadcze- ni konsultanci ds. technologicznych i prywatności określą kryteria wynikające ze zobowiązań biznesowych i regulacyjnych odnoszących się do zarządzania informacjami umożliwiającymi identyfikację osób (ang. Personally Identifiable Information, PII) oraz innymi wrażliwymi danymi klientów. Eksperci ds. bez- pieczeństwa pomagają naszym partnerom poznać konkretne wymogi doty- czące odpowiedniego programu zarządzania informacjami, oceniają ich ak- tualny potencjał i opracowują indywidualnie dopasowaną infastrukturę umoż- liwiającą lepszą ochronę prywatności. Pomagamy również w lepszym zrozu- mieniu kryteriów biznesowych, opcji rozwoju i prognozowanych przypadków użytkowych, co sprzyja tworzeniu zrównoważonej struktury ramowej GDPR i opracowaniu planu wdrożenia działań w obszarze zgodności związanych z inicjatywami cyfrowymi i technologicznymi. W efekcie powstaje projekt dojrzałego, kontrolowanego i zgodnego z zapisami rozporządzenia GDPR programu w dziedzinie prywatności, który pozwala utrzymać zaufanie klientów w kwestii inicjatyw cyfrowych i wprowadzanie innowacyjnych technologii. 13
  14. 14. Trend Micro oraz VMware we współpracy z agencją badawczą ARC Rynek i Opinia przeprowadziły wśród polskich przedsię- biorców badanie poświęcone znajomości unijnego rozporządzenia o  ochronie da- nych (GDPR). Wyniki są niepokojące: po- nad połowa (52%) firm nigdy nie słyszała o GDPR, natomiast aż dwie trzecie (67%) z nich nie zdaje sobie sprawy z tego, ile cza- su pozostało na wdrożenie rozporządzenia. Dokładnie 25 maja 2018 r. zaczną funkcjo- nować nowe przepisy dotyczące ochrony danych, a firmy będą musiały przejść przez żmudny proces weryfikacji wewnętrznych procedur cyberbezpieczeństwa. Cho- dzi o ogólne rozporządzenie o ochronie danych osobowych, czyli GDPR (od an- gielskiej nazwy General Data Protection Regulation). Nowe prawo będzie mieć zastosowanie w przedsiębiorstwach oraz instytucjach przetwarzających lub groma- dzących dane osobowe osób przebywają- cych w krajach UE. Zmianie ulegną zasady rejestrowania, przechowywania, przetwa- rzania i udostępniania danych wszystkich osób fizycznych. „Dokument GDPR jest sformułowany w sposób odmienny od obecnie obowiązu- jących przepisów. Dotychczasowe podej- ście polegało na stosowaniu określonych procedur w przetwarzaniu informacji oso- bowych w celu uświadomienia obywatelom samego faktu ich zbierania. Obecne rozpo- rządzenie skupia się na problemie jawności bezpieczeństwa zbioru danych – każdy przypadek naruszenia bezpieczeństwa, strategia cyberbezpieczeństwa do 25 maja 2018 r. CEL Czas działać! FIRM NIE SŁYSZAŁO JESZCZE O GDPR FIRM NIE WIE, ILE CZASU POZOSTAŁO NA WDROŻENIE ROZPORZĄDZENIA FIRM JEST CAŁKOWICIE PEWNYCH POSIADANYCH ZABEZPIECZEŃ KARY FINANSOWE ODPOWIEDZIALNOŚĆ TAKŻE POZA UE INFORMOWANIE O NARUSZENIACH PRAWO DO BYCIA ZAPOMNIANYM FIRM ZA BARDZO DOTKLIWĄ UZNAŁO MAKSYMALNĄ MOŻLIWĄ KARĘ: 4% ROCZNEGO OBROTU FIRM NIE WIE, KTO PONOSI ODPOWIEDZIALNOŚĆ W SYTUACJI NARUSZENIA DANYCH PRZEZ USŁUGODAWCĘ Z USA NIE MA WDROŻONYCH ŻADNYCH PROCEDUR INFORMOWANIA ORGANU OCHRONY DANYCH O ZAISTNIAŁYCH NARUSZENIACH FIRM NIE DYSPONUJE NARZĘDZIAMI I TECHNOLOGIAMI DAJĄCYMI KONSUMENTOWI PRAWO DO BYCIA ZAPOMNIANYM Ogólne rozporządzenie o ochronie danych* 52% 67% 26% 72% 42% 96% 50% 14
  15. 15. wyciek lub modyfikacja musi być ujawnia- ny klientom firmy, a odpowiednie organa powiadamiane o fakcie włamania. Ma to ukrócić dotychczasową praktykę ukrywania faktów naruszeń bezpieczeństwa przed opi- nią publiczną, co powodowało powszech- ne ignorowanie tego problemu jako rze- komo mało istotnego i niewymagającego jakichkolwiek inwestycji. Dlatego kolejną nowością wprowadzaną przez GDPR jest konieczność zastosowania adekwatnych zabezpieczeń technologicznych. Nie są przy tym wskazywane konkretne technolo- gie, ale stawiany jest wymóg odpowiedniej jakości owych zabezpieczeń. Świadczy to o strategicznym podejściu UE, które ma za- chęcić firmy do tego, aby myślały o bezpie- czeństwie w bardziej kompleksowy sposób” – mówi Michał Jarski, Regional Director CEE w firmie Trend Micro. Rozporządzenie