Prvé veľké pokuty
GDPR oslavuje prvé výročie platnosti zákona, pričom existujú spoločnosti, ktoré nevenujú dostatok času tomuto zákonu a viditeľnosti údajov. Napríklad gigant Google dostal od francúzskeho regulačného úradu CNIL pokutu 50 miliónov eur za porušovanie nariadení o GDPR pre nedostatočnú transparentnosť pri zhromažďovaní údajov pre personalizovanú reklamu a pre absenciu súhlasu používateľov. Európska únia berie svoju úlohu vážne, aj keď sa nám môže zdať, že 50 miliónov je pre takýto gigant malá pokuta.
Nariadenia GDPR
GDPR dáva spoločnostiam za úlohu zaviesť technológie, procesy a programy, aby bola neustála viditeľnosť bez rozdielu, kde sa pohybujú. Pod skutočnou viditeľnosťou môžeme chápať, že firma vie, kde sa údaje zdieľajú, ako používajú a kde ich údaje sú. Je to nad rámec tradičných bezpečnostných okruhov a dosahuje až po služby cloudovej spolupráce.
Bezpečnostné tímy čelia veľkej výzve. Dôležité je zavedenie nepretržitých postupov spracovania údajov. Na základe zavedenia správnych technologických postupov môžu firmy lepšie vyhodnotiť bezpečnostné riziká, napríklad ako sa údaje zdieľajú a používajú, a tým sa môžu vyhnúť prípadným sankciám.
Možné riešenia
- Skladovanie súborov v rámci bezpečnostných požiadaviek na uchovávanie údajov v súlade s GDPR.
- Dôležitosť inventúry dát v čase tak, aby spoločnosti vedeli, kde sa nachádzajú dôležité údaje. Manuálna inventarizácia dát je neefektívna, nakoľko sa dáta rýchlo vyvíjajú a menia v rámci organizácie.
- Používanie auditu dát, aby firmy vedeli, či je používanie dát v súlade s GDPR.
- Sledovanie aktivity exfiltrácie zložiek, aby sa zabezpečila viditeľnosť súborov, ktoré majú možnosť vidieť iné strany.
Dôležité je mať nástroje, ktoré napomáhajú overeniu fungovania programu na ochranu dát. Podstatou je mať dobré procesy, aby sa dodržiavali zákony o GDPR.