GDPR. Co powiniene wiedzie o oglnym rozporzdzeniu o danych osobowych?

  • Published on
    12-Apr-2017

  • View
    384

  • Download
    1

Transcript

Whats next.GDPRCo powiniene wiedzie o oglnym rozporzdzeniu o danych osobowych? Spis treci04Co CIO musi wiedzie o RODO? 08 Unijna reforma ochrony danych osobowych istotna zmiana, czy tylko zmiany kosmetyczne?10Podejcie Microsoft do implementacji RODO12 Usugi doradcze w zakresie prywatnoci oferowane przez firm Cisco: Oglne rozporzdzenie o ochronie danych14 Badanie Trend Micro i VMware: ponad poowa polskich firm nie syszaa o rozporzdzeniu GDPR16 GDPR i nowe wyzwania cyberbez-pieczestwa przemylenia eksperta Dimension Data18Potrzeba podjcia odpowiednich rodkw20 Przygotowanie do wejcia w ycie oglnego rozporzdzenia o ochronie danych22 Komentarz Veeam Software na temat GDPR dla CIONET23 Zarzdzanie i ochrona informacji w kontekcie GDPR2Przed nami jeszcze rok na przygotowania, a RODO ju staje si najbardziej znienawidzonym akronimem XXI wieku. Wydaje si, e mamy idealny przykad tego, jak strategia FUD (Fear, Uncertainty, Doubt) moe dziaa w skali makro.RODO jest daleko idcym aktem prawnym nie pamitam regulacji wywoujcej tak due i bezporednie skutki biznesowe, organiza-cyjne i technologiczne. Z drugiej strony rynek zalewaj uproszczo-ne komunikaty i narracje nastawione na wywoanie strachu, w pod-tekcie zachcajce do szybkiego nabywania usug, ktre strach ten maj stumi. Jak z kad atw recept na ycie adnie wyglda, ale niekoniecznie dziaa.Z ca pewnoci RODO jest rzeczywistoci ju teraz i ju teraz kada organizacja musi si z t rzeczywistoci zmierzy. Kada na swj sposb, stosownie do wasnej specyfiki. Tymczasem, spectrum postaw rnych organizacji wobec RODO jest szerokie, od zupe-nej niewiadomoci, poprzez ignorowanie lub kwestionowanie zmieniajcej si rzeczywistoci i zwizanych z tym zagroe, a po skrajn RODO-fobi. Gdzie pomidzy s organizacje, ktre staraj si sukcesywnie, ale te ostronie dostosowywa do nowych wy-maga, ledzc jednoczenie rozwj sytuacji. Najprawdopodobniej te organizacje nie przeinwestuj, ani te nie pozwol si zaskoczy.Dostosowanie procesw ochrony danych i ich przetwarzania wy-maga czasu, zasobw i przede wszystkim jak najszerszego zaanga-owania organizacji w proces transformacji do standardw RODO. To wane, bo RODO wymaga transformacji organizacji jako caoci i wbudowania w jej DNA dbaoci o prywatno. Z tego powodu procesu dostosowania nie da si zleci na zewntrz, tak jak nie da si wyoutsourcowa w caoci dziaa zwizanych z zapewnieniem bezpieczestwa. We wdroeniu RODO mona zatem pomc, ale nie mona wyrczy. Nie istniejedostawca, ktry jednym ruchem do-starczy magiczne rozwizanie, wszelkie kopoty usuwajce. aden dostawca nie zdoa pozna organizacji tak jak osoba z wewntrz, dlatego taki dostawca moe wspiera, konsultowa, doradza, jed-nak na kocu tego procesu to organizacja zdoa lub nie zdoa do-stosowa si do nowych zasad gry.Przetwarzanie danych osobowych jest i bdzie kluczow potrzeb wspczesnego biznesu. Nie moemy zapomnie, e nadmiernie asekuracyjne podejcie moe utrudnia a nawet blokowa roz-wj.Jak to adnie uj prawie sto lat temu John A. Shedd A ship in harbor is safe, but that is not what ships are built for.Wygraj podmioty, ktre bd potrafiy znale rozsdn rwnowag mi-dzy deniem do realizacji celw biznesowych, a zgodnoci z wy-maganiami prawa. Takie, ktre bd pyn dalej zgodnie z obran strategi i korzystnymi prdami, ale jednoczenie zrobi wszystko, eby nie da si zatopi. Przegraj ci, ktrzy zostan w porcie lub wypyn nieprzygotowani.W wiecie strategii FUD liczy si wiedza i odpowiednie decyzje. Konieczne jest budowanie wiadomoci, co dla organizacji jest grone, a nastpnie zlokalizowa skuteczne i optymalne dla bizne-su metody zapewnienia ochrony przed tymi zagroeniami. RODO przetestuje te umiejtnoci jak mao ktry akt prawny. I trzeba przyzna, e cho przymusowe, bdzie to najwyszej klasy wy-zwanie intelektualne. Mec. Marcin Maruta Jeden z najlepszych w Polsce ekspertw w zakresie prawa nowych technologii i wasnoci intelektualnej. Nadzorowa najwiksze kontrakty technologiczne w Polsce, posiada ponad 20 lat dowiadczenia w doradztwie dla dostawcw i klientw sektora ICT.3Co CIO musi wiedzie o RODO? Sawomir Kowalski, Senior Associate w kancelarii Maruta Wachta sp. j.Co CIO musi wiedzie o RODO?4Rozporzdzenie oglne o ochronie danych osobowych zacznie obowizywa 25 maja 2018 r. Tego dnia obudzimy si w nowej rzeczywistoci ochrony danych osobowych - duo bardziej wymagajcej i duo mniej przyjaznej, take dla dziaw informatyki i CIO. Oto co nas czeka.Po pierwsze kary finansowe to na gruncie polskim nowo. Obecnie za brak zgodnoci z ustaw nie zapacimy ani zotwki, w rze-czywistoci RODO ryzykujemy nawet 20 mln EUR lub 4% cakowitego rocznego wiato-wego obrotu. Dotychczas zaniedbany przez wiele organizacji obszar stanie si obszarem ryzyka, ktre trudno bdzie bagatelizowa.Po drugie zupenie nowe wymagania jeli organizacja przetwarza dane osobowe zgodnie z aktualnymi regulacjami, to i tak bdzie musiaa wykona duo dodatkowej pracy. Jeli w obszarze ochrony danych nie zrobia dotychczas nic, to bdzie musiaa wdroy terapi szokow i mocno zaj si tematem, jeli nie chce si znale w grupie tych co nie zd. A jak prognozuje Gartner nie zdy 50% duych firm.Po trzecie nowe, oparte na ryzku podej-cie koniec z jednolitym traktowaniem wszystkich przetwarzajcych. Im bardziej ryzykowne procesy przetwarzania danych, tym bardziej trzeba bdzie o nie zadba. Jeli przedsibiorca opiera swj biznes na przetwarzaniu danych, bdzie musia zrobi duo wicej ni ten, ktry dane przetwarza jedynie pomocniczo. Jeli kto uwaa, e danych osobowych nie przetwarza wcale, c jest w bdzie.Po czwarte brak twardych wytycznych nie bdzie ju odgrnych, w miar jed-noznaczych (cho mao aktualnych) wy-tycznych jak zmiana hasa co 30 dni. Na podstawie analizy ryzyka uwzgldniajcej takie czynniki jak rodzaj danych, skal i cel przetwarzania oraz jego kontekst, trzeba bdzie opracowa dedykowan strategi obejmujc m.in. adekwatne mechanizmy zabezpiecza-jce. Nasza decyzja nasza odpowiedzialno.Po pite privacy by design i privacy by default ko-nieczno nieustannego dbania o prywatno i wyka-zywania inicjatywy w kierun-ku jak najlepszej jej ochrony. Na kadym etapie procesu od planowania, poprzez projek-towanie sposobu dziaania, a po operacyjne stosowa-nie, trzeba bdzie uwzgld-nia perspektyw ochrony prywatnoci. Powszechne obecnie podejcie, polegajce na uzyskaniu moliwie szerokiego zakresu danych (a nu si przyda) i ich przetwarzaniu w sposb maksymalizujcy korzyci (bo czemu nie) raczej si nie sprawdzi w czasach RODO.Po szste rozliczalno trzeba bdzie wykaza, e rzeczywicie przestrzegamy RODO. Aktualne na dzi polityki mog nie wystarczy bo z reguy s pisane na spo-kojne czasy, w ktrych zgodno z checkli-st w jest w praktyce zgodnoci z prawem. Rozliczalno natomiast wymaga wykazania, e polityki przetwarzania danych s ywe, z realn egzekucj i realnymi rodkami wy-muszania wewntrznego podporzdkowa-nia organizacji zasadom ochrony danych.Po sidme zarzdzanie dostawcami zgodnie z RODO nie bdzie mona zleca przetwarzania niezweryfikowanemu pod-miotowi. Dopuszczalne bdzie