GDPR przyznaje również osobom fizycznym prawo do bycia zapo- mnianym, czyli zażądania niezwłocznego usunięcia danych osobowych. Wobec tego organizacje muszą na życzenie usunąć wszystkie dane osobowe i związane z nimi odnośniki. Alarmujący jest fakt, że – jak wynika z badania – aż połowa ankietowa- nych firm (50%) nie dysponuje procedurami i technologiami zapewniającymi konsu- mentowi prawo do bycia zapomnianym To nie koniec niepokojących informacji. Niestety aż 42% organizacji nie ma wdro- żonych żadnych procedur informowania organu ochrony danych o zaistniałych na- ruszeniach. A takie są niezbędne do tego, aby realizować założenia nowego prawa, które obliguje firmy do zgłoszenia incy- dentu w ciągu maksymalnie 72 godzin od jego wystąpienia. W razie zaniechania ta- kiego działania, przedsiębiorstwa te mogą być ukarane grzywną w wysokości nawet 4% rocznych obrotów. Prawie trzy czwar- te firm (72%) uważa, że taka kara jest bar- dzo dotkliwa. „Zachowanie zgodności z nowym prawem nie podlega dyskusji i to w interesie orga- nizacji leży dołożenie wszelkich starań, aby ostrożnie i z rozmysłem zaplanować wszyst- kie kroki mające zapewnić pełne przestrze- ganie zasad zawartych w rozporządzeniu. Szkolenia są tu nieodzowne” – mówi Paweł Korzec, Regional Presales Manager, Eastern Europe w firmie VMware. Nowe przepisy stworzą organom regula- cyjnym realne możliwości przeciwdzia- łania nadużyciom. Nie będzie już miejsca na nieprzestrzeganie zasad, a firmy, które zlekceważą zapisy rozporządzenia, będą surowo karane. Aby uniknąć takich sytu- acji, w ciągu nadchodzących kilkunastu miesięcy przedsiębiorstwa powinny opra- cować i wdrożyć odpowiednią strategię cyberbezpieczeństwa. O badaniu Badanie przeprowadzono jesienią 2016 r. na grupie odpowiedzialnych za ochronę da- nych przedstawicieli 200 firm zatrudniają- cych powyżej 100 osób. Struktura próby jest reprezentatywna ze względu na proporcje sektorowe (przemysł/usługi/handel). Polscy przedsiębiorcy wciąż nie są przygotowani na wejście w życie unijnego rozporządzenia o ochronie danych Badanie Trend Micro i VMware: ponad połowa polskich firm nie słyszała o rozporządzeniu GDPR Pełna wersja raportu jest do pobrania na stronie VMware http://bit.ly/raportGDPR_PL Materiał przygotowany przez firmę: 15
  16. 16. Materiał przygotowany przez firmę: Bieżące przygotowania przedsiębiorstw na spotkanie z rozporządzeniem unijnym GDPR i wynikającymi z tego nowymi przepisami pol- skimi RODO oscylują przede wszystkim wokół wyznaczenia ABI (Administrator Bezpieczeń- stwa Informacji), przygotowania nowej treści zgód oraz analizy celów przetwarzania. Część przedsiębiorców uważa, iż nowe przepisy nie wymuszą zmian w procesie zarządzania danymi osobowymi wewnątrz ich firm, gdyż w ich prze- konaniu wcześniejsze przystosowanie proce- sów do dotychczas obowiązujących przepisów już ich do tego przygotowało. Ponadto liczba osób skazanych prawomocnie w procesach kar- nych za łamanie obecnie obowiązującej ustawy jest do tej pory tak niska, iż aspekt konsekwencji nie jest czynnikiem motywującym. W naszym przekonaniu nowa regulacja zmieni ten stan i drastycznie zwiększy liczbę takich przypadków. W branży widać wyczekiwanie na projekt pol- skiej wersji unijnej regulacji, który najpewniej pojawi się na wiosnę br. oraz tego jak będzie wyglądała nowa organizacja GIODO i jej plany związane z realizacją nowej ustawy. Patrząc na to, jak przygotowują się urzędy w innych krajach na moment wejścia regulacji w życie, związany z tym wzrost zatrudnienia w urzę- dach i fiskalny charakter tych przygotowań - należy oczekiwać, że polscy urzędnicy pójdą w tą samą stronę. Warto podkreślić, iż dobrze skompletowa- na skarga skierowana do GIODO już dzi- siaj skutkuje wizytą prokuratora a nie in- spektora. Założenie, że inspektorzy skierują się w maju przyszłego roku (wejście w życie RODO) przede wszystkim w stronę bogatszych branż i że nie wystarczy im zasobów do tego, aby uruchomić strumień kar naszym zdaniem jest błędne. Już dzisiaj urząd w dużym stopniu angażuje ABI w kompletowanie informacji nt. przetwarzania