gdpr. co powinieneś wiedzieć o ogólnym rozporządzeniu o danych osobowych?
Post on 12-Apr-2017
387 Views
Preview:
TRANSCRIPT
Spis treści04
Co CIO musi wiedzieć o RODO?
08 Unijna reforma ochrony danych osobowych – istotna zmiana, czy tylko zmiany kosmetyczne?
10Podejście Microsoft do implementacji RODO
12 Usługi doradcze w zakresie prywatności oferowane przez firmę Cisco: Ogólne rozporządzenie o ochronie danych
14 Badanie Trend Micro i VMware: ponad połowa polskich firm nie słyszała o rozporządzeniu GDPR
16 GDPR i nowe wyzwania cyberbez-pieczeństwa … przemyślenia eksperta Dimension Data
18Potrzeba podjęcia odpowiednich środków
20 Przygotowanie do wejścia w życie ogólnego rozporządzenia o ochronie danych
22 Komentarz Veeam Software na temat GDPR dla CIONET
23 Zarządzanie i ochrona informacji w kontekście GDPR
2
Przed nami jeszcze rok na przygotowania, a RODO już staje się
najbardziej znienawidzonym akronimem XXI wieku. Wydaje się, że
mamy idealny przykład tego, jak strategia FUD (Fear, Uncertainty,
Doubt) może działać w skali makro.
RODO jest daleko idącym aktem prawnym – nie pamiętam regulacji
wywołującej tak duże i bezpośrednie skutki biznesowe, organiza-
cyjne i technologiczne. Z drugiej strony rynek zalewają uproszczo-
ne komunikaty i narracje nastawione na wywołanie strachu, w pod-
tekście zachęcające do szybkiego nabywania usług, które strach ten
mają stłumić. Jak z każdą łatwą receptą na życie – ładnie wygląda,
ale niekoniecznie działa.
Z całą pewnością RODO jest rzeczywistością już teraz i już teraz
każda organizacja musi się z tą rzeczywistością zmierzyć. Każda na
swój sposób, stosownie do własnej specyfiki. Tymczasem, spectrum
postaw różnych organizacji wobec RODO jest szerokie, od zupeł-
nej nieświadomości, poprzez ignorowanie lub kwestionowanie
zmieniającej się rzeczywistości i związanych z tym zagrożeń, aż po
skrajną RODO-fobię. Gdzieś pomiędzy są organizacje, które starają
się sukcesywnie, ale też ostrożnie dostosowywać do nowych wy-
magań, śledząc jednocześnie rozwój sytuacji. Najprawdopodobniej
te organizacje nie przeinwestują, ani też nie pozwolą się zaskoczyć.
Dostosowanie procesów ochrony danych i ich przetwarzania wy-
maga czasu, zasobów i przede wszystkim jak najszerszego zaanga-
żowania organizacji w proces transformacji do standardów RODO.
To ważne, bo RODO wymaga transformacji organizacji jako całości
i wbudowania w jej DNA dbałości o prywatność. Z tego powodu
procesu dostosowania nie da się zlecić na zewnątrz, tak jak nie da
się wyoutsourcować w całości działań związanych z zapewnieniem
bezpieczeństwa. We wdrożeniu RODO można zatem pomóc, ale nie
można wyręczyć. Nie istnieje dostawca, który jednym ruchem do-
starczy magiczne rozwiązanie, wszelkie kłopoty usuwające. Żaden
dostawca nie zdoła poznać organizacji tak jak osoba z wewnątrz,
dlatego taki dostawca może wspierać, konsultować, doradzać, jed-
nak na końcu tego procesu to organizacja zdoła lub nie zdoła do-
stosować się do nowych zasad gry.
Przetwarzanie danych osobowych jest i będzie kluczową potrzebą
współczesnego biznesu. Nie możemy zapomnieć, że nadmiernie
asekuracyjne podejście może utrudniać a nawet blokować roz-
wój. Jak to ładnie ujął prawie sto lat temu John A. Shedd „A ship
in harbor is safe, but that is not what ships are built for”. Wygrają
podmioty, które będą potrafiły znaleźć rozsądną równowagę mię-
dzy dążeniem do realizacji celów biznesowych, a zgodnością z wy-
maganiami prawa. Takie, które będą płynąć dalej zgodnie z obraną
strategią i korzystnymi prądami, ale jednocześnie zrobią wszystko,
żeby nie dać się zatopić. Przegrają ci, którzy zostaną w porcie lub
wypłyną nieprzygotowani.
W świecie strategii FUD liczy się wiedza i odpowiednie decyzje.
Konieczne jest budowanie świadomości, co dla organizacji jest
groźne, a następnie zlokalizować skuteczne i optymalne dla bizne-
su metody zapewnienia ochrony przed tymi zagrożeniami. RODO
przetestuje te umiejętności jak mało który akt prawny. I trzeba
przyznać, że choć przymusowe, będzie to najwyższej klasy wy-
zwanie intelektualne.
Mec. Marcin Maruta Jeden z najlepszych w Polsce ekspertów w zakresie prawa nowych technologii i własności intelektualnej. Nadzorował największe kontrakty technologiczne w Polsce, posiada ponad 20 lat doświadczenia w doradztwie dla dostawców i klientów sektora ICT.
3
Co CIO musi wiedzieć o RODO?
Sławomir Kowalski, Senior Associate w kancelarii Maruta Wachta sp. j.
Co CIO musi wiedzieć o RODO?
4
Rozporządzenie ogólne o ochronie danych
osobowych zacznie obowiązywać 25 maja
2018 r. Tego dnia obudzimy się w nowej
rzeczywistości ochrony danych osobowych
- dużo bardziej wymagającej i dużo mniej
przyjaznej, także dla działów informatyki
i CIO. Oto co nas czeka.
Po pierwsze kary finansowe – to na gruncie
polskim nowość. Obecnie za brak zgodności
z ustawą nie zapłacimy ani złotówki, w rze-
czywistości RODO ryzykujemy nawet 20 mln
EUR lub 4% całkowitego rocznego świato-
wego obrotu. Dotychczas zaniedbany przez
wiele organizacji obszar stanie się obszarem
ryzyka, które trudno będzie bagatelizować.
Po drugie zupełnie nowe wymagania –
jeśli organizacja przetwarza dane osobowe
zgodnie z aktualnymi regulacjami, to i tak
będzie musiała wykonać dużo dodatkowej
pracy. Jeśli w obszarze ochrony danych nie
zrobiła dotychczas nic, to będzie musiała
wdrożyć terapię szokową i mocno zająć się
tematem, jeśli nie chce się znaleźć w grupie
tych co nie zdążą. A jak prognozuje Gartner
nie zdąży 50% dużych firm.
Po trzecie nowe, oparte na ryzku podej-
ście – koniec z jednolitym traktowaniem
wszystkich przetwarzających. Im bardziej
ryzykowne procesy przetwarzania danych,
tym bardziej trzeba będzie o nie zadbać.
Jeśli przedsiębiorca opiera swój biznes na
przetwarzaniu danych, będzie musiał zrobić
dużo więcej niż ten, który dane przetwarza
jedynie pomocniczo. Jeśli ktoś uważa, że
danych osobowych nie przetwarza wcale,
cóż – jest w błędzie.
Po czwarte brak twardych wytycznych
– nie będzie już odgórnych, w miarę jed-
noznaczych (choć mało aktualnych) wy-
tycznych jak zmiana hasła co 30 dni. Na
podstawie analizy ryzyka uwzględniającej
takie czynniki jak rodzaj danych, skalę
i cel przetwarzania oraz jego kontekst,
trzeba będzie opracować dedykowaną
strategię obejmującą m.in. adekwatne
mechanizmy zabezpiecza-
jące. Nasza decyzja – nasza
odpowiedzialność.
Po piąte privacy by design
i privacy by default – ko-
nieczność nieustannego
dbania o prywatność i wyka-
zywania inicjatywy w kierun-
ku jak najlepszej jej ochrony.
Na każdym etapie procesu od
planowania, poprzez projek-
towanie sposobu działania,
aż po operacyjne stosowa-
nie, trzeba będzie uwzględ-
niać perspektywę ochrony
prywatności. Powszechne
obecnie podejście, polegające na uzyskaniu
możliwie szerokiego zakresu danych (a nuż
się przyda) i ich przetwarzaniu w sposób
maksymalizujący korzyści (bo czemu nie)
raczej się nie sprawdzi w czasach RODO.
Po szóste rozliczalność – trzeba będzie
wykazać, że rzeczywiście przestrzegamy
RODO. Aktualne na dziś polityki mogą nie
wystarczyć – bo z reguły są pisane na spo-
kojne czasy, w których zgodność z checkli-
stą w jest w praktyce zgodnością z prawem.
Rozliczalność natomiast wymaga wykazania,
że polityki przetwarzania danych są żywe,
z realną egzekucją i realnymi środkami wy-
muszania wewnętrznego podporządkowa-
nia organizacji zasadom ochrony danych.
Po siódme zarządzanie dostawcami –
zgodnie z RODO nie będzie można zlecać
przetwarzania niezweryfikowanemu pod-
miotowi. Dopuszczalne będzie korzystanie
tylko z takich dostawców, którzy gwarantują,
że przetwarzanie przez nich danych będzie
bezpieczne i zgodne z prawem. Trzeba bę-
dzie sprawdzić obecnych dostawców i za-
dbać o to, żeby w przyszłości wybierać tylko
takich, którzy zapewniają stabilność i bezpie-
czeństwo na odpowiednim poziomie.