korzystanie tylko z takich dostawcw, ktrzy gwarantuj, e przetwarzanie przez nich danych bdzie bezpieczne i zgodne z prawem. Trzeba b-dzie sprawdzi obecnych dostawcw i za-dba o to, eby w przyszoci wybiera tylko takich, ktrzy zapewniaj stabilno i bezpie-czestwo na odpowiednim poziomie.Po sme budowanie wiadomoci klucz do zgodnoci z RODO. Musimy wiedzie kto, co i dlaczego przetwarza, komu prze-kazuje, od kogo i na jakiej podstawie dosta-je. Bez tego ani rusz. Najlepsze procedury i systemy nie uratuj organizacji, ktra nie ma penej wiadomoci tego, co robi z da-nymi osobowymi.Po dziewite umacnianie kultury organi-zacyjnej uniknicie bolesnej konfrontacji z RODO wymaga wyksztacenia wraliwo-ci na ochron prywatnoci u osb, ktre przetwarzaj dane. Generalnie wszystkich, chocia najwaniejsze, aby tak wraliwo miay osoby zarzdzajce procesami prze-twarzania danych i decydujce o nowych sposobach ich wykorzystania. W gwnej mierze od tych osb zaley czy nasza orga-nizacja okae si RODO-proof.Po dziesite mocne przeoenie na ob-szar IT i systemy informatyczne brak konkretnych wytycznych odnoszcych si do IT moe powodowa bdne i nie-bezpieczne wraenie, e tego obszaru nie trzeba bdzie dostosowa do RODO. Tymczasem, wymagania dla IT s pochod-n innych wymaga, jakie przetwarzajcy dane bd musieli speni. Realizacji cz-ci obowizkw wynikajcych z RODO po prostu nie sposb sobie wyobrazi bez sprawnie dziaajcego i odpowiednio przygotowanego IT.5Obowizek zapewnienia bezpieczestwa danych osobowych, poprzez zastosowanie rodkw takich jak szyfrowanie czy pseudonimizacja i przygotowanie procedur awaryjnych business continuity czy disaster recovery, w zakresie odpowiadajcym wnioskom z oceny ryzyka przetwarzania danych.Trzeba wzi pod uwag, e koszty dostosowania systemw i procedur IT oraz czas potrzebny na ich przeprowadzenie, to najprawdopodobniej najwiksze wyzwanie jakie stawia nam RODO. Polityki mona opracowa szybko, ale rozszerzenie funkcjonalnoci systemw IT to proces duszy, w wiecie PZP nawet bardzo dugi.0305Obowizki w zakresie zarzdzania cyklem ycia danych (od zebrania a do usunicia) i realizowania po drodze praw podmiotw danych, m.in. prawa do informacji, prawa do usunicia czci lub caoci danych (prawo do bycia zapomnianym) czy prawo do sprzeciwu wobec przetwarzania danych w rnych odmianach.Obowizek notyfikowania narusze ochrony danych osobowych do organu nadzorczego oraz podmiotw danych, przy czym notyfikacja do organu nadzorczego powinna nastpi w cigu 72 godzin od stwierdzenia naruszenia.0204Obowizek zapewnienia przenoszalnoci danych, to jest umoliwienia podmiotom danych zabranie danych ze sob (pobrania), w popularnym formacie, nadajcym si do maszynowego odczytu, np. w celu przekazania ich innemu usugodawcy.01Kilka przykadw wymaga, ktre bd miay wpyw na IT:6Inwentaryzacja sprawdmy co mamy. Jakie procesy przetwarzania, jakie systemy, jakie dane, jakich dostawcw. To punkt wyjcia do dalszych dziaa i od tego trzeba zacz.Identyfikacja okrelmy obszary, ktre wymagaj dostosowania do wymaga RODO. To nam pozwoli okreli ilo pracy, zaplanowa zasoby i budet.Step plan i jego realizacja rozpiszmy dziaania dostosowujce na 2017 i 2018, tj. opracowanie polityk, ocena ryzyka, przygotowanie nowych wzorw umw i klauzul (zgody i informacyjnych), dostosowanie systemw, szkolenie personelu ostatecznie mamy jeszcze prawie ptora roku. W tym czasie duo mona zrobi.Monitoring sprawdzajmy, jak zmienia si otoczenie RODO. Samo rozporzdzenie to nie wszystko, bd dodatkowe wytyczne, bdzie nowa polska ustawa o ochronie danych osobowych i bdzie dyskusja jak to wszystko przeoy na praktyk. Warto by na bieco z tematem.01020304Jak to ugry?Jeli chcemy by RODO-ready w maju 2018 to musimy wystartowa ju. To jest jeden z tych tematw, w ktrych ASAP oznacza wczoraj. S tacy, ktrzy twierdz, e jeli kto jeszcze nie zacz, to ju nie zdy. A tak le raczej nie jest, ale warto ju teraz przyjrze si nastpujcym obszarom:7Rozporzdzenie RODO dotyczy praktycznie wszystkich Organiza-cji przetwarzajcych dane osobowe i wprowadza szereg istotnych zmian takich jak konieczno pozyska-nia zgody na przetwarzanie danych w sposb jednoznaczny w stosunku do okrelonego celu przetwarzania, brak koniecznoci zgaszania zbio-rw danych osobowych do rejestru prowadzonego przez GIODO, ko-nieczno przeprowadzania analizy ryzyka danych osobowych i stosowa-nia adekwatnych do poziomu ryzyka zabezpiecze technicznych oraz organizacyjnych, prawna dopusz-czalno pseudoanonimizacji i szy-frowania danych, czy te prawo do bycia zapomnianym lub zaprzestania przetwarzania danych. A to ju nie s zmiany kosmetyczne. Warto rwnie odnotowa istotne wzmocnienie znaczenia organw nadzoru poprzez rozszerzenie kata-logu ich zada oraz dostpnych na-rzdzi. Organ nadzorczy jakim jest GIODO bdzie musia by informo-wany o naruszeniach dotyczcych gromadzonych i przetwarzanych danych osobowych nie pniej ni w terminie 72 godzin po stwierdze-niu naruszenia wraz z informacjami odnonie charakteru naruszenia czy konsekwencji z niego wynikajcych dla osb ktrych incydent dotyczy. Wyjtkiem maj by sytuacje kiedy naruszenie stwarza niskie prawdo-podobiestwo aby skutkowao ry-zykiem dla praw osb fizycznych. Jednak w przypadku zgoszenia na-stpujcego po upywie 72 godzin podmiot bdzie mia obowizek doczenia wyjanienia przyczyn opnienia. Chocia praktyka w tym zakresie z przyczyn oczywistych ni ostaa jeszcze wypracowana, wydaje si by nieuchronne, e oczekiwa-niem regulatora bdzie, e elemen-tem skadowym takiego wyjanienia bdzie analiza wpywu naruszenia i zwizanego z nim ryzyka. Wbrew pozorom zdolno organiza-cji do zgoszenia naruszenia we wa-ciwym terminie nie musi by zada-niem trywialnym. Przede wszystkim organizacja musi posiada mecha-nizmy umoliwiajce jej zidentyfiko-wanie naruszenia. Mechanizmy inne ni informacja w mediach, e dane np. klientw s dostpne gdzie na serwerach a Internecie. Jeeli zgo-szenie odbdzie si poprzez me-dia mona oczekiwa, e Regulator szczeglnie uwanie moe zechcie przejrze si, czy organizacja doo-ya naleytej starannoci projektu-jc swj system zabezpiecze i do-statecznie powanie podchodzi do Unijna reforma ochrony danych osobowych istotna zmiana, czy tylko zmiany kosmetyczne?Konsekwencje finansowe do 4% globalnych przychodw grupy:Kary finansowe za brak zgodnoci mog wynie do 4% globalnych przychodw grypy lub 20 milinw EUR, w zalenoci od tego ktra z kar jest bardziej dotkliwa. Kraje czonkowskie mog uzupeni kata-log sankcji o dodatkowe elementy.Inspektor Ochrony Danych osobowych:Musi zosta powoany inspektor ochrony danych osobowych (DPO) w jednostkach publicznych oraz jednostkach gdzie dziaalno pod-stawowa wie si z regularnym i systematycznym monitorowa-niem i przetwarzaniem specjalnych kategorii danych osobowych. Szeroka definicja danych osobowych:GDPR/RODO definiuje dane oso-bowe jako jakiekolwiek informacje odnoszce si do zidentyfikowanej lub identyfikowalnej osoby w tym dane pseudoanonimowe.Zgoszenie naruszenia:RODO wymaga aby nie pniej ni w terminie 72 godzin po stwierdze-niu naruszenia zostao ono zgo-szone waciwemu organowi nad-zorczemu.Odpowiedzialno:Organizacje s zobowizane usta-nowi kultur odpowiedzialnoci