danych w wybranych gałęziach gospodarki. Niestety część z nich zmaga się z problemem braku zrozumienia dla wymo- gów nowej regulacji na poziomie zarządów firm, braku akceptacji wniosków na niezbędne inwestycje i przygotowanie firmy nie tylko na audyty RODO, ale na inwestycje w IT. Przepisy RODO oznaczają konieczność wy- posażenia ABI w odpowiednie narzędzia a po- tencjalne kary finansowe wynikające  z niewy- pełnienia nowych regulacji, nienależytego zabezpieczenia infrastruktury i przygotowania pracowników powinny być motywacją do in- westycji. Z naszych doświadczeń wynika, że zakupy narzędzi security następują przeważnie po odnotowaniu incydentu, choćby ze wzglę- du na to, że ta część IT zawsze była postrze- gana, jako koszt nie biorący udziału w budo- waniu przewagi konkurencyjnej. Wysokość kar zapisanych w nowej unijnej regulacji zapewne skłonią przedsiębiorców do wcześniejszego zadbania o ten obszar. Ponadto należy mieć na uwadze inny aspekt, czyli jak zmienią się zachowania osób fizycz- GDPRi nowe wyzwania cyberbezpieczeństwa … przemyślenia eksperta Dimension Data  Mieszko Jeliński, Business Line Manager – Security, Dimension Data Polska Skuteczne i kompleksowe zabezpieczenie przedsię- biorstwa stało się bar- dzo kosztowne a rozwój metod hakerskich sprawia iż nie ma 100% zabezpie- czenia przed atakiem. 16
  17. 17. nych, które nie tylko najprawdopodobniej za- leją firmy wnioskami o udzielenie informacji ale także, co nieuniknione, skargami w stronę GIODO. Nie ma branży, która może spać spo- kojnie – co widać na przykładzie ostatnich kontroli GIODO w przychodniach medycz- nych po skargach pacjentów. Security Operations Center Skuteczne i kompleksowe zabezpieczenie przedsiębiorstwa stało się bardzo kosztowne a rozwój metod hakerskich sprawia iż nie ma 100% zabezpieczenia przed atakiem. Wysiłek specjalistów zmierza w kierunku umożliwienia firmom radzenia sobie ze skutkami, oceny ja- kie dane zostały wykradzione. Same produkty zabezpieczające nie są tak kosztowne jak bu- dowa własnego zespołu Security Operations Center (SoC) i odpowiednie doposażenie tego zespołu w narzędzia. Regulacja RODO nakazuje poinformować GIODO nie później, niż w przeciągu 72 godzin od momentu po- wzięcia wiadomości o wycieku, a osoby któ- rych dane dotyczą nakazuje poinformować bez zbędnej zwłoki. Specyfika regulacji zobowiązuje przedsiębior- ców do posiadania środków technicznych, które umożliwią stwierdzenie, jakie dane pod- legały naruszeniu. Ta część jest najbardziej kosztowna i w praktyce bardzo trudna do zrealizowania poza grupą największych przed- siębiorstw z budżetami IT umożliwiającymi odpowiednie inwestycje. Problemem jest tak- że brak możliwości zatrudnienia fachowców, gdyż luka pomiędzy podażą i popytem na ryn- ku pracy szybko rośnie. W uproszczeniu kosztowność wyposażenia firmy w zdolność do udokumentowania ta- kiego naruszenia polega na wyposażeniu zespołu SoC w narzędzia do monitoro- wania i nagrywania każdego istotnego przepływu danych wszelkimi wykorzy- stywanymi w firmie kanałami, zbieraniu logów z zachowania urządzeń informa- tycznych, w które firma jest wyposażo- na – a w przypadku wystąpienia incydentu zaangażowanie tego zespołu, z konieczności będącego elitą wśród fachowców IT, w zi- dentyfikowanie miejsca i zakresu naruszenia. Nieuchronność wejścia nowych przepisów w życie spowodowała nasilenie rekrutacji na i tak już mocno wydrenowanym ze specjali- stów rynku. Ekspert stał się najbardziej rzadkim zasobem w procesie przygotowywania firm do RODO. Ponadto liczba integratorów w kraju mających kompetencje we wdrażaniu i utrzy- mywaniu tak zaawansowanych systemów bez- pieczeństwa jest ograniczona. Z dużą dozą prawdopodobieństwa można za- łożyć, iż duża grupa przedsiębiorstw o narusze- niach ochrony danych osobowych dowie się, jak to się niestety dzieje obecnie, w ramach po- stępowania kontrolnego lub prokuratorskiego. Z naszych obserwacji wynika, że spora część przedsiębiorców oczekując na polską wersję regulacji RODO nie podejmuje żadnej konkret- nej decyzji w tym obszarze. Brak adekwatnej reakcji zarządów