Po ósme budowanie świadomości – klucz
do zgodności z RODO. Musimy wiedzieć
kto, co i dlaczego przetwarza, komu prze-
kazuje, od kogo i na jakiej podstawie dosta-
je. Bez tego ani rusz. Najlepsze procedury
i systemy nie uratują organizacji, która nie
ma pełnej świadomości tego, co robi z da-
nymi osobowymi.
Po dziewiąte umacnianie kultury organi-
zacyjnej – uniknięcie bolesnej konfrontacji
z RODO wymaga wykształcenia wrażliwo-
ści na ochronę prywatności u osób, które
przetwarzają dane. Generalnie wszystkich,
chociaż najważniejsze, aby taką wrażliwość
miały osoby zarządzające procesami prze-
twarzania danych i decydujące o nowych
sposobach ich wykorzystania. W głównej
mierze od tych osób zależy czy nasza orga-
nizacja okaże się RODO-proof.
Po dziesiąte mocne przełożenie na ob-
szar IT i systemy informatyczne – brak
konkretnych wytycznych odnoszących
się do IT może powodować błędne i nie-
bezpieczne wrażenie, że tego obszaru nie
trzeba będzie dostosować do RODO.
Tymczasem, wymagania dla IT są pochod-
ną innych wymagań, jakie przetwarzający
dane będą musieli spełnić. Realizacji czę-
ści obowiązków wynikających z RODO
po prostu nie sposób sobie wyobrazić
bez sprawnie działającego i odpowiednio
przygotowanego IT.
5
Obowiązek zapewnienia bezpieczeństwa
danych osobowych, poprzez zastosowanie
środków takich jak szyfrowanie czy
pseudonimizacja i przygotowanie
procedur awaryjnych – business
continuity czy disaster recovery, w zakresie
odpowiadającym wnioskom z oceny
ryzyka przetwarzania danych.
Trzeba wziąć pod uwagę, że koszty
dostosowania systemów i procedur IT oraz
czas potrzebny na ich przeprowadzenie, to
najprawdopodobniej największe wyzwanie
jakie stawia nam RODO. Polityki można
opracować szybko, ale rozszerzenie
funkcjonalności systemów IT to proces
dłuższy, w świecie PZP nawet bardzo długi.
03
05
Obowiązki w zakresie zarządzania cyklem
życia danych (od zebrania aż do usunięcia)
i realizowania po drodze praw podmiotów
danych, m.in. prawa do informacji, prawa
do usunięcia części lub całości danych
(prawo do bycia zapomnianym) czy prawo
do sprzeciwu wobec przetwarzania danych
w różnych odmianach.
Obowiązek notyfikowania naruszeń
ochrony danych osobowych do organu
nadzorczego oraz podmiotów danych, przy
czym notyfikacja do organu nadzorczego
powinna nastąpić w ciągu 72 godzin od
stwierdzenia naruszenia.
02
04
Obowiązek zapewnienia przenoszalności
danych, to jest umożliwienia podmiotom
danych zabranie danych ze sobą (pobrania),
w popularnym formacie, nadającym się
do maszynowego odczytu, np. w celu
przekazania ich innemu usługodawcy.
01
Kilka przykładów wymagań, które będą miały wpływ na IT:
6
Inwentaryzacja – sprawdźmy co mamy. Jakie procesy przetwarzania, jakie systemy,
jakie dane, jakich dostawców. To punkt wyjścia do dalszych działań
i od tego trzeba zacząć.
Identyfikacja – określmy obszary, które wymagają dostosowania do wymagań
RODO. To nam pozwoli określić ilość pracy, zaplanować zasoby
i budżet.
Step plan i jego realizacja – rozpiszmy działania dostosowujące na 2017 i 2018, tj.
opracowanie polityk, ocena ryzyka, przygotowanie nowych wzorów
umów i klauzul (zgody i informacyjnych), dostosowanie systemów,
szkolenie personelu– ostatecznie mamy jeszcze prawie półtora
roku. W tym czasie dużo można zrobić.
Monitoring – sprawdzajmy, jak zmienia się otoczenie RODO. Samo
rozporządzenie to nie wszystko, będą dodatkowe wytyczne,
będzie nowa polska ustawa o ochronie danych osobowych i będzie
dyskusja jak to wszystko przełożyć na praktykę. Warto być na
bieżąco z tematem.
01
02
03
04
Jak to ugryźć?
Jeśli chcemy być RODO-ready w maju 2018 to musimy wystartować już. To jest jeden
z tych tematów, w których ASAP oznacza wczoraj. Są tacy, którzy twierdzą, że jeśli
ktoś jeszcze nie zaczął, to już nie zdąży. Aż tak źle raczej nie jest, ale warto już teraz
przyjrzeć się następującym obszarom:
7
Rozporządzenie RODO dotyczy
praktycznie wszystkich Organiza-
cji przetwarzających dane osobowe
i wprowadza szereg istotnych zmian
takich jak konieczność pozyska-
nia zgody na przetwarzanie danych
w sposób jednoznaczny w stosunku
do określonego celu przetwarzania,
brak konieczności zgłaszania zbio-
rów danych osobowych do rejestru
prowadzonego przez GIODO, ko-
nieczność przeprowadzania analizy
ryzyka danych osobowych i stosowa-
nia adekwatnych do poziomu ryzyka
zabezpieczeń technicznych oraz
organizacyjnych, prawna dopusz-
czalność pseudoanonimizacji i szy-
frowania danych, czy też prawo do
bycia zapomnianym lub zaprzestania
przetwarzania danych. A to już nie są
zmiany kosmetyczne.
Warto również odnotować istotne
wzmocnienie znaczenia organów
nadzoru poprzez rozszerzenie kata-
logu ich zadań oraz dostępnych na-
rzędzi. Organ nadzorczy jakim jest
GIODO będzie musiał być informo-
wany o naruszeniach dotyczących
gromadzonych i przetwarzanych
danych osobowych nie później niż
w terminie 72 godzin po stwierdze-
niu naruszenia wraz z informacjami
odnośnie charakteru naruszenia czy
konsekwencji z niego wynikających
dla osób których incydent dotyczy.
Wyjątkiem mają być sytuacje kiedy
naruszenie stwarza niskie prawdo-
podobieństwo aby skutkowało ry-
zykiem dla praw osób fizycznych.
Jednak w przypadku zgłoszenia na-
stępującego po upływie 72 godzin
podmiot będzie miał obowiązek
dołączenia wyjaśnienia przyczyn
opóźnienia. Chociaż praktyka w tym
zakresie z przyczyn oczywistych niż
ostała jeszcze wypracowana, wydaje
się być nieuchronne, że oczekiwa-
niem regulatora będzie, że elemen-
tem składowym takiego wyjaśnienia
będzie analiza wpływu naruszenia
i związanego z nim ryzyka.
Wbrew pozorom zdolność organiza-
cji do zgłoszenia naruszenia we wła-
ściwym terminie nie musi być zada-
niem trywialnym. Przede wszystkim
organizacja musi posiadać mecha-
nizmy umożliwiające jej zidentyfiko-
wanie naruszenia. Mechanizmy inne
niż informacja w mediach, że dane
np. klientów sę dostępne gdzieś na
serwerach a Internecie. Jeżeli „zgło-
szenie” odbędzie się poprzez me-
dia można oczekiwać, że Regulator
szczególnie uważnie może zechcieć
przejrzeć się, czy organizacja doło-
żyła należytej staranności projektu-
jąc swój system zabezpieczeń i do-
statecznie poważnie podchodzi do
Unijna reforma ochrony danych osobowych – istotna zmiana, czy tylko zmiany kosmetyczne?
Konsekwencje finansowe do 4% globalnych przychodów grupy:
Kary finansowe za brak zgodności
mogą wynieść do 4% globalnych
przychodów grypy lub 20 milinów
EUR, w zależności od tego która
z kar jest bardziej dotkliwa. Kraje
członkowskie mogą uzupełnić kata-
log sankcji o dodatkowe elementy.
Inspektor Ochrony Danych osobowych:
Musi zostać powołany inspektor
ochrony danych osobowych (DPO)
w jednostkach publicznych oraz
jednostkach gdzie działalność pod-
stawowa wiąże się z regularnym
i systematycznym monitorowa-
niem i przetwarzaniem specjalnych
kategorii danych osobowych.
Szeroka definicja danych osobowych:
GDPR/RODO definiuje dane oso-
bowe jako jakiekolwiek informacje
odnoszące się do zidentyfikowanej
lub identyfikowalnej osoby w tym
dane pseudoanonimowe.
Zgłoszenie naruszenia:
RODO wymaga aby nie później niż
w terminie 72 godzin po stwierdze-
niu naruszenia zostało ono zgło-
szone właściwemu organowi nad-
zorczemu.
Odpowiedzialność:
Organizacje są zobowiązane usta-
nowić kulturę odpowiedzialności
oraz świadomego rejestrowania
jakie dane osobowe posiadają, do
czego są wykorzystywane, zakres
kontroli mających zapewnić mi-
nimalizację przetwarzania danych
oraz ich retencji, w tym ustano-
wienie polityk oraz stosownych
procedur.