oraz wiadomego rejestrowania jakie dane osobowe posiadaj, do czego s wykorzystywane, zakres kontroli majcych zapewni mi-nimalizacj przetwarzania danych oraz ich retencji, w tym ustano-wienie polityk oraz stosownych procedur.Materia przygotowany przez firm:8swoich obowizkw wynikajcych z Rozporzdzenia. A konsekwencje ja-kie moe wycign Regulator mog by bardzo bolesne Po wtre samo wykrycie incydentu to jeszcze zbyt mao. Wiele podmio-tw funkcjonujcych na rynku nie do koca posiada, lub wrcz zupenie zaniedbao wypracowanie procedur w zakresie zarzdzania kryzysowego w tym zasady komunikacji wewntrz i na zewntrz organizacji, w tym z Za-rzdem firmy, mediami i regulatorem. Nawet jeeli zasady takie istniej to czsto nie brano pod uwag rygoru 72 godzinnego okienka, kiedy taka komunikacja musi zaistnie. Reagowanie na naruszenie danych b-dzie wymagao dobrze przemylane-go zbioru dziaa przeprowadzonych przez rnych ludzi, a raportowanie do Regulatora bdzie jednym z tych dziaa. Definiowanie tych dziaa i prewencyjne testowanie bdzie tylko usprawnia cay proces oraz skraca czas odpowiedzi przy rzeczywistym naruszeniu danych. Nowe obowizki Przetwarzania DanychJedn z najbardziej istotnych wrd nowych regulacji dotyczcych prze-twarzania danych jest przekazanie odpowiedzialnoci jednostkom kon-trolujcym oraz przetwarzajcym dane poprzez wdroenie organiza-cyjnych i technicznych rodkw ma-jcych na celu zapewnienie bezpie-czestwa przetworzonych danych osobowych.Podczas gdy Dyrektywa z 1995 przy-pisywaa t odpowiedzialno tylko kontrolerom danych, teraz rwnie w obszarze procesu przetwarzania danych naley wdroy odpowied-nie zabezpieczenia w celu osigni-cia wymaga ustalonych w RODO. Jednostki przetwarzajce dane bd musiay oceni, czy wdroone rod-ki s wystarczajce jeli chodzi o cel i zakres przetwarzania, ilo zebra-nych danych, okres skadowania da-nych oraz dostp do danych. Umowa przetwarzania pozostanie podstaw ustalenia celu i zakresu czynnoci przetwarzania pomidzy kontrolowa-niem a przetwarzaniem danych, gdzie okrelenie rodkw bezpieczestwa jest moliwe (i podane).Pomimo tego, i moliwe bd tak do-tkliwe kary, nie spodziewamy si, aby regulator nakada na przedsibior-stwa nie wywizujce si ze swoich obowizkw wynikajcych z rozpo-rzdzenia najdotkliwsze z dostpnych sankcji. Przynajmniej nie w cigu najbliszych kilku lat. Due organi-zacje, ktre przetwarzaj praktycznie nieograniczone iloci danych osobo-wych, powinny jednak pamita, e bd jednymi z pierwszych do ktrych organy ochrony danych zapukaj do drzwi w celu sprawdzenia zgodnoci procesw z RODO.Niemniej jednak, warto aby kada z organizacji, a zwaszcza te prze-twarzajce dane osobowe na skal masow, zweryfikoway na jakim eta-pie s w swojej drodze do uzyskania zgodnoci z wymogami wynikajcy-mi z unijnego rozporzdzenia. Jeeli nie zaczlimy jeszcze drogi, warto sign po owoce wiszce najniej analiza luki jako punkt wyjcia wydaje si by najbardziej sensownym punk-tem wyjcia. Po wtre dokumenta-cja. Polityki, procedury, opis rodo-wiska przetwarzania danych i zasady ich zabezpieczania. Bez tego trudno bdzie dowie, e organizacja doo-ya naleytej starannoci w zakresie ochrony danych osobowych, ktre zostay jej powierzone.Ocena wpywu:Powinien zosta ustanowiony pro-ces regularnego testowania I oceny skutecznoci technicznych I orga-nizacyjnych mechanizmw wdro-onych przez organizacj maj-cych na celu zapewni bezpie-czestwo zgromadzonych danych osobowych.Zarzdzanie dostawcami:Podmioty ktrym powierzono przetwarzanie danych rwnie s obarczone odpowiedzialnoci I podlegaj rozporzdzeniu. S zo-bowizani do utrzymywania rejestru dziaalnoci jeeli przetwarzaj dane osobowe. Transgraniczne przetwarza-nie danych osobowych:Osoba odpowiedzialna za za dane osobowe zobowizana jest zna wszystkie podmioty przetwarzajce dane osobowe za ktre s odpo-wiedzialni. Osoba ta jest odpowie-dzialna wsplnie z przetwarzajcy-mi dane za zapewnienie zgodnoci z wymogami RODO.Rozszerzenie indywidualnego prawa do prywatnoci: Osobom, ktrych dane s gro-madzone nadano dodatkowe uprawnienia w zakresie dostpu do danych, udzielania zgody na ich gromadzenie i przetwarzanie, w tym profilowanie na potrzeby marketingu.Prywatno by design and default:RODO modyfikuje wymogi tech-niczne w zakresie ochrony danych osobowych tak aby byy one brane pod uwag na etapie projektowania mechanizmw zabezpieczajcych.910Microsoft tworzy i udostpnia usugi sto-sujc si do czterech zasad: zapewnienia bezpieczestwa, ochrony prywatnoci, za-pewnienia zgodnoci z wymaganiami prawa oraz przejrzystoci. Przy wdroeniu RODO nasi klienci mog oczekiwa: Technologii, ktre speniaj wyma-gania prawne szeroka gama usug w chmurze obliczeniowej moe by wykorzystana do wdroenia wymogw RODO, m.in. usuwania, modyfikacji, przesyania, dostpu i sprzeciwu wobec przetwarzania danych osobowych. Zobowiza umownych wspieramy dziaania naszych klientw w zobowi-zaniach umownych dotyczcych usug wchmurze, np. wsparcia bezpieczestwa i powiadomie o naruszeniu bezpiecze-stwa danych zgodnych z nowymi wymo-gami RODO. W najbliszym czasie nasze umowy licencyjne bd zawieray zobo-wizania zgodnoci z RODO. Dzielenia si dowiadczeniami dzie-limy si naszymi dowiadczeniami we wdraaniu zapisw RODO bazujc na naszej praktyce.Podejcie Microsoft do implementacji RODOJak Microsoft moe pomc w przygotowaniach do wdroenia RODO?Celem Microsoft jest uatwienie proce-su wdroenia rozporzdzenia u naszych klientw i partnerw. Staramy si to osi-gn dziki naszym technologiom, do-wiadczeniom oraz oboplnej wsppra-cy. Pomoemy zbudowa bezpieczniejsze rodowisko, uprocimy wdroenie zgod-noci z RODO oraz udostpnimy narzdzia i rodki potrzebne, by zapewni zgodno z obowizujcym prawem.The newGeneral Data Protection Regulation (GDPR) is the most significant change to European Union (EU) privacy law in two decades. The GDPR re-quires that organizations respect and protect personal data no matter where it is sent, processed or stored. Complying with the GDPR will not be easy. To simplify your path to compliance, Microsoft is committing to be GDPR compliant across our cloud services when enforcement begins on May 25, 2018.1Brendon Lynch Chief Privacy Officer, MicrosoftOpublikowano: 15 lutego 2017 r.1 blogs.microsoft.com/on-the-issues/2017/02/15/get-gdpr-compliant-with-the-microsoft-cloud/ #sm.0000ehu9cr12jneqsqmjpj68sf1df, dostp: 27 lutego 2017r. Materia przygotowany przez firm:11W zwizku z rosnc wiadomoci konsumen-tw na temat konsekwencji narusze danych osobowych i moliwoci ich nielegalnego wy-korzystania, w prowadzeniu dziaalnoci biz-nesowej na znaczeniu zyskuj takie czynniki jak zaufanie i odpowiedzialne praktyki w zakresie za-rzdzania informacjami. Jest to szczeglnie istot-ne w kontekcie rozwiza cyfrowych umoli-wiajcych gromadzenie i analiz coraz wikszych iloci informacji o klientach i pracownikach.Do roku 2018 organizacje znajdujce si w posiadaniu danych dotyczcych obywateli UE, na podstawie ktrych moliwa jest iden-tyfikacja osoby fizycznej, bd musiay dosto-sowa si do zapisw Oglnego Rozporz-dzenia o Ochronie Danych (ang. General Data Protection Regulation, GDPR).Rozporzdzenie GDPR wprowadza kryterium odpowiedzialnoci, zgodnie