na oczywiste potrzeby za- pewnienia zgodności z przepisami i nowymi wymogami w chwili obecnej spiętrzy problem w momencie, gdy nowe GIODO zacznie eg- zekwować zapisy ustawy. W konsekwencji zapewne otworzy to drogę do popularyzacji usług outsourcingu funkcji ABI, gdyż kontrak- ty B2B efektywniej ograniczą ryzyka pracy ta- kiego ABI operującego w trudnych warunkach bez wsparcia Zarządu w porównaniu do umów o pracę. Model subskrypcyjny – usługa bez inwestycji Alternatywą do wysokich kosztów inwestycji w zabezpieczenia środowiska IT już w tej chwi- li są usługi outsourcingu platform i procesów zapewniających bezpieczeństwo – z zespołem SoC pracującym dla wielu klientów dostarcza- jącym użytkownikom końcowym niezbędne licencje narzędzi security w modelu subskryp- cyjnym. Taki model wyniesienia zadania wy- posażenia przedsiębiorstwa w zdolność do przejścia certyfikacji RODO na zewnątrz może okazać się też jedynym pasującym do kalenda- rza. Powód? – niesamowicie trudno jest zbu- dować kompleksowe środowisko spełniające wymagania nowych regulacji w krótkim czasie oraz przy dużym problemie z rekrutacją spe- cjalistów. Przykładem wspomnianej usługi jest platforma zbudowana wspólnie przez NASK oraz Dimension Data. Usługi bezpieczeństwa dostarczane wspólnie przez Dimension Data i NASK Usługi oferowane wspólnie przez Dimen- sion Data i NASK zapewniają kompleksowe zabezpieczenie danych, aplikacji i systemów wraz z zarządzaniem środowiskiem IT. RODO Security Ops Center Monitoring baz danych Strategia rozwoju cyber-sec Audyt RODO Obieg dokumentów Systemy Security DLP ABI Elementy usługi ochrony środowiska IT 17
  18. 18. ZALETY proaktywnej ochrony Proaktywna ochrona źródeł danych war- tościowych i wrażliwych, a także urządzeń końcowych i poczty elektronicznej pra- cowników, stwarza możliwość powstania “data lake”, które dla całego przedsiębior- stwa przekłada się na realne korzyści. Ta- kie podejście eliminuje w praktyce potrze- bę utrzymywania oddzielnych zbiorów danych, zrzutów całej zawartości dysków i masowych zrzutów danych (np. na po- trzeby eDiscovery lub dochodzeń), co zwykle wiąże się z dużymi kosztami prze- twarzania i analizy. “Data Lake” pozwala również na ograniczenie lub nawet na wyeliminowanie zewnętrznych narzędzi do synchronizacji i udostępniania danych oraz kosztownych platform wyszukiwania klasy korporacyjnej. Zapewniony jest przy tym łatwy dostęp do zdecydowanej więk- szości - istotnych danych. Szefowie odpowiedzialni za pracę działów IT muszą teraz podjąć świadome i możli- wie najbardziej perspektywiczne decyzje w kwestii inwestycji w rozwój struktury sys- temów. Istotne jest utrzymanie równowagi pomiędzy koniecznością skonsolidowania zarządzania danymi, a potrzebą rozwiązy- wania bieżących problemów operacyjnych w tym zakresie. Dedykowanym rozwiązaniem są wyspecja- lizowane produkty służące centralizacji za- rządzania danymi. Wprowadzenie GDPR jest więc jednocześnie czynnikiem, który stymulu- je rynek dostawców specjalistycznego opro- gramowania. DANE NIEUSTRUKTURYZOWANE - NAJ- WIĘKSZE WYZWANIE Największym spośród wyzwań, z którymi będą musieli się zmierzyć managerowie IT, będzie zapewnienie firmie kontroli nad danymi nieustrukturyzowany- mi. Jakkolwiek rozwiązania do przetwarza- nia danych strukturalnych zawierają funkcje zarządzania ich zgodnością z przepisami, to trudno mówić tu o zapewnieniu takiej zgodności w przypadku danych niestruktu- ralnych. Zwłaszcza dla mobilnych czy sta- cjonarnych urządzeń końcowych wiadomo- ści e-mail czy serwerów z setkami, a nawet tysiącami autoryzowanych użytkowników. Pośród tych wątpliwości rodzi się kolejne pytanie: Jak najbardziej optymalnie i kom- pleksowo rozwiązać ten problem bez korzy- stania z wielu niszowych produktów? KOMPLEKSOWE ROZWIĄZANIE KWE- STII ZGODNOŚCI Z GDPR Commvault® Data Platform integruje operacje związane z ochroną danych o znaczeniu krytycznym, zapewnieniem ich zgodności i wyszukiwa- niem informacji — wszystko w ramach jed- nego, spójnego rozwiązania. Dzięki temu na- rzędziu możliwe jest nie tylko weryfikowanie posiadanych danych nieustrukturyzowanych, ale i wypełnianie obowiązków definiowanych przez Rozporządzenie o Ochronie Danych Osobowych oraz wykazywanie zgodności działań firmy z jego przepisami wobec orga- nów regulacyjnych. Materiał przygotowany przez firmę: POTRZEBA PODJĘCIA ODPOWIEDNICH ŚRODKÓW 18