Materiał przygotowany przez firmę:
8
swoich obowiązków wynikających
z Rozporządzenia. A konsekwencje ja-
kie może wyciągnąć Regulator mogą
być bardzo bolesne…
Po wtóre samo wykrycie incydentu
to jeszcze zbyt mało. Wiele podmio-
tów funkcjonujących na rynku nie do
końca posiada, lub wręcz zupełnie
zaniedbało wypracowanie procedur
w zakresie zarządzania kryzysowego
w tym zasady komunikacji wewnątrz
i na zewnątrz organizacji, w tym z Za-
rządem firmy, mediami i regulatorem.
Nawet jeżeli zasady takie istnieją to
często nie brano pod uwagę rygoru
72 godzinnego okienka, kiedy taka
komunikacja musi zaistnieć.
Reagowanie na naruszenie danych bę-
dzie wymagało dobrze przemyślane-
go zbioru działań przeprowadzonych
przez różnych ludzi, a raportowanie
do Regulatora będzie jednym z tych
działań. Definiowanie tych działań
i prewencyjne testowanie będzie tylko
usprawniać cały proces oraz skracać
czas odpowiedzi przy rzeczywistym
naruszeniu danych.
Nowe obowiązki Przetwarzania DanychJedną z najbardziej istotnych wśród
nowych regulacji dotyczących prze-
twarzania danych jest przekazanie
odpowiedzialności jednostkom kon-
trolującym oraz przetwarzającym
dane poprzez wdrożenie organiza-
cyjnych i technicznych środków ma-
jących na celu zapewnienie bezpie-
czeństwa przetworzonych danych
osobowych.
Podczas gdy Dyrektywa z 1995 przy-
pisywała tą odpowiedzialność tylko
kontrolerom danych, teraz również
w obszarze procesu przetwarzania
danych należy wdrożyć odpowied-
nie zabezpieczenia w celu osiągnię-
cia wymagań ustalonych w RODO.
Jednostki przetwarzające dane będą
musiały ocenić, czy wdrożone środ-
ki są wystarczające jeśli chodzi o cel
i zakres przetwarzania, ilość zebra-
nych danych, okres składowania da-
nych oraz dostęp do danych. Umowa
przetwarzania pozostanie podstawą
ustalenia celu i zakresu czynności
przetwarzania pomiędzy kontrolowa-
niem a przetwarzaniem danych, gdzie
określenie środków bezpieczeństwa
jest możliwe (i pożądane).
Pomimo tego, iż możliwe będą tak do-
tkliwe kary, nie spodziewamy się, aby
regulator nakładał na przedsiębior-
stwa nie wywiązujące się ze swoich
obowiązków wynikających z rozpo-
rządzenia najdotkliwsze z dostępnych
sankcji. Przynajmniej nie w ciągu
najbliższych kilku lat. Duże organi-
zacje, które przetwarzają praktycznie
nieograniczone ilości danych osobo-
wych, powinny jednak pamiętać, że
będą jednymi z pierwszych do których
organy ochrony danych zapukają do
drzwi w celu sprawdzenia zgodności
procesów z RODO.
Niemniej jednak, warto aby każda
z organizacji, a zwłaszcza te prze-
twarzające dane osobowe na skalę
masową, zweryfikowały na jakim eta-
pie są w swojej drodze do uzyskania
zgodności z wymogami wynikający-
mi z unijnego rozporządzenia. Jeżeli
nie zaczęliśmy jeszcze drogi, warto
sięgnąć po owoce wiszące najniżej –
analiza luki jako punkt wyjścia wydaje
się być najbardziej sensownym punk-
tem wyjścia. Po wtóre – dokumenta-
cja. Polityki, procedury, opis środo-
wiska przetwarzania danych i zasady
ich zabezpieczania. Bez tego trudno
będzie dowieść, że organizacja doło-
żyła należytej staranności w zakresie
ochrony danych osobowych, które
zostały jej powierzone.
Ocena wpływu:
Powinien zostać ustanowiony pro-
ces regularnego testowania I oceny
skuteczności technicznych I orga-
nizacyjnych mechanizmów wdro-
żonych przez organizację mają-
cych na celu zapewnić bezpie-
czeństwo zgromadzonych danych
osobowych.
Zarządzanie dostawcami:
Podmioty którym powierzono
przetwarzanie danych również
są obarczone odpowiedzialności
I podlegają rozporządzeniu. Są zo-
bowiązani do utrzymywania rejestru
działalności jeżeli przetwarzają dane
osobowe.
Transgraniczne przetwarza-nie danych osobowych:
Osoba odpowiedzialna za za dane
osobowe zobowiązana jest znać
wszystkie podmioty przetwarzające
dane osobowe za które są odpo-
wiedzialni. Osoba ta jest odpowie-
dzialna wspólnie z przetwarzający-
mi dane za zapewnienie zgodności
z wymogami RODO.
Rozszerzenie indywidualnego prawa do prywatności:
Osobom, których dane są gro-
madzone nadano dodatkowe
uprawnienia w zakresie dostępu
do danych, udzielania zgody na
ich gromadzenie i przetwarzanie,
w tym profilowanie na potrzeby
marketingu.
Prywatność “by design and default”:
RODO modyfikuje wymogi tech-
niczne w zakresie ochrony danych
osobowych tak aby były one brane
pod uwagę na etapie projektowania
mechanizmów zabezpieczających.
9
Microsoft tworzy i udostępnia usługi sto-
sując się do czterech zasad: zapewnienia
bezpieczeństwa, ochrony prywatności, za-
pewnienia zgodności z wymaganiami prawa
oraz przejrzystości. Przy wdrożeniu RODO
nasi klienci mogą oczekiwać:
• Technologii, które spełniają wyma-
gania prawne – szeroka gama usług
w chmurze obliczeniowej może być
wykorzystana do wdrożenia wymogów
RODO, m.in. usuwania, modyfikacji,
przesyłania, dostępu i sprzeciwu wobec
przetwarzania danych osobowych.
• Zobowiązań umownych – wspieramy
działania naszych klientów w zobowią-
zaniach umownych dotyczących usług
w chmurze, np. wsparcia bezpieczeństwa
i powiadomień o naruszeniu bezpieczeń-
stwa danych zgodnych z nowymi wymo-
gami RODO. W najbliższym czasie nasze
umowy licencyjne będą zawierały zobo-
wiązania zgodności z RODO.
• Dzielenia się doświadczeniami – dzie-
limy się naszymi doświadczeniami we
wdrażaniu zapisów RODO bazując na
naszej praktyce.
Podejście Microsoft do implementacji RODO
Jak Microsoft może pomóc w przygotowaniach do wdrożenia RODO?
Celem Microsoft jest ułatwienie proce-
su wdrożenia rozporządzenia u naszych
klientów i partnerów. Staramy się to osią-
gnąć dzięki naszym technologiom, do-
świadczeniom oraz obopólnej współpra-
cy. Pomożemy zbudować bezpieczniejsze
środowisko, uprościmy wdrożenie zgod-
ności z RODO oraz udostępnimy narzędzia
i środki potrzebne, by zapewnić zgodność
z obowiązującym prawem.
The new General Data Protection Regulation (GDPR) is the most significant
change to European Union (EU) privacy law in two decades. The GDPR re-
quires that organizations respect and protect personal data – no matter
where it is sent, processed or stored. Complying with the GDPR will not be
easy. To simplify your path to compliance, Microsoft is committing to be
GDPR compliant across our cloud services when enforcement begins on
May 25, 2018.1
Brendon Lynch – Chief Privacy Officer, Microsoft
Opublikowano: 15 lutego 2017 r.
1 blogs.microsoft.com/on-the-issues/2017/02/15/get-gdpr-compliant-with-the-microsoft-cloud/ #sm.0000ehu9cr12jneqsqmjpj68sf1df, dostęp: 27 lutego 2017r.
Materiał przygotowany przez firmę:
11
W związku z rosnącą świadomością konsumen-
tów na temat konsekwencji naruszeń danych
osobowych i możliwości ich nielegalnego wy-
korzystania, w prowadzeniu działalności biz-
nesowej na znaczeniu zyskują takie czynniki jak
zaufanie i odpowiedzialne praktyki w zakresie za-
rządzania informacjami. Jest to szczególnie istot-
ne w kontekście rozwiązań cyfrowych umożli-
wiających gromadzenie i analizę coraz większych
ilości informacji o klientach i pracownikach.
Do roku 2018 organizacje znajdujące się
w posiadaniu danych dotyczących obywateli
UE, na podstawie których możliwa jest iden-
tyfikacja osoby fizycznej, będą musiały dosto-
sować się do zapisów Ogólnego Rozporzą-
dzenia o Ochronie Danych (ang. General Data
Protection Regulation, GDPR).
Rozporządzenie GDPR wprowadza kryterium
odpowiedzialności, zgodnie z którym podmio-
ty gospodarcze muszą zarówno przestrzegać
regulacji, jak i wykazać zgodność z ich zapisa-
mi. Artykuł rozporządzenia GDPR 5 (1f) stano-
wi, że „dane osobowe muszą być przetwarzane
w sposób zapewniający odpowiednie bezpie-
czeństwo danych osobowych, w tym ochronę
przed niedozwolonym lub niezgodnym z pra-
wem przetwarzaniem oraz przypadkową utra-
tą, zniszczeniem lub uszkodzeniem, za pomo-
cą odpowiednich środków technicznych lub
organizacyjnych („integralność i poufność”).