z ktrym podmio-ty gospodarcze musz zarwno przestrzega regulacji, jak i wykaza zgodno z ich zapisa-mi. Artyku rozporzdzenia GDPR 5 (1f) stano-wi, e dane osobowe musz by przetwarzane w sposb zapewniajcy odpowiednie bezpie-czestwo danych osobowych, w tym ochron przed niedozwolonym lub niezgodnym z pra-wem przetwarzaniem oraz przypadkow utra-t, zniszczeniem lub uszkodzeniem, za pomo-c odpowiednich rodkw technicznych lub organizacyjnych (integralno i poufno). Artyku 32 (1) nakada na przedsibiorstwa obowizek wdroenia odpowiednich rodkw technicznych i organizacyjnych, aby zapewni stopie bezpieczestwa odpowiadajcy temu ryzyku. W rozporzdzeniu GDPR nie okrelo-KorzyciZakomunikowanie dobrej znajomoci wymogw rozporzdzenia GDPR w odniesieniu do prywatnoci i ochrony danychOpracowanie i wdroenie skutecznego programu GDPRWiedza o skutkach rozporzdzenia GDPR w zakresie cyfryzacji i rozwiza IoTWiksze zaufanie klientw dziki wdroeniu efektywnego programu zgodnoci z rozporzdzeniem GDPRPlan rozwoju opartego o transformacj i przystosowanie si do rozporzdze obowizujcych w skali globalnejOgraniczenie kosztw staych i ryzyka naruszenia danychSzybsza implementacja programu GDPR przy wsparciu dowiadczonych konsultantw i wykorzystaniu sprawdzonej metodologiiNajwaniejsze jest zaufanie klientwUsugi doradcze w zakresie prywatnoci oferowane przez firm Cisco: Oglne rozporzdzenie o ochronie danychMateria przygotowany przez firm:12Analiza wpywu i zakresu rozporzdzenia GDPROdniesienie si do wymogw regulacyjnych okrelonych w rozporzdzeniu GDPR Ocena poziomu, w jakim dane, partnerzy i podmioty organizacji maj odpowi-ada zapisom rozporzdzenia GDPR Poznanie biecego stanu wdraanego programu zgodnoci oraz zdefiniowan-ie krokw, ktre naley podj w celu opracowania skutecznego programu pry-watnoci speniajcego kryteria okrelone w rozporzdzeniu GDPR Analiza programu zgodnoci z rozporzdzeniem GDPR majca na celu dostoso-wanie go do zmian w usugach biznesowych, nowych rynkw, wprowadzania rozwiza technologicznych, wsppracy z partnerami i zmian regulacyjnych Identyfikacja pozostaych zobowiza w obszarze zgodnoci, uwzgldnionych w planach biznesowychOpracowanie i ocena programu GDPROpracowanie programu ochrony danych i prywatnoci zgodnego z rozporzdze-niem GDPR, uwzgldniajcego konkretne potrzeby organizacji i nowe regulacje Ewaluacja kryteriw i obowizkw okrelonych w rozporzdzeniu GDPR Poznanie konkretnych potrzeb biznesowych, cyklu ycia informacji, planw rozwojowych i sposobw wykorzystania technologii Ocena wpywu na prywatno (ang. Privacy Impact Assessment) w celu zdefin-iowania informacji umoliwiajcych identyfikacj osb chodzi o to, jakie dane s gromadzone, w jakim celu, jak zostan wykorzystane i zabezpieczone, jak bd przechowywane i przekazywane. Ocena istniejcego programu i porwnanie go ze standardowym zestawem odpowiednich zaoe odnoszcych si do dojrzaoci procesw Opracowanie kompleksowego planu dotyczcego programu prywatnoci, ktry speni zarwno oczekiwania przedsibiorstwa, jak i wymogi rozporzdzenia GDPR w zakresie zgodnociGDPR wsparcie w zakresiezgodnocii certyfikacjiKonsolidacja i przyspieszenie skutecznej implementacji istniejcych inicjatyw w programie GDPR Udzielanie niezalenych i cennych sugestii dotyczcych tego, jak w praktyczny sposb sprosta wymaganiom dotyczcym prywatnoci i ochrony danych Szybsze przygotowanie i wdroenie programu GDPR dotyczcego prywatnoci i ochrony danych Przeksztacenie wymogw rozporzdzenia GDPR w zakresie zgodnoci w prak-tyczny program i plan implementacji Analiza mechanizmw nadzoru nad istniejcym programem GDPR w zakresie zgodnoci oraz ocena gotowoci do certyfikacjiGDPR usugi w zakresie ochrony danychOpis wiadczonych usugno konkretnej metody bezpiecznego prze-twarzania danych firmy same musz zadba o wdroenie mechanizmw kontrolnych do-stosowanych do poziomu ryzyka, na ktre na-raone s dane osobowe. Najwikszy sukces osign organizacje, ktre zdecyduj si na wspprac z partnerami rozumiejcymi jed-nolity rynek cyfrowy UE i potraficymi speni kryteria zgodnoci obowizujce w technicz-nej strukturze ramowej.Firma Cisco ju od kilku dekad koncentruje si na tworzeniu i ochronie sieci (oraz zarz-dzaniu nimi), ktre cz systemy z ich uyt-kownikami. Nasze rozwizania umoliwiaj skuteczne poznanie technologii, ich segmen-tacj i zarzdzanie nimi w samym sercu po-czonego wiata na poziomie sieci, ser-werw, aplikacji, uytkownikw i danych. To wanie ta dogbna znajomo skompliko-wanych powiza midzy rnymi domena-mi technicznymi oraz interakcji z procesami biznesowymi i wymogami zgodnoci pozwa-la firmie Cisco pomaga klientom w przygo-towaniu i wdroeniu odpowiednich mecha-nizmw zarzdzania informacj. A wszystko to z myl o realizacji skutecznych strategii w dziedzinie ochrony prywatnoci i danych w cyfrowym wiecie.Usugi doradcze w zakresie prywatnoci i ochrony danych oferowane przez firm Cisco zapewniaj rzetelne i wszechstronne wsparcie. Nasi dowiadcze-ni konsultanci ds. technologicznych i prywatnoci okrel kryteria wynikajce ze zobowiza biznesowych i regulacyjnych odnoszcych si do zarzdzania informacjami umoliwiajcymi identyfikacj osb (ang. Personally Identifiable Information, PII) oraz innymi wraliwymi danymi klientw. Eksperci ds. bez-pieczestwa pomagaj naszym partnerom pozna konkretne wymogi doty-czce odpowiedniego programu zarzdzania informacjami, oceniaj ich ak-tualny potencja i opracowuj indywidualnie dopasowan infastruktur umo-liwiajc lepsz ochron prywatnoci. Pomagamy rwnie w lepszym zrozu-mieniu kryteriw biznesowych, opcji rozwoju i prognozowanych przypadkw uytkowych, co sprzyja tworzeniu zrwnowaonej struktury ramowej GDPR i opracowaniu planu wdroenia dziaa w obszarze zgodnoci zwizanych z inicjatywami cyfrowymi i technologicznymi.W efekcie powstaje projekt dojrzaego, kontrolowanego i zgodnego z zapisami rozporzdzenia GDPR programu w dziedzinie prywatnoci, ktry pozwala utrzyma zaufanie klientw w kwestii inicjatyw cyfrowych i wprowadzanie innowacyjnych technologii.13Trend Micro oraz VMware we wsppracy z agencj badawcz ARC Rynek i Opinia przeprowadziy wrd polskich przedsi-biorcw badanie powicone znajomoci unijnego rozporzdzenia o ochronie da-nych (GDPR). Wyniki s niepokojce: po-nad poowa (52%) firm nigdy nie syszaa o GDPR, natomiast a dwie trzecie (67%) z nich nie zdaje sobie sprawy z tego, ile cza-su pozostao na wdroenie rozporzdzenia. Dokadnie 25 maja 2018 r. zaczn funkcjo-nowa nowe przepisy dotyczce ochrony danych, a firmy bd musiay przej przez mudny proces weryfikacji wewntrznych procedur cyberbezpieczestwa. Cho-dzi o oglne rozporzdzenie o ochronie danych osobowych, czyli GDPR (od an-gielskiej nazwy General Data Protection Regulation). Nowe prawo bdzie mie zastosowanie w przedsibiorstwach oraz instytucjach przetwarzajcych lub groma-dzcych dane osobowe osb przebywaj-cych w krajach UE. Zmianie ulegn zasady rejestrowania, przechowywania, przetwa-rzania i udostpniania danych wszystkich osb fizycznych. Dokument GDPR jest sformuowany w sposb odmienny od obecnie obowizu-jcych przepisw. Dotychczasowe podej-cie polegao na stosowaniu okrelonych procedur w przetwarzaniu informacji oso-bowych w celu uwiadomienia