  19. 19. E-maile lokalne lub w chmurze Użytkownicy zdalni i lokalni Rozwiązania do przetwarzania w chmurze Centrum przetwarzania danych PROAKTYWNA OCHRONA Zintegrowany backup i odtwarzanie kopii zapasowych oraz archiwizacja Zintegrowane, wirtualne repozytorium danych docelowych, umożliwiające wyszukiwanie Automatyczne zarządzanie danymi Globalne zmniejszenie kosztów przechowywania i zarządzania danymi Niezależność od platformy sprzętowej i dostawcy chmury DOSTĘP ANALIZA ZARZĄDZANIE WYTWARZANIE LUB KASOWANIE Bezpieczny dostęp użytkowników Wtyczki do programów Outlook® i Explorer® Żądania dostępu lub kasowania danych eDiscovery i przeprowadzanie dochodzeń Retencja z uwzględnieniem typu zawartości Wykrywanie wycieków danych Mapowanie danych Lepsza widzialność dzięki federacyjnemu wyszukiwaniu danych Pracownicy i źródła danych Warstwy 1 CAB Dostęp na potrzeby zapewnienia zgodności XML Usuwanie 30 LAT Pracownicy i źródła danych małego ryzyka 1 ROK B B C A A Z automatyczną obsługą storage tiering Commvault® Data Platform integruje funkcje zapisywania i odtwa- rzania kopii zapasowych oraz archiwizacji danych, co pozwala na utworzenie jednego, zintegrowanego repozytorium wartościowych informacji nieustrukturyzowanych. Co ważne - dane te mogą być z łatwością przeszukiwane. To wszystko sprawia, że omawiane roz- wiązanie stanowi solidny fundament do prowadzenia nadzoru korpo- racyjnego nad danymi. Zapewnia ono bowiem nie tylko jasny wgląd, ale i pełną kontrolę nad danymi, co jest niezbędne do wypełnienia obowiązków nakładanych przez GDPR. UZYSKAJ PEŁEN WGLĄD W DANE OSOBOWE PRZECHOWYWANE PRZEZ KAŻDY DZIAŁ TWOJEJ FIRMY • Dostęp do informacji o miejscach przechowywania danych osobo- wych w obrębie całego przedsiębiorstwa pozwala na optymalizację kontroli dostępu, a także konsolidację oraz ustalanie odpowiednich priorytetów działaniom na rzecz bezpieczeństwa. DYNAMICZNA REAKCJA NA WNIOSKI PODMIOTÓW, KTÓRYCH DO- TYCZĄ PRZECHOWYWANE DANE • Postaw prewencyjnie na rozwiązanie, dzięki któremu zminimali- zujesz lub nawet wyeliminujesz mało wydajne operacje dokony- wane ad-hoc w chaotycznym zbiorze danych. Przyspiesz proces wyszukiwania, tworzenia oraz - w razie potrzeby - usuwania da- nych osobowych. ZAUTOMATYZUJ RESPEKTOWANIE POLITYKI DOTYCZĄCEJ PRZE- CHOWYWANIA DANYCH • Bieżące usuwanie nieaktualnych danych z urządzeń końcowych, poczty elektronicznej czy źródeł w centrach przetwarzania danych, a także kopii zapasowych i archiwalnych, w celu respektowania prze- pisów dotyczących przechowywania danych. UCZYŃ ŁATWIEJSZYM PRZESTRZEGANIE ZASAD BEZPIECZEŃSTWA I PRYWATNOŚCI DANYCH • Wykrywaj ewentualne wycieki danych, co minimalizuje potrzebę nie- wydajnego sprawdzania systemów i urządzeń końcowych. • Usuwaj dane objęte szczególną ochroną z nieautoryzowanych loka- lizacji. • Uzyskaj dodatkową ochronę przed zagrożeniami typu ransomware. • Skorzystaj z szybkiej, alternatywnej metody oceny skali zagrożenia w przypadku naruszenia ochrony. Ułatwiaj tym samym prawnym in- teresariuszom zaplanowanie powiadomienia o naruszeniu. ELASTYCZNOŚĆ I DOSTĘPNOŚĆ NARZĘDZIA • Szybkie odzyskiwanie danych w przypadku incydentu. • Możliwość odtworzenia danych do dowolnej lokalizacji (fizycznej lub do chmury), a nawet w kilku lokalizacjach jednocześnie. SOLIDNY FUNDAMENT DO WPROWADZENIA zintegrowanego nadzoru korporacyjnego nad danymi 19