Artykuł 32 (1) nakłada na przedsiębiorstwa
obowiązek „wdrożenia odpowiednich środków
technicznych i organizacyjnych, aby zapewnić
stopień bezpieczeństwa odpowiadający temu
ryzyku”. W rozporządzeniu GDPR nie określo-
Korzyści
Zakomunikowanie dobrej znajomości wymogów rozporządzenia GDPR w odniesieniu do prywatności i ochrony danych
Opracowanie i wdrożenie skutecznego programu GDPR
Wiedza o skutkach rozporządzenia GDPR w zakresie cyfryzacji i rozwiązań IoT
Większe zaufanie klientów dzięki wdrożeniu efektywnego programu zgodności z rozporządzeniem GDPR
Plan rozwoju opartego o transformację i przystosowanie się do rozporządzeń obowiązujących w skali globalnej
Ograniczenie kosztów stałych i ryzyka naruszenia danych
Szybsza implementacja programu GDPR przy wsparciu doświadczonych konsultantów i wykorzystaniu sprawdzonej metodologii
Najważniejsze jest zaufanie klientów
Usługi doradcze w zakresie prywatności oferowane przez firmę Cisco: Ogólne rozporządzenie o ochronie danych
Materiał przygotowany przez firmę:
12
Analiza wpływu i zakresu
rozporządzenia GDPR
Odniesienie się do wymogów regulacyjnych określonych w rozporządzeniu GDPR
• Ocena poziomu, w jakim dane, partnerzy i podmioty organizacji mają odpowi-
adać zapisom rozporządzenia GDPR
• Poznanie bieżącego stanu wdrażanego programu zgodności oraz zdefiniowan-
ie kroków, które należy podjąć w celu opracowania skutecznego programu pry-
watności spełniającego kryteria określone w rozporządzeniu GDPR
• Analiza programu zgodności z rozporządzeniem GDPR mająca na celu dostoso-
wanie go do zmian w usługach biznesowych, nowych rynków, wprowadzania
rozwiązań technologicznych, współpracy z partnerami i zmian regulacyjnych
• Identyfikacja pozostałych zobowiązań w obszarze zgodności, uwzględnionych
w planach biznesowych
Opracowanie i ocena programu
GDPR
Opracowanie programu ochrony danych i prywatności zgodnego z rozporządze-
niem GDPR, uwzględniającego konkretne potrzeby organizacji i nowe regulacje
• Ewaluacja kryteriów i obowiązków określonych w rozporządzeniu GDPR
• Poznanie konkretnych potrzeb biznesowych, cyklu życia informacji, planów
rozwojowych i sposobów wykorzystania technologii
• Ocena wpływu na prywatność (ang. Privacy Impact Assessment) w celu zdefin-
iowania informacji umożliwiających identyfikację osób – chodzi o to, jakie dane
są gromadzone, w jakim celu, jak zostaną wykorzystane i zabezpieczone, jak
będą przechowywane i przekazywane.
• Ocena istniejącego programu i porównanie go ze standardowym zestawem
odpowiednich założeń odnoszących się do dojrzałości procesów
• Opracowanie kompleksowego planu dotyczącego programu prywatności, który
spełni zarówno oczekiwania przedsiębiorstwa, jak i wymogi rozporządzenia
GDPR w zakresie zgodności
GDPR – wsparcie w zakresiezgodności
i certyfikacji
Konsolidacja i przyspieszenie skutecznej implementacji istniejących inicjatyw
w programie GDPR
• Udzielanie niezależnych i cennych sugestii dotyczących tego, jak w praktyczny
sposób sprostać wymaganiom dotyczącym prywatności i ochrony danych
• Szybsze przygotowanie i wdrożenie programu GDPR dotyczącego prywatności
i ochrony danych
• Przekształcenie wymogów rozporządzenia GDPR w zakresie zgodności w prak-
tyczny program i plan implementacji
• Analiza mechanizmów nadzoru nad istniejącym programem GDPR w zakresie
zgodności oraz ocena gotowości do certyfikacji
GDPR – usługi w zakresie ochrony danych
Opis świadczonych usługno konkretnej metody bezpiecznego prze-
twarzania danych – firmy same muszą zadbać
o wdrożenie mechanizmów kontrolnych do-
stosowanych do poziomu ryzyka, na które na-
rażone są dane osobowe. Największy sukces
osiągną organizacje, które zdecydują się na
współpracę z partnerami rozumiejącymi jed-
nolity rynek cyfrowy UE i potrafiącymi spełnić
kryteria zgodności obowiązujące w technicz-
nej strukturze ramowej.
Firma Cisco już od kilku dekad koncentruje
się na tworzeniu i ochronie sieci (oraz zarzą-
dzaniu nimi), które łączą systemy z ich użyt-
kownikami. Nasze rozwiązania umożliwiają
skuteczne poznanie technologii, ich segmen-
tację i zarządzanie nimi w samym sercu po-
łączonego świata – na poziomie sieci, ser-
werów, aplikacji, użytkowników i danych. To
właśnie ta dogłębna znajomość skompliko-
wanych powiązań między różnymi domena-
mi technicznymi oraz interakcji z procesami
biznesowymi i wymogami zgodności pozwa-
la firmie Cisco pomagać klientom w przygo-
towaniu i wdrożeniu odpowiednich mecha-
nizmów zarządzania informacją. A wszystko
to z myślą o realizacji skutecznych strategii
w dziedzinie ochrony prywatności i danych
w cyfrowym świecie.
Usługi doradcze w zakresie prywatności i ochrony danych oferowane przez
firmę Cisco zapewniają rzetelne i wszechstronne wsparcie. Nasi doświadcze-
ni konsultanci ds. technologicznych i prywatności określą kryteria wynikające
ze zobowiązań biznesowych i regulacyjnych odnoszących się do zarządzania
informacjami umożliwiającymi identyfikację osób (ang. Personally Identifiable
Information, PII) oraz innymi wrażliwymi danymi klientów. Eksperci ds. bez-
pieczeństwa pomagają naszym partnerom poznać konkretne wymogi doty-
czące odpowiedniego programu zarządzania informacjami, oceniają ich ak-
tualny potencjał i opracowują indywidualnie dopasowaną infastrukturę umoż-
liwiającą lepszą ochronę prywatności. Pomagamy również w lepszym zrozu-
mieniu kryteriów biznesowych, opcji rozwoju i prognozowanych przypadków
użytkowych, co sprzyja tworzeniu zrównoważonej struktury ramowej GDPR
i opracowaniu planu wdrożenia działań w obszarze zgodności związanych
z inicjatywami cyfrowymi i technologicznymi.
W efekcie powstaje projekt dojrzałego, kontrolowanego i zgodnego
z zapisami rozporządzenia GDPR programu w dziedzinie prywatności,
który pozwala utrzymać zaufanie klientów w kwestii inicjatyw cyfrowych
i wprowadzanie innowacyjnych technologii.
13
Trend Micro oraz VMware we współpracy
z agencją badawczą ARC Rynek i Opinia
przeprowadziły wśród polskich przedsię-
biorców badanie poświęcone znajomości
unijnego rozporządzenia o ochronie da-
nych (GDPR). Wyniki są niepokojące: po-
nad połowa (52%) firm nigdy nie słyszała
o GDPR, natomiast aż dwie trzecie (67%)
z nich nie zdaje sobie sprawy z tego, ile cza-
su pozostało na wdrożenie rozporządzenia.
Dokładnie 25 maja 2018 r. zaczną funkcjo-
nować nowe przepisy dotyczące ochrony
danych, a firmy będą musiały przejść przez
żmudny proces weryfikacji wewnętrznych
procedur cyberbezpieczeństwa. Cho-
dzi o ogólne rozporządzenie o ochronie
danych osobowych, czyli GDPR (od an-
gielskiej nazwy General Data Protection
Regulation). Nowe prawo będzie mieć
zastosowanie w przedsiębiorstwach oraz
instytucjach przetwarzających lub groma-
dzących dane osobowe osób przebywają-
cych w krajach UE. Zmianie ulegną zasady
rejestrowania, przechowywania, przetwa-
rzania i udostępniania danych wszystkich
osób fizycznych.
„Dokument GDPR jest sformułowany
w sposób odmienny od obecnie obowiązu-
jących przepisów. Dotychczasowe podej-
ście polegało na stosowaniu określonych
procedur w przetwarzaniu informacji oso-
bowych w celu uświadomienia obywatelom
samego faktu ich zbierania. Obecne rozpo-
rządzenie skupia się na problemie jawności
bezpieczeństwa zbioru danych – każdy
przypadek naruszenia bezpieczeństwa,
strategia cyberbezpieczeństwa do 25 maja 2018 r.
CEL
Czas działać!