obywatelom samego faktu ich zbierania. Obecne rozpo-rzdzenie skupia si na problemie jawnoci bezpieczestwa zbioru danych kady przypadek naruszenia bezpieczestwa, strategia cyberbezpieczestwa do 25 maja 2018 r.CELCzas dziaa!FIRM NIE SYSZAO JESZCZE O GDPRFIRM NIE WIE, ILE CZASU POZOSTAO NA WDROENIE ROZPORZDZENIAFIRM JEST CAKOWICIE PEWNYCH POSIADANYCH ZABEZPIECZEKARY FINANSOWEODPOWIEDZIALNO TAKE POZA UEINFORMOWANIE O NARUSZENIACHPRAWO DO BYCIA ZAPOMNIANYMFIRM ZA BARDZO DOTKLIW UZNAO MAKSYMALN MOLIW KAR: 4% ROCZNEGO OBROTUFIRM NIE WIE, KTO PONOSI ODPOWIEDZIALNO W SYTUACJI NARUSZENIA DANYCH PRZEZ USUGODAWC Z USANIE MA WDROONYCH ADNYCH PROCEDUR INFORMOWANIA ORGANU OCHRONY DANYCH O ZAISTNIAYCH NARUSZENIACHFIRM NIE DYSPONUJE NARZDZIAMI I TECHNOLOGIAMI DAJCYMI KONSUMENTOWI PRAWO DO BYCIA ZAPOMNIANYMOglne rozporzdzenie o ochronie danych*52% 67% 26%72%42%96%50%14wyciek lub modyfikacja musi by ujawnia-ny klientom firmy, a odpowiednie organa powiadamiane o fakcie wamania. Ma to ukrci dotychczasow praktyk ukrywania faktw narusze bezpieczestwa przed opi-ni publiczn, co powodowao powszech-ne ignorowanie tego problemu jako rze-komo mao istotnego i niewymagajcego jakichkolwiek inwestycji. Dlatego kolejn nowoci wprowadzan przez GDPR jest konieczno zastosowania adekwatnych zabezpiecze technologicznych. Nie s przy tym wskazywane konkretne technolo-gie, ale stawiany jest wymg odpowiedniej jakoci owych zabezpiecze. wiadczy to o strategicznym podejciu UE, ktre ma za-chci firmy do tego, aby mylay o bezpie-czestwie w bardziej kompleksowy sposb mwi Micha Jarski, Regional Director CEE w firmie Trend Micro.Rozporzdzenie GDPR przyznaje rwnie osobom fizycznym prawo do bycia zapo-mnianym, czyli zadania niezwocznego usunicia danych osobowych. Wobec tego organizacje musz na yczenie usun wszystkie dane osobowe i zwizane z nimi odnoniki. Alarmujcy jest fakt, e jak wynika z badania a poowa ankietowa-nych firm (50%) nie dysponuje procedurami i technologiami zapewniajcymi konsu-mentowi prawo do bycia zapomnianymTo nie koniec niepokojcych informacji. Niestety a 42% organizacji nie ma wdro-onych adnych procedur informowania organu ochrony danych o zaistniaych na-ruszeniach. A takie s niezbdne do tego, aby realizowa zaoenia nowego prawa, ktre obliguje firmy do zgoszenia incy-dentu w cigu maksymalnie 72 godzin od jego wystpienia. W razie zaniechania ta-kiego dziaania, przedsibiorstwa te mog by ukarane grzywn w wysokoci nawet 4% rocznych obrotw. Prawie trzy czwar-te firm (72%) uwaa, e taka kara jest bar-dzo dotkliwa. Zachowanie zgodnoci z nowym prawem nie podlega dyskusji i to w interesie orga-nizacji ley dooenie wszelkich stara, aby ostronie i z rozmysem zaplanowa wszyst-kie kroki majce zapewni pene przestrze-ganie zasad zawartych w rozporzdzeniu. Szkolenia s tu nieodzowne mwi Pawe Korzec, Regional Presales Manager, Eastern Europe w firmie VMware.Nowe przepisy stworz organom regula-cyjnym realne moliwoci przeciwdzia-ania naduyciom. Nie bdzie ju miejsca na nieprzestrzeganie zasad, a firmy, ktre zlekcewa zapisy rozporzdzenia, bd surowo karane. Aby unikn takich sytu-acji, w cigu nadchodzcych kilkunastu miesicy przedsibiorstwa powinny opra-cowa i wdroy odpowiedni strategi cyberbezpieczestwa.O badaniuBadanie przeprowadzono jesieni 2016 r. na grupie odpowiedzialnych za ochron da-nych przedstawicieli 200 firm zatrudniaj-cych powyej 100 osb. Struktura prby jest reprezentatywna ze wzgldu na proporcje sektorowe (przemys/usugi/handel). Polscy przedsibiorcy wci nie s przygotowani na wejcie w ycie unijnego rozporzdzenia oochronie danychBadanie Trend Micro i VMware: ponad poowa polskich firm nie syszaa o rozporzdzeniu GDPRPena wersja raportu jest do pobrania na stronie VMware http://bit.ly/raportGDPR_PLMateria przygotowany przez firm:15Materia przygotowany przez firm:Biece przygotowania przedsibiorstw na spotkanie z rozporzdzeniem unijnym GDPR i wynikajcymi z tego nowymi przepisami pol-skimi RODO oscyluj przede wszystkim wok wyznaczenia ABI (Administrator Bezpiecze-stwa Informacji), przygotowania nowej treci zgd oraz analizy celw przetwarzania. Cz przedsibiorcw uwaa, i nowe przepisy nie wymusz zmian w procesie zarzdzania danymi osobowymi wewntrz ich firm, gdy w ich prze-konaniu wczeniejsze przystosowanie proce-sw do dotychczas obowizujcych przepisw ju ich do tego przygotowao. Ponadto liczba osb skazanych prawomocnie w procesach kar-nych za amanie obecnie obowizujcej ustawy jest do tej pory tak niska, i aspekt konsekwencji nie jest czynnikiem motywujcym. W naszym przekonaniu nowa regulacja zmieni ten stan i drastycznie zwikszy liczb takich przypadkw.W brany wida wyczekiwanie na projekt pol-skiej wersji unijnej regulacji, ktry najpewniej pojawi si na wiosn br. oraz tego jak bdzie wygldaa nowa organizacja GIODO i jej plany zwizane z realizacj nowej ustawy. Patrzc na to, jak przygotowuj si urzdy w innych krajach na moment wejcia regulacji w ycie, zwizany z tym wzrost zatrudnienia w urz-dach i fiskalny charakter tych przygotowa - naley oczekiwa, e polscy urzdnicy pjd w t sam stron.Warto podkreli, i dobrze skompletowa-na skarga skierowana do GIODO ju dzi-siaj skutkuje wizyt prokuratora a nie in-spektora. Zaoenie, e inspektorzy skieruj si w maju przyszego roku (wejcie w ycie RODO) przede wszystkim w stron bogatszych bran i e nie wystarczy im zasobw do tego, aby uruchomi strumie kar naszym zdaniem jest bdne. Ju dzisiaj urzd w duym stopniu angauje ABI w kompletowanie informacji nt. przetwarzania danych w wybranych gaziach gospodarki. Niestety cz z nich zmaga si z problemem braku zrozumienia dla wymo-gw nowej regulacji na poziomie zarzdw firm, braku akceptacji wnioskw na niezbdne inwestycje i przygotowanie firmy nie tylko na audyty RODO, ale na inwestycje w IT.Przepisy RODO oznaczaj konieczno wy-posaenia ABI w odpowiednie narzdzia a po-tencjalne kary finansowe wynikajce z niewy-penienia nowych regulacji, nienaleytego zabezpieczenia infrastruktury i przygotowania pracownikw powinny by motywacj do in-westycji. Z naszych dowiadcze wynika, e zakupy narzdzi security nastpuj przewanie po odnotowaniu incydentu, choby ze wzgl-du na to, e ta cz IT zawsze bya postrze-gana, jako koszt nie biorcy udziau w budo-waniu przewagi konkurencyjnej. Wysoko kar zapisanych w nowej unijnej regulacji zapewne skoni przedsibiorcw do wczeniejszego zadbania o ten obszar.Ponadto naley mie na uwadze inny aspekt, czyli jak zmieni si zachowania osb fizycz-GDPR i nowe wyzwania cyberbezpieczestwa przemylenia eksperta Dimension Data Mieszko Jeliski, Business Line Manager Security, Dimension Data PolskaCo CIO musi wiedzie o RODO?Skuteczne i kompleksowe zabezpieczenie przedsi-biorstwa stao si bar-dzo kosztowne a rozwj metod hakerskich sprawia i nie ma 100% zabezpie-czenia przed atakiem. 