  20. 20. Pierwsze wyzwanie związane ze spełnieniem wymogów określonych w ogólnym rozporzą- dzeniu o ochronie danych dotyczy zbadania – i w stosownych przypadkach zmodyfikowania – sposobu, w jaki organizacja gromadzi, prze- chowuje i przetwarza dane osobowe zgodnie z tymi prawami. W przypadku niektórych orga- nizacji może być to dobra okazja do uproszcze- nia operacji poprzez zaprzestanie gromadzenia niepotrzebnych danych oraz ograniczenie ich przetwarzania wyłącznie do zakresu, w jakim jest to niezbędne do realizacji podstawowych celów biznesowych. Zgłaszanie przypadków naruszenia W ogólnym rozporządzeniu o ochronie danych nakłada się również na organizacje nowy obo- wiązek powiadamiania właściwych organów o naruszeniu ochrony danych osobowych1 , które może wiązać się z wysokim ryzykiem na- ruszenia praw lub wolności osób fizycznych. W przypadku uznania ryzyka za „wysokie” za- wiadomienie należy skierować również do osób będących przedmiotem naruszenia, których dane dotyczą. Zawiadomienia należy dokonać „bez zbędnej zwłoki”, a jeżeli jest to wykonalne, nie później niż w terminie 72 godzin po stwier- dzeniu naruszenia. Istotną kwestią, którą należy podkreślić, jest związek między wykryciem a zgłoszeniem na- ruszenia. Zgodnie z przepisami zawiadomienia należy dokonać w ciągu 72 godzin. Pierwszy nieautoryzowany dostęp, którego dopuścił się haker, mógł jednak mieć miejsce na wiele dni, tygodni lub nawet miesięcy przed faktycznym naruszeniem danych. Według sprawozdania M-Trends z 2016 r. średni czas miedzy pierw- szym nieautoryzowanym dostępem a jego wy- kryciem wynosi 146 dni. Zasadnicze znaczenie dla powodzenia naruszenia ochrony danych ma pojawienie się „okazji”, a zmniejszenie prawdo- podobieństwa lub całkowite uniemożliwienie jej wystąpienia jest niezbędne do zapewnienia ochrony danych organizacji. Ponieważ każde naruszenie ochrony danych rozpoczyna się od pierwszego nieautoryzowanego dostępu, pierwszym krokiem w kierunku ochrony da- nych i przestrzegania przepisów ogólnego roz- porządzenia o ochronie danych powinno być zapewnienie wystarczającego bezpieczeństwa wykorzystywanej sieci. Zabezpieczanie sieci Dlaczego wciąż dochodzi do takich przypad- ków naruszenia ochrony danych Jedną z przyczyn jest z pewnością trudność w dotrzymaniu kroku zmieniającemu się cha- rakterowi zagrożeń. Ogromne zyski płynące z cyberprzestępczości, nie wspominając o po- Materiał przygotowany przez firmę: Przygotowanie do wejścia w życie ogólnego rozporządzenia o ochronie danych  Patrick Grillo, EMEA Sales and Marketing Director, Fortinet tencjale tego procederu w kontekście prowa- dzenia wojny zastępczej, zapewniają sprawcom takich przestępstw zasoby i możliwość korzy- stania z innowacyjnych rozwiązań, które mogą istotnie przewyższać zasoby i możliwości do- stępne dla pojedynczych przedsiębiorstw czy nawet rządów państw. Jednak czynnikiem, który należy uznać za jesz- cze istotniejszy w tym kontekście, jest kwestia kierunku, w jakim sieć działająca w przedsię- biorstwach ewoluowała na przestrzeni cza- su. W miarę jak przedsiębiorstwa przyswajały różnego rodzaju technologie, m.in. internet, dostęp bezprzewodowy i przechowywanie da- nych w chmurze, aby czerpać z nich konkretne korzyści biznesowe, każda z tych technologii generowała również nowe zagrożenia dla bez- pieczeństwa sieci. W większości przypadków dochodziło do zmiany topologii, ale nie ochro- ny obwodowej sieci, co sprawiało, że stawała się ona podatna na nowe kierunki ataków. Tę cechę sieci powszechnie określa się jako jej „bezgraniczność”. Inną powszechną praktyką powiązaną z bez- granicznym charakterem sieci, ale odrębną od tej cechy, jest łączenie i dopasowywanie różnych technologii bezpieczeństwa dostar- czanych przez różnych dostawców, często w reakcji na ostatnie przypadki naruszenia ochrony danych. Choć poszczególne pro- dukty, z jakich korzysta dane przedsiębior- stwo, mogą działać zgodnie ze swoim prze- znaczeniem, w wielu przypadkach zdarza się, że twórcy tych produktów nie przewidzieli możliwości ich skutecznego współdziałania 1 W niniejszym dokumencie naruszenie ochrony danych definiuje się jako jakiekolwiek naruszenie bezpieczeństwa skutkujące zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych. 20