FIRM NIE SŁYSZAŁO JESZCZE O GDPR
FIRM NIE WIE, ILE CZASU POZOSTAŁO
NA WDROŻENIE ROZPORZĄDZENIA
FIRM JEST CAŁKOWICIE PEWNYCH
POSIADANYCH ZABEZPIECZEŃ
KARY FINANSOWE
ODPOWIEDZIALNOŚĆ TAKŻE POZA UE
INFORMOWANIE O NARUSZENIACH
PRAWO DO BYCIA ZAPOMNIANYM
FIRM ZA BARDZO DOTKLIWĄ UZNAŁO MAKSYMALNĄ MOŻLIWĄ KARĘ:
4% ROCZNEGO OBROTU
FIRM NIE WIE, KTO PONOSI ODPOWIEDZIALNOŚĆ W SYTUACJI
NARUSZENIA DANYCH PRZEZ USŁUGODAWCĘ Z USA
NIE MA WDROŻONYCH ŻADNYCH PROCEDUR INFORMOWANIA ORGANU OCHRONY DANYCH O ZAISTNIAŁYCH
NARUSZENIACH
FIRM NIE DYSPONUJE NARZĘDZIAMI I TECHNOLOGIAMI DAJĄCYMI
KONSUMENTOWI PRAWO DO BYCIA ZAPOMNIANYM
Ogólne rozporządzenie o ochronie danych*
52% 67% 26%
72%
42%
96%
50%
14
wyciek lub modyfikacja musi być ujawnia-
ny klientom firmy, a odpowiednie organa
powiadamiane o fakcie włamania. Ma to
ukrócić dotychczasową praktykę ukrywania
faktów naruszeń bezpieczeństwa przed opi-
nią publiczną, co powodowało powszech-
ne ignorowanie tego problemu jako rze-
komo mało istotnego i niewymagającego
jakichkolwiek inwestycji. Dlatego kolejną
nowością wprowadzaną przez GDPR jest
konieczność zastosowania adekwatnych
zabezpieczeń technologicznych. Nie są
przy tym wskazywane konkretne technolo-
gie, ale stawiany jest wymóg odpowiedniej
jakości owych zabezpieczeń. Świadczy to
o strategicznym podejściu UE, które ma za-
chęcić firmy do tego, aby myślały o bezpie-
czeństwie w bardziej kompleksowy sposób”
– mówi Michał Jarski, Regional Director
CEE w firmie Trend Micro.
Rozporządzenie GDPR przyznaje również
osobom fizycznym prawo do bycia zapo-
mnianym, czyli zażądania niezwłocznego
usunięcia danych osobowych. Wobec tego
organizacje muszą na życzenie usunąć
wszystkie dane osobowe i związane z nimi
odnośniki. Alarmujący jest fakt, że – jak
wynika z badania – aż połowa ankietowa-
nych firm (50%) nie dysponuje procedurami
i technologiami zapewniającymi konsu-
mentowi prawo do bycia zapomnianym
To nie koniec niepokojących informacji.
Niestety aż 42% organizacji nie ma wdro-
żonych żadnych procedur informowania
organu ochrony danych o zaistniałych na-
ruszeniach. A takie są niezbędne do tego,
aby realizować założenia nowego prawa,
które obliguje firmy do zgłoszenia incy-
dentu w ciągu maksymalnie 72 godzin od
jego wystąpienia. W razie zaniechania ta-
kiego działania, przedsiębiorstwa te mogą
być ukarane grzywną w wysokości nawet
4% rocznych obrotów. Prawie trzy czwar-
te firm (72%) uważa, że taka kara jest bar-
dzo dotkliwa.
„Zachowanie zgodności z nowym prawem
nie podlega dyskusji i to w interesie orga-
nizacji leży dołożenie wszelkich starań, aby
ostrożnie i z rozmysłem zaplanować wszyst-
kie kroki mające zapewnić pełne przestrze-
ganie zasad zawartych w rozporządzeniu.
Szkolenia są tu nieodzowne” – mówi Paweł
Korzec, Regional Presales Manager, Eastern
Europe w firmie VMware.
Nowe przepisy stworzą organom regula-
cyjnym realne możliwości przeciwdzia-
łania nadużyciom. Nie będzie już miejsca
na nieprzestrzeganie zasad, a firmy, które
zlekceważą zapisy rozporządzenia, będą
surowo karane. Aby uniknąć takich sytu-
acji, w ciągu nadchodzących kilkunastu
miesięcy przedsiębiorstwa powinny opra-
cować i wdrożyć odpowiednią strategię
cyberbezpieczeństwa.
O badaniuBadanie przeprowadzono jesienią 2016 r. na
grupie odpowiedzialnych za ochronę da-
nych przedstawicieli 200 firm zatrudniają-
cych powyżej 100 osób. Struktura próby jest
reprezentatywna ze względu na proporcje
sektorowe (przemysł/usługi/handel).
Polscy przedsiębiorcy wciąż nie są przygotowani na wejście w życie
unijnego rozporządzenia o ochronie danych
Badanie Trend Micro i VMware: ponad połowa polskich firm nie słyszała o rozporządzeniu GDPR
Pełna wersja raportu jest
do pobrania na stronie VMware
http://bit.ly/raportGDPR_PL
Materiał przygotowany przez firmę:
15
Materiał przygotowany przez firmę:
Bieżące przygotowania przedsiębiorstw na
spotkanie z rozporządzeniem unijnym GDPR
i wynikającymi z tego nowymi przepisami pol-
skimi RODO oscylują przede wszystkim wokół
wyznaczenia ABI (Administrator Bezpieczeń-
stwa Informacji), przygotowania nowej treści
zgód oraz analizy celów przetwarzania. Część
przedsiębiorców uważa, iż nowe przepisy nie
wymuszą zmian w procesie zarządzania danymi
osobowymi wewnątrz ich firm, gdyż w ich prze-
konaniu wcześniejsze przystosowanie proce-
sów do dotychczas obowiązujących przepisów
już ich do tego przygotowało. Ponadto liczba
osób skazanych prawomocnie w procesach kar-
nych za łamanie obecnie obowiązującej ustawy
jest do tej pory tak niska, iż aspekt konsekwencji
nie jest czynnikiem motywującym. W naszym
przekonaniu nowa regulacja zmieni ten stan
i drastycznie zwiększy liczbę takich przypadków.
W branży widać wyczekiwanie na projekt pol-
skiej wersji unijnej regulacji, który najpewniej
pojawi się na wiosnę br. oraz tego jak będzie
wyglądała nowa organizacja GIODO i jej plany
związane z realizacją nowej ustawy. Patrząc
na to, jak przygotowują się urzędy w innych
krajach na moment wejścia regulacji w życie,
związany z tym wzrost zatrudnienia w urzę-
dach i fiskalny charakter tych przygotowań -
należy oczekiwać, że polscy urzędnicy pójdą
w tą samą stronę.
Warto podkreślić, iż dobrze skompletowa-
na skarga skierowana do GIODO już dzi-
siaj skutkuje wizytą prokuratora a nie in-
spektora. Założenie, że inspektorzy skierują
się w maju przyszłego roku (wejście w życie
RODO) przede wszystkim w stronę bogatszych
branż i że nie wystarczy im zasobów do tego,
aby uruchomić strumień kar naszym zdaniem
jest błędne. Już dzisiaj urząd w dużym stopniu
angażuje ABI w kompletowanie informacji nt.
przetwarzania danych w wybranych gałęziach
gospodarki. Niestety część z nich zmaga się
z problemem braku zrozumienia dla wymo-
gów nowej regulacji na poziomie zarządów
firm, braku akceptacji wniosków na niezbędne
inwestycje i przygotowanie firmy nie tylko na
audyty RODO, ale na inwestycje w IT.
Przepisy RODO oznaczają konieczność wy-
posażenia ABI w odpowiednie narzędzia a po-
tencjalne kary finansowe wynikające z niewy-
pełnienia nowych regulacji, nienależytego
zabezpieczenia infrastruktury i przygotowania
pracowników powinny być motywacją do in-
westycji. Z naszych doświadczeń wynika, że
zakupy narzędzi security następują przeważnie
po odnotowaniu incydentu, choćby ze wzglę-
du na to, że ta część IT zawsze była postrze-
gana, jako koszt nie biorący udziału w budo-
waniu przewagi konkurencyjnej. Wysokość kar
zapisanych w nowej unijnej regulacji zapewne
skłonią przedsiębiorców do wcześniejszego
zadbania o ten obszar.
Ponadto należy mieć na uwadze inny aspekt,
czyli jak zmienią się zachowania osób fizycz-
GDPR i nowe wyzwania cyberbezpieczeństwa… przemyślenia eksperta Dimension Data
Mieszko Jeliński, Business Line Manager – Security, Dimension Data Polska
Co CIO musi wiedzieć o RODO?
Skuteczne i kompleksowe
zabezpieczenie przedsię-
biorstwa stało się bar-
dzo kosztowne a rozwój
metod hakerskich sprawia
iż nie ma 100% zabezpie-
czenia przed atakiem.
16
nych, które nie tylko najprawdopodobniej za-
leją firmy wnioskami o udzielenie informacji
ale także, co nieuniknione, skargami w stronę
GIODO. Nie ma branży, która może spać spo-
kojnie – co widać na przykładzie ostatnich
kontroli GIODO w przychodniach medycz-
nych po skargach pacjentów.