16nych, ktre nie tylko najprawdopodobniej za-lej firmy wnioskami o udzielenie informacji ale take, co nieuniknione, skargami w stron GIODO. Nie ma brany, ktra moe spa spo-kojnie co wida na przykadzie ostatnich kontroli GIODO w przychodniach medycz-nych po skargach pacjentw.Security Operations CenterSkuteczne i kompleksowe zabezpieczenie przedsibiorstwa stao si bardzo kosztowne a rozwj metod hakerskich sprawia i nie ma 100% zabezpieczenia przed atakiem. Wysiek specjalistw zmierza w kierunku umoliwienia firmom radzenia sobie ze skutkami, oceny ja-kie dane zostay wykradzione. Same produkty zabezpieczajce nie s tak kosztowne jak bu-dowa wasnego zespou Security Operations Center (SoC) i odpowiednie doposaenie tego zespou w narzdzia. Regulacja RODO nakazuje poinformowa GIODO nie pniej, ni w przecigu 72 godzin od momentu po-wzicia wiadomoci o wycieku, a osoby kt-rych dane dotycz nakazuje poinformowa bez zbdnej zwoki.Specyfika regulacji zobowizuje przedsibior-cw do posiadania rodkw technicznych, ktre umoliwi stwierdzenie, jakie dane pod-legay naruszeniu. Ta cz jest najbardziej kosztowna i w praktyce bardzo trudna do zrealizowania poza grup najwikszych przed-sibiorstw z budetami IT umoliwiajcymi odpowiednie inwestycje. Problemem jest tak-e brak moliwoci zatrudnienia fachowcw, gdy luka pomidzy poda i popytem na ryn-ku pracy szybko ronie.W uproszczeniu kosztowno wyposaenia firmy w zdolno do udokumentowania ta-kiego naruszenia polega na wyposaeniu zespou SoC w narzdzia do monitoro-wania i nagrywania kadego istotnego przepywu danych wszelkimi wykorzy-stywanymi w firmie kanaami, zbieraniu logw z zachowania urzdze informa-tycznych, w ktre firma jest wyposao-na a w przypadku wystpienia incydentu zaangaowanie tego zespou, z koniecznoci bdcego elit wrd fachowcw IT, w zi-dentyfikowanie miejsca i zakresu naruszenia. Nieuchronno wejcia nowych przepisw w ycie spowodowaa nasilenie rekrutacji na i tak ju mocno wydrenowanym ze specjali-stw rynku. Ekspert sta si najbardziej rzadkim zasobem w procesie przygotowywania firm do RODO. Ponadto liczba integratorw w kraju majcych kompetencje we wdraaniu i utrzy-mywaniu tak zaawansowanych systemw bez-pieczestwa jest ograniczona.Z du doz prawdopodobiestwa mona za-oy, i dua grupa przedsibiorstw o narusze-niach ochrony danych osobowych dowie si, jak to si niestety dzieje obecnie, w ramach po-stpowania kontrolnego lub prokuratorskiego.Z naszych obserwacji wynika, e spora cz przedsibiorcw oczekujc na polsk wersj regulacji RODO nie podejmuje adnej konkret-nej decyzji w tym obszarze. Brak adekwatnej reakcji zarzdw na oczywiste potrzeby za-pewnienia zgodnoci z przepisami i nowymi wymogami w chwili obecnej spitrzy problem w momencie, gdy nowe GIODO zacznie eg-zekwowa zapisy ustawy. W konsekwencji zapewne otworzy to drog do popularyzacji usug outsourcingu funkcji ABI, gdy kontrak-ty B2B efektywniej ogranicz ryzyka pracy ta-kiego ABI operujcego w trudnych warunkach bez wsparcia Zarzdu w porwnaniu do umw o prac.Model subskrypcyjny usuga bez inwestycjiAlternatyw do wysokich kosztw inwestycji w zabezpieczenia rodowiska IT ju w tej chwi-li s usugi outsourcingu platform i procesw zapewniajcych bezpieczestwo z zespoem SoC pracujcym dla wielu klientw dostarcza-jcym uytkownikom kocowym niezbdne licencje narzdzi security w modelu subskryp-cyjnym. Taki model wyniesienia zadania wy-posaenia przedsibiorstwa w zdolno do przejcia certyfikacji RODO na zewntrz moe okaza si te jedynym pasujcym do kalenda-rza. Powd? niesamowicie trudno jest zbu-dowa kompleksowe rodowisko speniajce wymagania nowych regulacji w krtkim czasie oraz przy duym problemie z rekrutacj spe-cjalistw. Przykadem wspomnianej usugi jest platforma zbudowana wsplnie przez NASK oraz Dimension Data.Usugi bezpieczestwa dostarczane wsplnie przez Dimension Data i NASKUsugi oferowane wsplnie przez Dimen-sion Data i NASK zapewniaj kompleksowe zabezpieczenie danych, aplikacji i systemw wraz z zarzdzaniem rodowiskiem IT.RODOSecurity Ops CenterMonitoringbaz danychStrategiarozwojucyber-secAudyt RODOObieg dokumentwSystemy SecurityDLPABIElementy usugi ochrony rodowiska IT17ZALETY proaktywnej ochrony Proaktywna ochrona rde danych war-tociowych i wraliwych, a take urzdze kocowych i poczty elektronicznej pra-cownikw, stwarza moliwo powstania data lake, ktre dla caego przedsibior-stwa przekada si na realne korzyci. Ta-kie podejcie eliminuje w praktyce potrze-b utrzymywania oddzielnych zbiorw danych, zrzutw caej zawartoci dyskw i masowych zrzutw danych (np. na po-trzeby eDiscovery lub dochodze), co zwykle wie si z duymi kosztami prze-twarzania i analizy. Data Lake pozwala rwnie na ograniczenie lub nawet na wyeliminowanie zewntrznych narzdzi do synchronizacji i udostpniania danych oraz kosztownych platform wyszukiwania klasy korporacyjnej. Zapewniony jest przy tym atwy dostp do zdecydowanej wik-szoci - istotnych danych.Szefowie odpowiedzialni za prac dziaw IT musz teraz podj wiadome i moli-wie najbardziej perspektywiczne decyzje w kwestii inwestycji w rozwj struktury sys-temw. Istotne jest utrzymanie rwnowagi pomidzy koniecznoci skonsolidowania zarzdzania danymi, a potrzeb rozwizy-wania biecych problemw operacyjnych w tym zakresie. Dedykowanym rozwizaniem s wyspecja-lizowane produkty suce centralizacji za-rzdzania danymi. Wprowadzenie GDPR jest wic jednoczenie czynnikiem, ktry stymulu-je rynek dostawcw specjalistycznego opro-gramowania. DANE NIEUSTRUKTURYZOWANE - NAJ-WIKSZE WYZWANIE Najwikszym spord wyzwa, z ktrymi bd musieli si zmierzy managerowie IT, bdzie zapewnienie firmie kontroli nad danymi nieustrukturyzowany-mi. Jakkolwiek rozwizania do przetwarza-nia danych strukturalnych zawieraj funkcje zarzdzania ich zgodnoci z przepisami, to trudno mwi tu o zapewnieniu takiej zgodnoci w przypadku danych niestruktu-ralnych. Zwaszcza dla mobilnych czy sta-cjonarnych urzdze kocowych wiadomo-ci e-mail czy serwerw z setkami, a nawet tysicami autoryzowanych uytkownikw. Pord tych wtpliwoci rodzi si kolejne pytanie: Jak najbardziej optymalnie i kom-pleksowo rozwiza ten problem bez korzy-stania z wielu niszowych produktw?KOMPLEKSOWE ROZWIZANIE KWE-STII ZGODNOCI Z GDPR Commvault Data Platform integruje operacje zwizane z ochron danych o znaczeniu krytycznym, zapewnieniem ich zgodnoci i wyszukiwa-niem informacji wszystko w ramach jed-nego, spjnego rozwizania. Dziki temu na-rzdziu moliwe jest nie tylko weryfikowanie posiadanych danych nieustrukturyzowanych, ale i wypenianie obowizkw definiowanych przez Rozporzdzenie o Ochronie Danych Osobowych oraz wykazywanie zgodnoci dziaa firmy z jego przepisami wobec orga-nw regulacyjnych.Materia przygotowany przez firm:POTRZEBA PODJCIA ODPOWIEDNICH RODKW18E-maile lokalne lub w chmurzeUytkownicy zdalni i lokalniRozwizania do przetwarzania w chmurzeCentrum przetwarzania danychPROAKTYWNA OCHRONAZintegrowany backup i odtwarzanie kopii zapasowych oraz archiwizacjaZintegrowane, wirtualne repozytorium danych docelowych, umoliwiajce wyszukiwanieAutomatyczne zarzdzanie danymiGlobalne zmniejszenie kosztw przechowywania i zarzdzania danymiNiezaleno od platformy sprztowej i dostawcy chmuryDOSTP ANALIZA ZARZDZANIE WYTWARZANIE LUB KASOWANIEBezpieczny dostp uytkownikwWtyczki do programw Outlook i Explorer dania dostpu lub kasowania danycheDiscovery i przeprowadzanie dochodzeRetencja z uwzgldnieniem typu zawartociWykrywanie wyciekw danychMapowanie danychLepsza widzialno dziki federacyjnemu wyszukiwaniu danychPracownicy i rda danych Warstwy 1 CABDostp na potrzeby