  21. 21.  ŚWIADOMA ZGODA prawo do uzyskania jasnych informacji na temat tego, dlaczego dane są potrzebne oraz w jaki sposób zostaną wykorzystane. Zgoda musi zostać udzielona w sposób wyraźny i może zostać wycofana w dowolnym momencie;  DOSTĘP prawo do nieodpłatnego dostępu do wszystkich zgromadzonych danych oraz do uzyskania potwierdzenia co do sposobu ich przetwarzania;  KOREKTA prawo do skorygowania danych, jeżeli są nieprawidłowe;  ZAPEWNIENIE PRAWA DO BYCIA ZAPOMNIANYM prawo do zwrócenia się o usunięcie danych dotyczących danej osoby;  MOŻLIWOŚĆ PRZENOSZENIA DANYCH prawo do pobrania i ponownego wykorzystania danych osobowych do celów własnych w zakresie różnych usług. Prawa osób fizycznych Podstawą ogólnego rozporządzenia o ochronie danych jest określenie praw osób fizycznych w zakresie ochrony danych. Prawa te można zasadniczo podsumować w następujący sposób: z pozostałymi technologiami wchodzącymi w skład sieci – sytuacja ta komplikuje sposób działania sieci, co może doprowadzić do błę- dów w jej konfiguracji i innego rodzaju błędów ludzkich. Ponieważ większość tych produktów wymaga dostępu do bazy danych dotyczącej zagrożeń, aby móc pełnić swoje funkcje, za- rządzanie szeregiem źródeł danych na temat zagrożeń bez gwarancji, że wszystkie te źródła pozwolą w jednakowym stopniu przeciwdzia- łać zagrożeniom i je wykrywać, zwiększa ryzy- ko wystąpienia luk w poziomie ochrony, które będą mogły zostać następnie wykorzystane przez cyberprzestępcę lub hakera. Ostatnim problemem, z jakim muszą się obec- nie mierzyć organizacje, jest problem wydajno- ści, który nie wynika jednak z niedostatecznej przepustowości. Jeżeli chodzi o przepusto- wość sieci, w ostatnich latach można było zaobserwować bardzo istotną poprawę tego parametru – obecnie większość sieci działa z prędkością 10 Gb/s lub wyższą. Problem po- lega na tym, że większość sieciowych narzę- dzi bezpieczeństwa nie jest przystosowana do działania z taką prędkością. W konsekwencji przedsiębiorstwa są zmuszone do obniżenia poziomu swojej ochrony, aby utrzymać wy- dajność działania aplikacji. Jest to decyzja, do podjęcia której żadna organizacja nie powinna zostać zmuszona. Choć istnieje bardzo wiele powodów, dla których uzyskanie nieautory- zowanego dostępu do sieci może przekształ- cić się w skuteczną próbę naruszenia ochrony danych, sieć narażona na oddziaływanie tych trzech czynników – bezgraniczności, powol- nego działania i złożoności – okaże się łatwym celem dla cyberprzestępcy lub hakera. Fortinet Security Fabric – bezpieczeństwo od samego początku Fortinet Security Fabric to wizja technologicz- na przedsiębiorstwa Fortinet mająca na celu rozwiązanie bieżących problemów – bezgra- niczności, powolnego działania i złożoności – oraz ciągły rozwój, aby móc rozwiązywać pro- blemy, jakie mogą pojawić się w przyszłości. Jej filozofia jest prosta – oferując pełną gamę rozwiązań Fortinet, Fortinet Security Fabric może zapewnić szerokie, silne i automatyczne bezpieczeństwo. Fortinet Security Fabric osiąga to poprzez umieszczenie odpowiednich technologii zabez- pieczających we właściwych miejscach w całej sieci. Ze względu na architekturę ASIC jednost- ki procesora zabezpieczającego poszczególne produkty są w stanie spełnić wszystkie oczeki- wania związane z działaniem i umożliwiają opła- calne skalowanie w celu spełnienia rosnących wymogów w zakresie wydajności. Po uruchomieniu technologie te współpra- cują ze sobą w celu usunięcia złożoności i w pierwszej kolejności zablokowania cy- berprzestępcy przed wejściem do sieci oraz w celu wykrycia wszelkich przypadków nie- autoryzowanego dostępu, jakie miały miej- sce w przeszłości. Tego rodzaju wielopo- ziomowe podejście jest możliwe tylko dzięki ścisłej integracji między poszczególnymi elementami rozwiązań i ma decydujące zna- czenie dla utrzymania najwyższego poziomu integralności sieci oraz zminimalizowania lub nawet wyeliminowania okien umożliwia- jących uzyskanie dostępu, z których chcą skorzystać hakerzy. Po wykryciu nieautory- zowanego dostępu informacje o aktywno- ści w sieci można następnie wykorzystać do przeprowadzenia analizy, dlaczego i w jaki sposób doszło do nieautoryzowanego do- stępu, przyspieszając tym samym proces ograniczania wycieków i odzysku. Chociaż ochrona danych i bezpieczeństwo sieci funkcjonują na różnych poziomach w organizacji, nie można zignorować związ- ków między nimi. Bez zabezpieczonej sieci zdolnej do zablokowania zagrożeń i wykrycia nieautoryzowanego dostępu „okazja”, na jaką liczy haker, będzie dostępna wystarczająco długo, aby doszło do naruszenia ochrony da- nych. Fortinet Security Fabric zapewnia wizję realizowaną poprzez szereg rozwiązań Forti- net, której celem jest zapewnienie bezpiecznej podstawy wymaganej do uniemożliwienia po- jawiania się takich „okazji” i wspieranie ochro- ny danych w całej organizacji. 21