Security Operations CenterSkuteczne i kompleksowe zabezpieczenie
przedsiębiorstwa stało się bardzo kosztowne
a rozwój metod hakerskich sprawia iż nie ma
100% zabezpieczenia przed atakiem. Wysiłek
specjalistów zmierza w kierunku umożliwienia
firmom radzenia sobie ze skutkami, oceny ja-
kie dane zostały wykradzione. Same produkty
zabezpieczające nie są tak kosztowne jak bu-
dowa własnego zespołu Security Operations
Center (SoC) i odpowiednie doposażenie
tego zespołu w narzędzia. Regulacja RODO
nakazuje poinformować GIODO nie później,
niż w przeciągu 72 godzin od momentu po-
wzięcia wiadomości o wycieku, a osoby któ-
rych dane dotyczą nakazuje poinformować
bez zbędnej zwłoki.
Specyfika regulacji zobowiązuje przedsiębior-
ców do posiadania środków technicznych,
które umożliwią stwierdzenie, jakie dane pod-
legały naruszeniu. Ta część jest najbardziej
kosztowna i w praktyce bardzo trudna do
zrealizowania poza grupą największych przed-
siębiorstw z budżetami IT umożliwiającymi
odpowiednie inwestycje. Problemem jest tak-
że brak możliwości zatrudnienia fachowców,
gdyż luka pomiędzy podażą i popytem na ryn-
ku pracy szybko rośnie.
W uproszczeniu kosztowność wyposażenia
firmy w zdolność do udokumentowania ta-
kiego naruszenia polega na wyposażeniu
zespołu SoC w narzędzia do monitoro-
wania i nagrywania każdego istotnego
przepływu danych wszelkimi wykorzy-
stywanymi w firmie kanałami, zbieraniu
logów z zachowania urządzeń informa-
tycznych, w które firma jest wyposażo-
na – a w przypadku wystąpienia incydentu
zaangażowanie tego zespołu, z konieczności
będącego elitą wśród fachowców IT, w zi-
dentyfikowanie miejsca i zakresu naruszenia.
Nieuchronność wejścia nowych przepisów
w życie spowodowała nasilenie rekrutacji na
i tak już mocno wydrenowanym ze specjali-
stów rynku. Ekspert stał się najbardziej rzadkim
zasobem w procesie przygotowywania firm do
RODO. Ponadto liczba integratorów w kraju
mających kompetencje we wdrażaniu i utrzy-
mywaniu tak zaawansowanych systemów bez-
pieczeństwa jest ograniczona.
Z dużą dozą prawdopodobieństwa można za-
łożyć, iż duża grupa przedsiębiorstw o narusze-
niach ochrony danych osobowych dowie się,
jak to się niestety dzieje obecnie, w ramach po-
stępowania kontrolnego lub prokuratorskiego.
Z naszych obserwacji wynika, że spora część
przedsiębiorców oczekując na polską wersję
regulacji RODO nie podejmuje żadnej konkret-
nej decyzji w tym obszarze. Brak adekwatnej
reakcji zarządów na oczywiste potrzeby za-
pewnienia zgodności z przepisami i nowymi
wymogami w chwili obecnej spiętrzy problem
w momencie, gdy nowe GIODO zacznie eg-
zekwować zapisy ustawy. W konsekwencji
zapewne otworzy to drogę do popularyzacji
usług outsourcingu funkcji ABI, gdyż kontrak-
ty B2B efektywniej ograniczą ryzyka pracy ta-
kiego ABI operującego w trudnych warunkach
bez wsparcia Zarządu w porównaniu do umów
o pracę.
Model subskrypcyjny – usługa bez inwestycjiAlternatywą do wysokich kosztów inwestycji
w zabezpieczenia środowiska IT już w tej chwi-
li są usługi outsourcingu platform i procesów
zapewniających bezpieczeństwo – z zespołem
SoC pracującym dla wielu klientów dostarcza-
jącym użytkownikom końcowym niezbędne
licencje narzędzi security w modelu subskryp-
cyjnym. Taki model wyniesienia zadania wy-
posażenia przedsiębiorstwa w zdolność do
przejścia certyfikacji RODO na zewnątrz może
okazać się też jedynym pasującym do kalenda-
rza. Powód? – niesamowicie trudno jest zbu-
dować kompleksowe środowisko spełniające
wymagania nowych regulacji w krótkim czasie
oraz przy dużym problemie z rekrutacją spe-
cjalistów. Przykładem wspomnianej usługi jest
platforma zbudowana wspólnie przez NASK
oraz Dimension Data.
Usługi bezpieczeństwa dostarczane wspólnie przez Dimension Data i NASK
Usługi oferowane wspólnie przez Dimen-
sion Data i NASK zapewniają kompleksowe
zabezpieczenie danych, aplikacji i systemów
wraz z zarządzaniem środowiskiem IT.
RODO
Security Ops
Center
Monitoringbaz danych
Strategiarozwoju
cyber-sec
Audyt RODO
Obieg dokumentów
Systemy Security
DLP
ABI
Elementy usługi ochrony środowiska IT
17
ZALETY proaktywnej ochrony
Proaktywna ochrona źródeł danych war-
tościowych i wrażliwych, a także urządzeń
końcowych i poczty elektronicznej pra-
cowników, stwarza możliwość powstania
“data lake”, które dla całego przedsiębior-
stwa przekłada się na realne korzyści. Ta-
kie podejście eliminuje w praktyce potrze-
bę utrzymywania oddzielnych zbiorów
danych, zrzutów całej zawartości dysków
i masowych zrzutów danych (np. na po-
trzeby eDiscovery lub dochodzeń), co
zwykle wiąże się z dużymi kosztami prze-
twarzania i analizy. “Data Lake” pozwala
również na ograniczenie lub nawet na
wyeliminowanie zewnętrznych narzędzi
do synchronizacji i udostępniania danych
oraz kosztownych platform wyszukiwania
klasy korporacyjnej. Zapewniony jest przy
tym łatwy dostęp do zdecydowanej więk-
szości - istotnych danych.
Szefowie odpowiedzialni za pracę działów
IT muszą teraz podjąć świadome i możli-
wie najbardziej perspektywiczne decyzje
w kwestii inwestycji w rozwój struktury sys-
temów. Istotne jest utrzymanie równowagi
pomiędzy koniecznością skonsolidowania
zarządzania danymi, a potrzebą rozwiązy-
wania bieżących problemów operacyjnych
w tym zakresie.
Dedykowanym rozwiązaniem są wyspecja-
lizowane produkty służące centralizacji za-
rządzania danymi. Wprowadzenie GDPR jest
więc jednocześnie czynnikiem, który stymulu-
je rynek dostawców specjalistycznego opro-
gramowania.
DANE NIEUSTRUKTURYZOWANE - NAJ-
WIĘKSZE WYZWANIE Największym spośród
wyzwań, z którymi będą musieli się zmierzyć
managerowie IT, będzie zapewnienie firmie
kontroli nad danymi nieustrukturyzowany-
mi. Jakkolwiek rozwiązania do przetwarza-
nia danych strukturalnych zawierają funkcje
zarządzania ich zgodnością z przepisami,
to trudno mówić tu o zapewnieniu takiej
zgodności w przypadku danych niestruktu-
ralnych. Zwłaszcza dla mobilnych czy sta-
cjonarnych urządzeń końcowych wiadomo-
ści e-mail czy serwerów z setkami, a nawet
tysiącami autoryzowanych użytkowników.
Pośród tych wątpliwości rodzi się kolejne
pytanie: Jak najbardziej optymalnie i kom-
pleksowo rozwiązać ten problem bez korzy-
stania z wielu niszowych produktów?
KOMPLEKSOWE ROZWIĄZANIE KWE-
STII ZGODNOŚCI Z GDPR Commvault®
Data Platform integruje operacje związane
z ochroną danych o znaczeniu krytycznym,
zapewnieniem ich zgodności i wyszukiwa-
niem informacji — wszystko w ramach jed-
nego, spójnego rozwiązania. Dzięki temu na-
rzędziu możliwe jest nie tylko weryfikowanie
posiadanych danych nieustrukturyzowanych,
ale i wypełnianie obowiązków definiowanych
przez Rozporządzenie o Ochronie Danych
Osobowych oraz wykazywanie zgodności
działań firmy z jego przepisami wobec orga-
nów regulacyjnych.