zapewnienia zgodnociXMLUsuwanie30 LATPracownicy i rda danych maego ryzyka1 ROKBBCAAZ automatyczn obsug storage tieringCommvault Data Platform integruje funkcje zapisywania i odtwa-rzania kopii zapasowych oraz archiwizacji danych, co pozwala na utworzenie jednego, zintegrowanego repozytorium wartociowych informacji nieustrukturyzowanych. Co wane - dane te mog by z atwoci przeszukiwane. To wszystko sprawia, e omawiane roz-wizanie stanowi solidny fundament do prowadzenia nadzoru korpo-racyjnego nad danymi. Zapewnia ono bowiem nie tylko jasny wgld, ale i pen kontrol nad danymi, co jest niezbdne do wypenienia obowizkw nakadanych przez GDPR. UZYSKAJ PEEN WGLD W DANE OSOBOWE PRZECHOWYWANE PRZEZ KADY DZIA TWOJEJ FIRMY Dostp do informacji o miejscach przechowywania danych osobo-wych w obrbie caego przedsibiorstwa pozwala na optymalizacj kontroli dostpu, a take konsolidacj oraz ustalanie odpowiednich priorytetw dziaaniom na rzecz bezpieczestwa. DYNAMICZNA REAKCJA NA WNIOSKI PODMIOTW, KTRYCH DO-TYCZ PRZECHOWYWANE DANE Postaw prewencyjnie na rozwizanie, dziki ktremu zminimali-zujesz lub nawet wyeliminujesz mao wydajne operacje dokony-wane ad-hoc w chaotycznym zbiorze danych. Przyspiesz proces wyszukiwania, tworzenia oraz - w razie potrzeby - usuwania da-nych osobowych. ZAUTOMATYZUJ RESPEKTOWANIE POLITYKI DOTYCZCEJ PRZE-CHOWYWANIA DANYCH Biece usuwanie nieaktualnych danych z urzdze kocowych, poczty elektronicznej czy rde w centrach przetwarzania danych, a take kopii zapasowych i archiwalnych, w celu respektowania prze-pisw dotyczcych przechowywania danych. UCZY ATWIEJSZYM PRZESTRZEGANIE ZASAD BEZPIECZESTWA I PRYWATNOCI DANYCH Wykrywaj ewentualne wycieki danych, co minimalizuje potrzeb nie-wydajnego sprawdzania systemw i urzdze kocowych. Usuwaj dane objte szczegln ochron z nieautoryzowanych loka-lizacji. Uzyskaj dodatkow ochron przed zagroeniami typu ransomware. Skorzystaj z szybkiej, alternatywnej metody oceny skali zagroenia w przypadku naruszenia ochrony. Uatwiaj tym samym prawnym in-teresariuszom zaplanowanie powiadomienia o naruszeniu.ELASTYCZNO I DOSTPNO NARZDZIA Szybkie odzyskiwanie danych w przypadku incydentu. Moliwo odtworzenia danych do dowolnej lokalizacji (fizycznej lub do chmury), a nawet w kilku lokalizacjach jednoczenie.SOLIDNY FUNDAMENT DO WPROWADZENIA zintegrowanego nadzoru korporacyjnego nad danymi19Pierwsze wyzwanie zwizane ze spenieniem wymogw okrelonych w oglnym rozporz-dzeniu o ochronie danych dotyczy zbadania i w stosownych przypadkach zmodyfikowania sposobu, w jaki organizacja gromadzi, prze-chowuje i przetwarza dane osobowe zgodnie z tymi prawami. W przypadku niektrych orga-nizacji moe by to dobra okazja do uproszcze-nia operacji poprzez zaprzestanie gromadzenia niepotrzebnych danych oraz ograniczenie ich przetwarzania wycznie do zakresu, w jakim jest to niezbdne do realizacji podstawowych celw biznesowych.Zgaszanie przypadkw naruszeniaW oglnym rozporzdzeniu o ochronie danych nakada si rwnie na organizacje nowy obo-wizek powiadamiania waciwych organw o naruszeniu ochrony danych osobowych1, ktre moe wiza si z wysokim ryzykiem na-ruszenia praw lub wolnoci osb fizycznych. W przypadku uznania ryzyka za wysokie za-wiadomienie naley skierowa rwnie do osb bdcych przedmiotem naruszenia, ktrych dane dotycz. Zawiadomienia naley dokona bez zbdnej zwoki, a jeeli jest to wykonalne, nie pniej ni w terminie 72 godzin po stwier-dzeniu naruszenia.Istotn kwesti, ktr naley podkreli, jest zwizek midzy wykryciem a zgoszeniem na-ruszenia. Zgodnie z przepisami zawiadomienia naley dokona w cigu 72 godzin. Pierwszy nieautoryzowany dostp, ktrego dopuci si haker, mg jednak mie miejsce na wiele dni, tygodni lub nawet miesicy przed faktycznym naruszeniem danych. Wedug sprawozdania M-Trends z 2016 r. redni czas miedzy pierw-szym nieautoryzowanym dostpem a jego wy-kryciem wynosi 146 dni. Zasadnicze znaczenie dla powodzenia naruszenia ochrony danych ma pojawienie si okazji, a zmniejszenie prawdo-podobiestwa lub cakowite uniemoliwienie jej wystpienia jest niezbdne do zapewnienia ochrony danych organizacji. Poniewa kade naruszenie ochrony danych rozpoczyna si od pierwszego nieautoryzowanego dostpu, pierwszym krokiem w kierunku ochrony da-nych i przestrzegania przepisw oglnego roz-porzdzenia o ochronie danych powinno by zapewnienie wystarczajcego bezpieczestwa wykorzystywanej sieci.Zabezpieczanie sieciDlaczego wci dochodzi do takich przypad-kw naruszenia ochrony danychJedn z przyczyn jest z pewnoci trudno w dotrzymaniu kroku zmieniajcemu si cha-rakterowi zagroe. Ogromne zyski pynce z cyberprzestpczoci, nie wspominajc o po-Materia przygotowany przez firm:Przygotowanie do wejcia w ycie oglnego rozporzdzenia o ochronie danych Patrick Grillo, EMEA Sales and Marketing Director, Fortinettencjale tego procederu w kontekcie prowa-dzenia wojny zastpczej, zapewniaj sprawcom takich przestpstw zasoby i moliwo korzy-stania z innowacyjnych rozwiza, ktre mog istotnie przewysza zasoby i moliwoci do-stpne dla pojedynczych przedsibiorstw czy nawet rzdw pastw.Jednak czynnikiem, ktry naley uzna za jesz-cze istotniejszy w tym kontekcie, jest kwestia kierunku, w jakim sie dziaajca w przedsi-biorstwach ewoluowaa na przestrzeni cza-su. W miar jak przedsibiorstwa przyswajay rnego rodzaju technologie, m.in. internet, dostp bezprzewodowy i przechowywanie da-nych w chmurze, aby czerpa z nich konkretne korzyci biznesowe, kada z tych technologii generowaa rwnie nowe zagroenia dla bez-pieczestwa sieci. W wikszoci przypadkw dochodzio do zmiany topologii, ale nie ochro-ny obwodowej sieci, co sprawiao, e stawaa si ona podatna na nowe kierunki atakw. T cech sieci powszechnie okrela si jako jej bezgraniczno.Inn powszechn praktyk powizan z bez-granicznym charakterem sieci, ale odrbn od tej cechy, jest czenie i dopasowywanie rnych technologii bezpieczestwa dostar-czanych przez rnych dostawcw, czsto w reakcji na ostatnie przypadki naruszenia ochrony danych. Cho poszczeglne pro-dukty, z jakich korzysta dane przedsibior-stwo, mog dziaa zgodnie ze swoim prze-znaczeniem, w wielu przypadkach zdarza si, e twrcy tych produktw nie przewidzieli moliwoci ich skutecznego wspdziaania 1 W niniejszym dokumencie naruszenie ochrony danych definiuje si jako jakiekolwiek naruszenie bezpieczestwa skutkujce zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostpem do danych osobowych.20 WIADOMA ZGODA prawo do uzyskania jasnych informacji na temat tego, dlaczego dane s potrzebne oraz w jaki sposb zostan wykorzystane. Zgoda musi zosta udzielona w sposb wyrany i moe zosta wycofana w dowolnym momencie;DOSTPprawo do nieodpatnego dostpu do wszystkich zgromadzonych danych oraz do uzyskania potwierdzenia co do sposobu ich przetwarzania;KOREKTAprawo do skorygowania danych, jeeli s nieprawidowe;ZAPEWNIENIE PRAWA DO BYCIA ZAPOMNIANYMprawo do zwrcenia si o usunicie danych dotyczcych danej osoby;MOLIWO PRZENOSZENIA DANYCH prawo do pobrania i ponownego wykorzystania danych osobowych do celw wasnych w zakresie rnych usug.Prawa osb fizycznychPodstaw oglnego rozporzdzenia o ochronie danych jest okrelenie praw osb fizycznych w zakresie