  22. 22. Choć unijne rozporządzenie o ochronie danych osobowych (GDPR) wejdzie w życie dopiero w maju 2018 roku, już dziś perspektywa jego przyszłej implementacji wpływa na podmioty tworzące krajo- braz cyfrowej transformacji w Polsce i całej Europie. Do wymogów nowego prawa muszą się zastosować wszystkie przedsiębiorstwa oraz instytucje przetwarzające lub gromadzące dane osób prze- bywających w krajach UE. Dokument GDPR podkreśla ogrom- ne znaczenie danych elektronicznych a jego wdrożenie stawia przed organizacjami także wyzwania natury technologicznej. Aby móc respektować prawa użytkowników zapisane w nowym roz- porządzeniu, przedsiębiorstwa muszą zagwarantować m.in. stałą dostępność danych w centrach, które służą ich przechowywaniu i przetwarzaniu. Muszą również zapewnić sobie narzędzia sku- tecznie chroniące przed utratą danych i przestojami w dostępie do nich. Jednym z praw sformułowanych w rozporządzeniu GDPR jest możliwość żądania przez użytkownika dostępu do swoich da- nych, przechowywanych przez określoną firmę lub instytucję. Je- śli obywatel będzie chciał skorzystać z prawa dostępu do danych, administrator będzie musiał przekazać mu nie tylko informacje o kategoriach zbieranych danych osobowych, jak dzieje się obec- nie, ale również wydać kopię danych podlegających przetwarzaniu. W przypadku, gdy firma utraci te informacje, np. w skutek awarii w centrum danych, będzie narażona na dotkliwe konsekwencje prawne i kary finansowe. Dlatego już dziś przedsiębiorstwa powin- ny zainwestować w modernizację swojego zaplecza IT, tak by prze- twarzane dane były zawsze dostępne na każde żądanie upoważnio- nych do tego osób czy organów administracyjnych. Jak wskazał niedawny sondaż ARC Rynek i Opinia, 52 proc. rodzi- mych przedsiębiorców nigdy nie słyszało o GDPR, natomiast aż 67 proc. z nich nie zdaje sobie sprawy z tego, ile czasu pozostało na wdrożenie rozporządzenia. Stąd problem należy potraktować po- ważnie, podejmując działania dostosowujące zaplecze IT do no- wych przepisów Unii Europejskiej. Komentarz Veeam Software na temat GDPR dla CIONET  Krzysztof Rachwalski, Regional Director, Eastern Europe Veeam Software Materiał przygotowany przez firmę: 22
  23. 23. Zarządzanie i ochrona informacji w kontekście GDPR GDPR, czyli nowa regulacja europejska General Data Protection Regulation, któ- ra  wprowadza znaczące obostrzenia do- tyczące ochrony informacji zawierających dane osobowe. W szczególności zakłada „data privacy by design and default” tak, by prywatność była normą a nie wyjąt- kiem. Czy w takim razie musimy kom- pletnie przeprojektować nasze systemy informatyczne i kulturę organizacyjną, by w maju 2018 r. zapewnić zgodność z wy- maganiami GDPR? Materiał przygotowany przez firmę: Od jakich kroków należy rozpocząć przygotowania? 01 Współpraca z Zarządem 06 Przeprowadź inwentaryzację procesów przetwarzania danych 02 Rozważ powołanie Inspektora Ochrony Danych 07 Odtwórz przepływy danych w ramach organizacji 03 Przejrzyj dotychczasowe polityki, instrukcje, materiały szkoleniowe itp 08 Zweryfikuj dotychczasowe umowy dot. przetwarzania danych osobowych 04 Zweryfikuj podstawy przetwarzania danych 09 Zweryfikuj podstawy przetwarzania danych 05 Rozważ skorzystanie z narzędzi w zakresie compliance  Oceń gotowość Twojej organizacji do rozporządzenia GDPR z narzędziem GDPR Compliance Assessment dostępnym na stronie: www.gdprcomplianceassessment.com 23
  24. 24.  info_pl@cionet.com www.cionet.com Dołącz do społeczności CIONET Polska na LinkedIn: www.linkedin.com/company/cionet-polska What’s next. Premium Business Partners: Business Partners:

×