Materiał przygotowany przez firmę:
POTRZEBA PODJĘCIA ODPOWIEDNICH ŚRODKÓW
18
E-maile lokalne lub w chmurze
Użytkownicy zdalni i lokalni
Rozwiązania do przetwarzania w chmurze
Centrum przetwarzania danych
PROAKTYWNA OCHRONA
Zintegrowany backup i odtwarzanie kopii zapasowych oraz archiwizacja
Zintegrowane, wirtualne repozytorium danych docelowych, umożliwiające wyszukiwanie
Automatyczne zarządzanie danymi
Globalne zmniejszenie kosztów przechowywania i zarządzania danymi
Niezależność od platformy sprzętowej i dostawcy chmury
DOSTĘP ANALIZA ZARZĄDZANIE WYTWARZANIE LUB KASOWANIE
Bezpieczny dostęp użytkowników
Wtyczki do programów Outlook® i Explorer® Żądania dostępu lub
kasowania danych
eDiscovery i przeprowadzanie dochodzeń
Retencja z uwzględnieniem typu zawartości
Wykrywanie wycieków danych
Mapowanie danych
Lepsza widzialność dzięki federacyjnemu wyszukiwaniu danych
Pracownicy i źródła danych Warstwy 1 CAB
Dostęp na potrzeby zapewnienia zgodności
XML
Usuwanie
30 LAT
Pracownicy i źródła danych małego ryzyka
1 ROK
B
B
C
A
A
Z automatyczną obsługą storage tiering
Commvault® Data Platform integruje funkcje zapisywania i odtwa-
rzania kopii zapasowych oraz archiwizacji danych, co pozwala na
utworzenie jednego, zintegrowanego repozytorium wartościowych
informacji nieustrukturyzowanych. Co ważne - dane te mogą być
z łatwością przeszukiwane. To wszystko sprawia, że omawiane roz-
wiązanie stanowi solidny fundament do prowadzenia nadzoru korpo-
racyjnego nad danymi. Zapewnia ono bowiem nie tylko jasny wgląd,
ale i pełną kontrolę nad danymi, co jest niezbędne do wypełnienia
obowiązków nakładanych przez GDPR.
UZYSKAJ PEŁEN WGLĄD W DANE OSOBOWE PRZECHOWYWANE
PRZEZ KAŻDY DZIAŁ TWOJEJ FIRMY
• Dostęp do informacji o miejscach przechowywania danych osobo-
wych w obrębie całego przedsiębiorstwa pozwala na optymalizację
kontroli dostępu, a także konsolidację oraz ustalanie odpowiednich
priorytetów działaniom na rzecz bezpieczeństwa.
DYNAMICZNA REAKCJA NA WNIOSKI PODMIOTÓW, KTÓRYCH DO-
TYCZĄ PRZECHOWYWANE DANE
• Postaw prewencyjnie na rozwiązanie, dzięki któremu zminimali-
zujesz lub nawet wyeliminujesz mało wydajne operacje dokony-
wane ad-hoc w chaotycznym zbiorze danych. Przyspiesz proces
wyszukiwania, tworzenia oraz - w razie potrzeby - usuwania da-
nych osobowych.
ZAUTOMATYZUJ RESPEKTOWANIE POLITYKI DOTYCZĄCEJ PRZE-
CHOWYWANIA DANYCH
• Bieżące usuwanie nieaktualnych danych z urządzeń końcowych,
poczty elektronicznej czy źródeł w centrach przetwarzania danych,
a także kopii zapasowych i archiwalnych, w celu respektowania prze-
pisów dotyczących przechowywania danych.
UCZYŃ ŁATWIEJSZYM PRZESTRZEGANIE ZASAD BEZPIECZEŃSTWA
I PRYWATNOŚCI DANYCH
• Wykrywaj ewentualne wycieki danych, co minimalizuje potrzebę nie-
wydajnego sprawdzania systemów i urządzeń końcowych.
• Usuwaj dane objęte szczególną ochroną z nieautoryzowanych loka-
lizacji.
• Uzyskaj dodatkową ochronę przed zagrożeniami typu ransomware.
• Skorzystaj z szybkiej, alternatywnej metody oceny skali zagrożenia
w przypadku naruszenia ochrony. Ułatwiaj tym samym prawnym in-
teresariuszom zaplanowanie powiadomienia o naruszeniu.
ELASTYCZNOŚĆ I DOSTĘPNOŚĆ NARZĘDZIA
• Szybkie odzyskiwanie danych w przypadku incydentu.
• Możliwość odtworzenia danych do dowolnej lokalizacji (fizycznej lub
do chmury), a nawet w kilku lokalizacjach jednocześnie.
SOLIDNY FUNDAMENT DO WPROWADZENIA zintegrowanego nadzoru korporacyjnego nad danymi
19
Pierwsze wyzwanie związane ze spełnieniem
wymogów określonych w ogólnym rozporzą-
dzeniu o ochronie danych dotyczy zbadania
– i w stosownych przypadkach zmodyfikowania
– sposobu, w jaki organizacja gromadzi, prze-
chowuje i przetwarza dane osobowe zgodnie
z tymi prawami. W przypadku niektórych orga-
nizacji może być to dobra okazja do uproszcze-
nia operacji poprzez zaprzestanie gromadzenia
niepotrzebnych danych oraz ograniczenie ich
przetwarzania wyłącznie do zakresu, w jakim
jest to niezbędne do realizacji podstawowych
celów biznesowych.
Zgłaszanie przypadków naruszeniaW ogólnym rozporządzeniu o ochronie danych
nakłada się również na organizacje nowy obo-
wiązek powiadamiania właściwych organów
o naruszeniu ochrony danych osobowych1,
które może wiązać się z wysokim ryzykiem na-
ruszenia praw lub wolności osób fizycznych.
W przypadku uznania ryzyka za „wysokie” za-
wiadomienie należy skierować również do osób
będących przedmiotem naruszenia, których
dane dotyczą. Zawiadomienia należy dokonać
„bez zbędnej zwłoki”, a jeżeli jest to wykonalne,
nie później niż w terminie 72 godzin po stwier-
dzeniu naruszenia.
Istotną kwestią, którą należy podkreślić, jest
związek między wykryciem a zgłoszeniem na-
ruszenia. Zgodnie z przepisami zawiadomienia
należy dokonać w ciągu 72 godzin. Pierwszy
nieautoryzowany dostęp, którego dopuścił się
haker, mógł jednak mieć miejsce na wiele dni,
tygodni lub nawet miesięcy przed faktycznym
naruszeniem danych. Według sprawozdania
M-Trends z 2016 r. średni czas miedzy pierw-
szym nieautoryzowanym dostępem a jego wy-
kryciem wynosi 146 dni. Zasadnicze znaczenie
dla powodzenia naruszenia ochrony danych ma
pojawienie się „okazji”, a zmniejszenie prawdo-
podobieństwa lub całkowite uniemożliwienie
jej wystąpienia jest niezbędne do zapewnienia
ochrony danych organizacji. Ponieważ każde
naruszenie ochrony danych rozpoczyna się
od pierwszego nieautoryzowanego dostępu,
pierwszym krokiem w kierunku ochrony da-
nych i przestrzegania przepisów ogólnego roz-
porządzenia o ochronie danych powinno być
zapewnienie wystarczającego bezpieczeństwa
wykorzystywanej sieci.
Zabezpieczanie sieciDlaczego wciąż dochodzi do takich przypad-
ków naruszenia ochrony danych
Jedną z przyczyn jest z pewnością trudność
w dotrzymaniu kroku zmieniającemu się cha-
rakterowi zagrożeń. Ogromne zyski płynące
z cyberprzestępczości, nie wspominając o po-
Materiał przygotowany przez firmę:
Przygotowanie do wejścia w życie ogólnego rozporządzenia o ochronie danych
Patrick Grillo, EMEA Sales and Marketing Director, Fortinet
tencjale tego procederu w kontekście prowa-
dzenia wojny zastępczej, zapewniają sprawcom
takich przestępstw zasoby i możliwość korzy-
stania z innowacyjnych rozwiązań, które mogą
istotnie przewyższać zasoby i możliwości do-
stępne dla pojedynczych przedsiębiorstw czy
nawet rządów państw.
Jednak czynnikiem, który należy uznać za jesz-
cze istotniejszy w tym kontekście, jest kwestia
kierunku, w jakim sieć działająca w przedsię-
biorstwach ewoluowała na przestrzeni cza-
su. W miarę jak przedsiębiorstwa przyswajały
różnego rodzaju technologie, m.in. internet,
dostęp bezprzewodowy i przechowywanie da-
nych w chmurze, aby czerpać z nich konkretne
korzyści biznesowe, każda z tych technologii
generowała również nowe zagrożenia dla bez-
pieczeństwa sieci. W większości przypadków
dochodziło do zmiany topologii, ale nie ochro-
ny obwodowej sieci, co sprawiało, że stawała
się ona podatna na nowe kierunki ataków. Tę
cechę sieci powszechnie określa się jako jej
„bezgraniczność”.
Inną powszechną praktyką powiązaną z bez-
granicznym charakterem sieci, ale odrębną
od tej cechy, jest łączenie i dopasowywanie
różnych technologii bezpieczeństwa dostar-
czanych przez różnych dostawców, często
w reakcji na ostatnie przypadki naruszenia
ochrony danych. Choć poszczególne pro-
dukty, z jakich korzysta dane przedsiębior-
stwo, mogą działać zgodnie ze swoim prze-
znaczeniem, w wielu przypadkach zdarza się,
że twórcy tych produktów nie przewidzieli
możliwości ich skutecznego współdziałania
1 W niniejszym dokumencie naruszenie ochrony danych definiuje się jako jakiekolwiek naruszenie bezpieczeństwa skutkujące zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych.
20
ŚWIADOMA ZGODA prawo do uzyskania jasnych informacji
na temat tego, dlaczego dane są potrzebne
oraz w jaki sposób zostaną wykorzystane.
Zgoda musi zostać udzielona w sposób
wyraźny i może zostać wycofana
w dowolnym momencie;
DOSTĘPprawo do nieodpłatnego dostępu do wszystkich
zgromadzonych danych oraz do uzyskania
potwierdzenia co do sposobu ich przetwarzania;
KOREKTAprawo do skorygowania danych,
jeżeli są nieprawidłowe;
ZAPEWNIENIE PRAWA DO BYCIA ZAPOMNIANYMprawo do zwrócenia się o usunięcie danych
dotyczących danej osoby;
MOŻLIWOŚĆ PRZENOSZENIA DANYCH
prawo do pobrania i ponownego wykorzystania danych
osobowych do celów własnych w zakresie różnych usług.
Prawa osób fizycznychPodstawą ogólnego rozporządzenia o ochronie danych jest określenie praw osób fizycznych w zakresie ochrony danych.
Prawa te można zasadniczo podsumować w następujący sposób:
z pozostałymi technologiami wchodzącymi
w skład sieci – sytuacja ta komplikuje sposób
działania sieci, co może doprowadzić do błę-
dów w jej konfiguracji i innego rodzaju błędów
ludzkich. Ponieważ większość tych produktów
wymaga dostępu do bazy danych dotyczącej
zagrożeń, aby móc pełnić swoje funkcje, za-
rządzanie szeregiem źródeł danych na temat
zagrożeń bez gwarancji, że wszystkie te źródła
pozwolą w jednakowym stopniu przeciwdzia-
łać zagrożeniom i je wykrywać, zwiększa ryzy-
ko wystąpienia luk w poziomie ochrony, które
będą mogły zostać następnie wykorzystane
przez cyberprzestępcę lub hakera.
Ostatnim problemem, z jakim muszą się obec-
nie mierzyć organizacje, jest problem wydajno-
ści, który nie wynika jednak z niedostatecznej
przepustowości. Jeżeli chodzi o przepusto-
wość sieci, w ostatnich latach można było
zaobserwować bardzo istotną poprawę tego
parametru – obecnie większość sieci działa
z prędkością 10 Gb/s lub wyższą. Problem po-
lega na tym, że większość sieciowych narzę-
dzi bezpieczeństwa nie jest przystosowana do
działania z taką prędkością. W konsekwencji
przedsiębiorstwa są zmuszone do obniżenia
poziomu swojej ochrony, aby utrzymać wy-
dajność działania aplikacji. Jest to decyzja, do
podjęcia której żadna organizacja nie powinna
zostać zmuszona. Choć istnieje bardzo wiele
powodów, dla których uzyskanie nieautory-
zowanego dostępu do sieci może przekształ-
cić się w skuteczną próbę naruszenia ochrony
danych, sieć narażona na oddziaływanie tych
trzech czynników – bezgraniczności, powol-
nego działania i złożoności – okaże się łatwym
celem dla cyberprzestępcy lub hakera.
Fortinet Security Fabric – bezpieczeństwo od samego początkuFortinet Security Fabric to wizja technologicz-
na przedsiębiorstwa Fortinet mająca na celu
rozwiązanie bieżących problemów – bezgra-
niczności, powolnego działania i złożoności –
oraz ciągły rozwój, aby móc rozwiązywać pro-
blemy, jakie mogą pojawić się w przyszłości.
Jej filozofia jest prosta – oferując pełną gamę
rozwiązań Fortinet, Fortinet Security Fabric
może zapewnić szerokie, silne i automatyczne
bezpieczeństwo.
Fortinet Security Fabric osiąga to poprzez
umieszczenie odpowiednich technologii zabez-
pieczających we właściwych miejscach w całej
sieci. Ze względu na architekturę ASIC jednost-
ki procesora zabezpieczającego poszczególne
produkty są w stanie spełnić wszystkie oczeki-
wania związane z działaniem i umożliwiają opła-
calne skalowanie w celu spełnienia rosnących
wymogów w zakresie wydajności.
Po uruchomieniu technologie te współpra-
cują ze sobą w celu usunięcia złożoności
i w pierwszej kolejności zablokowania cy-
berprzestępcy przed wejściem do sieci oraz
w celu wykrycia wszelkich przypadków nie-
autoryzowanego dostępu, jakie miały miej-
sce w przeszłości. Tego rodzaju wielopo-
ziomowe podejście jest możliwe tylko dzięki
ścisłej integracji między poszczególnymi
elementami rozwiązań i ma decydujące zna-
czenie dla utrzymania najwyższego poziomu
integralności sieci oraz zminimalizowania
lub nawet wyeliminowania okien umożliwia-
jących uzyskanie dostępu, z których chcą
skorzystać hakerzy. Po wykryciu nieautory-
zowanego dostępu informacje o aktywno-
ści w sieci można następnie wykorzystać do
przeprowadzenia analizy, dlaczego i w jaki
sposób doszło do nieautoryzowanego do-
stępu, przyspieszając tym samym proces
ograniczania wycieków i odzysku.
Chociaż ochrona danych i bezpieczeństwo
sieci funkcjonują na różnych poziomach
w organizacji, nie można zignorować związ-
ków między nimi. Bez zabezpieczonej sieci
zdolnej do zablokowania zagrożeń i wykrycia
nieautoryzowanego dostępu „okazja”, na jaką
liczy haker, będzie dostępna wystarczająco
długo, aby doszło do naruszenia ochrony da-
nych. Fortinet Security Fabric zapewnia wizję
realizowaną poprzez szereg rozwiązań Forti-
net, której celem jest zapewnienie bezpiecznej
podstawy wymaganej do uniemożliwienia po-
jawiania się takich „okazji” i wspieranie ochro-
ny danych w całej organizacji.
21
Choć unijne rozporządzenie o ochronie danych osobowych (GDPR)
wejdzie w życie dopiero w maju 2018 roku, już dziś perspektywa
jego przyszłej implementacji wpływa na podmioty tworzące krajo-
braz cyfrowej transformacji w Polsce i całej Europie. Do wymogów
nowego prawa muszą się zastosować wszystkie przedsiębiorstwa
oraz instytucje przetwarzające lub gromadzące dane osób prze-
bywających w krajach UE. Dokument GDPR podkreśla ogrom-
ne znaczenie danych elektronicznych a jego wdrożenie stawia
przed organizacjami także wyzwania natury technologicznej. Aby
móc respektować prawa użytkowników zapisane w nowym roz-
porządzeniu, przedsiębiorstwa muszą zagwarantować m.in. stałą
dostępność danych w centrach, które służą ich przechowywaniu
i przetwarzaniu. Muszą również zapewnić sobie narzędzia sku-
tecznie chroniące przed utratą danych i przestojami w dostępie
do nich. Jednym z praw sformułowanych w rozporządzeniu GDPR
jest możliwość żądania przez użytkownika dostępu do swoich da-
nych, przechowywanych przez określoną firmę lub instytucję. Je-
śli obywatel będzie chciał skorzystać z prawa dostępu do danych,
administrator będzie musiał przekazać mu nie tylko informacje
o kategoriach zbieranych danych osobowych, jak dzieje się obec-
nie, ale również wydać kopię danych podlegających przetwarzaniu.
W przypadku, gdy firma utraci te informacje, np. w skutek awarii
w centrum danych, będzie narażona na dotkliwe konsekwencje
prawne i kary finansowe. Dlatego już dziś przedsiębiorstwa powin-
ny zainwestować w modernizację swojego zaplecza IT, tak by prze-
twarzane dane były zawsze dostępne na każde żądanie upoważnio-
nych do tego osób czy organów administracyjnych.
Jak wskazał niedawny sondaż ARC Rynek i Opinia, 52 proc. rodzi-
mych przedsiębiorców nigdy nie słyszało o GDPR, natomiast aż 67
proc. z nich nie zdaje sobie sprawy z tego, ile czasu pozostało na
wdrożenie rozporządzenia. Stąd problem należy potraktować po-
ważnie, podejmując działania dostosowujące zaplecze IT do no-
wych przepisów Unii Europejskiej.
Komentarz Veeam Software na temat GDPR dla CIONET Krzysztof Rachwalski, Regional Director, Eastern Europe Veeam Software
Materiał przygotowany przez firmę:
22
Zarządzanie i ochrona informacji w kontekście GDPR
GDPR, czyli nowa regulacja europejska
General Data Protection Regulation, któ-
ra wprowadza znaczące obostrzenia do-
tyczące ochrony informacji zawierających
dane osobowe. W szczególności zakłada
„data privacy by design and default” tak,
by prywatność była normą a nie wyjąt-
kiem. Czy w takim razie musimy kom-
pletnie przeprojektować nasze systemy
informatyczne i kulturę organizacyjną, by
w maju 2018 r. zapewnić zgodność z wy-
maganiami GDPR?
Materiał przygotowany przez firmę:
Od jakich kroków należy rozpocząć przygotowania?
01Współpraca z Zarządem 06
Przeprowadź inwentaryzację procesów przetwarzania danych
02Rozważ powołanie Inspektora Ochrony Danych
07Odtwórz przepływy danych w ramach organizacji
03Przejrzyj dotychczasowe polityki, instrukcje, materiały szkoleniowe itp
08Zweryfikuj dotychczasowe umowy dot. przetwarzania danych osobowych
04Zweryfikuj podstawy przetwarzania danych
09Zweryfikuj podstawy przetwarzania danych
05Rozważ skorzystanie z narzędzi w zakresie compliance
Oceń gotowość Twojej organizacji do
rozporządzenia GDPR z narzędziem GDPR
Compliance Assessment dostępnym na stronie:
www.gdprcomplianceassessment.com
23
top related