ochrony danych. Prawa te mona zasadniczo podsumowa w nastpujcy sposb:z pozostaymi technologiami wchodzcymi w skad sieci sytuacja ta komplikuje sposb dziaania sieci, co moe doprowadzi do b-dw w jej konfiguracji i innego rodzaju bdw ludzkich. Poniewa wikszo tych produktw wymaga dostpu do bazy danych dotyczcej zagroe, aby mc peni swoje funkcje, za-rzdzanie szeregiem rde danych na temat zagroe bez gwarancji, e wszystkie te rda pozwol w jednakowym stopniu przeciwdzia-a zagroeniom i je wykrywa, zwiksza ryzy-ko wystpienia luk w poziomie ochrony, ktre bd mogy zosta nastpnie wykorzystane przez cyberprzestpc lub hakera.Ostatnim problemem, z jakim musz si obec-nie mierzy organizacje, jest problem wydajno-ci, ktry nie wynika jednak z niedostatecznej przepustowoci. Jeeli chodzi o przepusto-wo sieci, w ostatnich latach mona byo zaobserwowa bardzo istotn popraw tego parametru obecnie wikszo sieci dziaa z prdkoci 10 Gb/s lub wysz. Problem po-lega na tym, e wikszo sieciowych narz-dzi bezpieczestwa nie jest przystosowana do dziaania z tak prdkoci. W konsekwencji przedsibiorstwa s zmuszone do obnienia poziomu swojej ochrony, aby utrzyma wy-dajno dziaania aplikacji. Jest to decyzja, do podjcia ktrej adna organizacja nie powinna zosta zmuszona. Cho istnieje bardzo wiele powodw, dla ktrych uzyskanie nieautory-zowanego dostpu do sieci moe przekszta-ci si w skuteczn prb naruszenia ochrony danych, sie naraona na oddziaywanie tych trzech czynnikw bezgranicznoci, powol-nego dziaania i zoonoci okae si atwym celem dla cyberprzestpcy lub hakera.Fortinet Security Fabric bezpieczestwo od samego pocztkuFortinet Security Fabric to wizja technologicz-na przedsibiorstwa Fortinet majca na celu rozwizanie biecych problemw bezgra-nicznoci, powolnego dziaania i zoonoci oraz cigy rozwj, aby mc rozwizywa pro-blemy, jakie mog pojawi si w przyszoci. Jej filozofia jest prosta oferujc pen gam rozwiza Fortinet, Fortinet Security Fabric moe zapewni szerokie, silne i automatyczne bezpieczestwo.Fortinet Security Fabric osiga to poprzez umieszczenie odpowiednich technologii zabez-pieczajcych we waciwych miejscach w caej sieci. Ze wzgldu na architektur ASIC jednost-ki procesora zabezpieczajcego poszczeglne produkty s w stanie speni wszystkie oczeki-wania zwizane z dziaaniem i umoliwiaj opa-calne skalowanie w celu spenienia rosncych wymogw w zakresie wydajnoci. Po uruchomieniu technologie te wsppra-cuj ze sob w celu usunicia zoonoci i w pierwszej kolejnoci zablokowania cy-berprzestpcy przed wejciem do sieci oraz w celu wykrycia wszelkich przypadkw nie-autoryzowanego dostpu, jakie miay miej-sce w przeszoci. Tego rodzaju wielopo-ziomowe podejcie jest moliwe tylko dziki cisej integracji midzy poszczeglnymi elementami rozwiza i ma decydujce zna-czenie dla utrzymania najwyszego poziomu integralnoci sieci oraz zminimalizowania lub nawet wyeliminowania okien umoliwia-jcych uzyskanie dostpu, z ktrych chc skorzysta hakerzy. Po wykryciu nieautory-zowanego dostpu informacje o aktywno-ci w sieci mona nastpnie wykorzysta do przeprowadzenia analizy, dlaczego i w jaki sposb doszo do nieautoryzowanego do-stpu, przyspieszajc tym samym proces ograniczania wyciekw i odzysku.Chocia ochrona danych i bezpieczestwo sieci funkcjonuj na rnych poziomach w organizacji, nie mona zignorowa zwiz-kw midzy nimi. Bez zabezpieczonej sieci zdolnej do zablokowania zagroe i wykrycia nieautoryzowanego dostpu okazja, na jak liczy haker, bdzie dostpna wystarczajco dugo, aby doszo do naruszenia ochrony da-nych. Fortinet Security Fabric zapewnia wizj realizowan poprzez szereg rozwiza Forti-net, ktrej celem jest zapewnienie bezpiecznej podstawy wymaganej do uniemoliwienia po-jawiania si takich okazji i wspieranie ochro-ny danych w caej organizacji.21Cho unijne rozporzdzenie o ochronie danych osobowych (GDPR) wejdzie w ycie dopiero w maju 2018 roku, ju dzi perspektywa jego przyszej implementacji wpywa na podmioty tworzce krajo-braz cyfrowej transformacji w Polsce i caej Europie. Do wymogw nowego prawa musz si zastosowa wszystkie przedsibiorstwa oraz instytucje przetwarzajce lub gromadzce dane osb prze-bywajcych w krajach UE. Dokument GDPR podkrela ogrom-ne znaczenie danych elektronicznych a jego wdroenie stawia przed organizacjami take wyzwania natury technologicznej. Aby mc respektowa prawa uytkownikw zapisane w nowym roz-porzdzeniu, przedsibiorstwa musz zagwarantowa m.in. sta dostpno danych w centrach, ktre su ich przechowywaniu i przetwarzaniu. Musz rwnie zapewni sobie narzdzia sku-tecznie chronice przed utrat danych i przestojami w dostpie do nich. Jednym z praw sformuowanych w rozporzdzeniu GDPR jest moliwo dania przez uytkownika dostpu do swoich da-nych, przechowywanych przez okrelon firm lub instytucj. Je-li obywatel bdzie chcia skorzysta z prawa dostpu do danych, administrator bdzie musia przekaza mu nie tylko informacje o kategoriach zbieranych danych osobowych, jak dzieje si obec-nie, ale rwnie wyda kopi danych podlegajcych przetwarzaniu. W przypadku, gdy firma utraci te informacje, np. w skutek awarii w centrum danych, bdzie naraona na dotkliwe konsekwencje prawne i kary finansowe. Dlatego ju dzi przedsibiorstwa powin-ny zainwestowa w modernizacj swojego zaplecza IT, tak by prze-twarzane dane byy zawsze dostpne na kade danie upowanio-nych do tego osb czy organw administracyjnych.Jak wskaza niedawny sonda ARC Rynek i Opinia, 52 proc. rodzi-mych przedsibiorcw nigdy nie syszao o GDPR, natomiast a 67 proc. z nich nie zdaje sobie sprawy z tego, ile czasu pozostao na wdroenie rozporzdzenia. Std problem naley potraktowa po-wanie, podejmujc dziaania dostosowujce zaplecze IT do no-wych przepisw Unii Europejskiej.Komentarz Veeam Software na temat GDPR dla CIONET Krzysztof Rachwalski, Regional Director, Eastern Europe Veeam SoftwareMateria przygotowany przez firm:22Zarzdzanie i ochrona informacji w kontekcie GDPRGDPR, czyli nowa regulacja europejska General Data Protection Regulation, kt-ra wprowadza znaczce obostrzenia do-tyczce ochrony informacjizawierajcych dane osobowe. W szczeglnoci zakada data privacy by design and default tak, by prywatno bya norm a nie wyjt-kiem. Czy w takim razie musimy kom-pletnie przeprojektowa nasze systemy informatyczne i kultur organizacyjn, by w maju 2018 r. zapewni zgodno z wy-maganiami GDPR?Materia przygotowany przez firm:Od jakich krokw naley rozpocz przygotowania?01Wsppraca z Zarzdem 06Przeprowad inwentaryzacj procesw przetwarzania danych02Rozwa powoanie Inspektora Ochrony Danych07Odtwrz przepywy danych w ramach organizacji03Przejrzyj dotychczasowe polityki, instrukcje, materiay szkoleniowe itp08Zweryfikuj dotychczasowe umowy dot. przetwarzania danych osobowych04Zweryfikuj podstawy przetwarzania danych 09Zweryfikuj podstawy przetwarzania danych 05Rozwa skorzystanie z narzdzi w zakresie complianceOce gotowo Twojej organizacji do rozporzdzenia GDPR z narzdziem GDPR Compliance Assessment dostpnym na stronie: www.gdprcomplianceassessment.com23info_pl@cionet.com www.cionet.comDocz do spoecznoci CIONET Polska na LinkedIn:www.linkedin.com/company/cionet-polskaWhats next.Premium Business Partners:Business Partners: