RSA Product Marketing Team
www.rsa.com
Έναρξη ισχύος του GDPR το 2018
Ο γενικός κανονισμός προστασίας δεδομένων της Ευρωπαϊκής Ένωσης (ΕΕ) που θα τεθεί σε ισχύ το 2018 θα επιφέρει αλλαγές για τους οργανισμούς που χειρίζονται προσωπικές πληροφορίες των πολιτών της ΕΕ. Στόχος του κανονισμού αυτού είναι να ενισχύσει και να ενοποιήσει την προστασία των δεδομένων των πολιτών εντός της ΕΕ και την εξαγωγή αυτών των δεδομένων εκτός της ΕΕ. Το πεδίο εφαρμογής του GDPR περιλαμβάνει όλες τις ευρωπαϊκές επιχειρήσεις καθώς και κάθε επιχείρηση που ελέγχει ή επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σχετικά με την παράδοση αγαθών και υπηρεσιών σε ιδιώτες στην ΕΕ ή παρακολουθεί τη συμπεριφορά τους με κάποιο τρόπο. Αυτές οι απαιτήσεις ισχύουν ανεξάρτητα από το πού εδρεύει ο οργανισμός. Ενώ υπάρχει κάποιος χρόνος πριν επιβληθεί η εφαρμογή του GDPR της ΕΕ, το σημαντικό εύρος και η πολυπλοκότητα του GDPR επιβάλει την έναρξη της διαδικασίας σχεδιασμού της συμμόρφωσης τώρα. Η μη συμμόρφωση με τις απαιτήσεις του GDPR αναμένεται να οδηγήσει σε πρόστιμα έως 4% των ετήσιων παγκόσμιων εσόδων ενός οργανισμού ή σε 20 εκατομμύρια ευρώ, όποιο είναι μεγαλύτερο. Χωρίς μια ολιστική προσέγγιση στη συμμόρφωση με το GDPR, οι οργανισμοί είναι πιθανό να εξαντλήσουν πρόωρα τους διαθέσιμους ανθρώπινους και οικονομικούς πόρους και να διαθέσουν περιττό χρόνο για να προετοιμαστούν για την επικείμενη κανονιστική ρύθμιση.
Η προετοιμασία είναι ουσιώδης
Το GDPR της ΕΕ επιβάλλει αλληλένδετες υποχρεώσεις για οργανισμούς που χειρίζονται προσωπικά δεδομένα πολιτών της ΕΕ, μεταξύ των οποίων:
- Υιοθέτηση πολιτικών και διαδικασιών για να διασφαλιστεί και να αποδειχθεί ότι τα προσωπικά δεδομένα των πολιτών της ΕΕ αντιμετωπίζονται σύμφωνα με τον κανονισμό
- Διατήρηση ντοκουμέντων για όλες τις εργασίες της επεξεργασίας προσωπικών δεδομένων
- Αξιολόγηση του κινδύνου ασφάλειας ηλεκτρονικών και φυσικών δεδομένων για προσωπικά δεδομένα, συμπεριλαμβανομένης της τυχαίας ή παράνομης καταστροφής, απώλειας, αλλοίωσης, μη εξουσιοδοτημένης αποκάλυψης ή πρόσβασης σε προσωπικά δεδομένα που μεταδίδονται, αποθηκεύονται ή υποβάλλονται σε άλλη επεξεργασία
- Εφαρμογή κατάλληλων τεχνικών και οργανωτικών ελέγχων για τη διασφάλιση ενός επιπέδου ασφάλειας που να ανταποκρίνεται στον κίνδυνο
- Εφαρμογή διαδικασιών για την επαλήθευση της αποτελεσματικότητας των ελέγχων που ευθυγραμμίζονται με τα αποτελέσματα της αξιολόγησης κινδύνου
- Καθιέρωση ελέγχου διαδικασιών
- Εκτέλεση διεργασιών αξιολόγησης των επιπτώσεων κατά την εργασία μιας προγραμματισμένης επεξεργασίας σε ιδιαίτερα ευαίσθητα προσωπικά δεδομένα
- Επικοινωνία με τους πολίτες της ΕΕ κατά το χρόνο συλλογής των πληροφοριών, κατόπιν διεξαχθείσης έρευνας και παράδοση των σχετικών απαντήσεων
- Διορισμός υπεύθυνου προστασίας δεδομένων, με καθήκον να διασφαλίζει τη συμμόρφωση του οργανισμού με τις απαιτήσεις της ΕΕ για το GDPR
Το GDPR της ΕΕ απαιτεί από τους οργανισμούς να χρησιμοποιούν μια προσέγγιση με βάση τον κίνδυνο για τη συμμόρφωση. Για να επιδείξουν τη συμμόρφωση, οι οργανισμοί πρέπει να τεκμηριώσουν:
- Τις διαδικασίες και την υποδομή του οργανισμού, όπου τα προσωπικά δεδομένα της ΕΕ παραμένουν και διαχειρίζονται
- Την αξιολόγηση των κινδύνων αυτών των διαδικασιών και των υποδομών
- Τους ελέγχους και τις πολιτικές επιβολής και διαδικασίες για τη διασφάλιση των προσωπικών δεδομένων σύμφωνα με τον κανονισμό
- Τα αποτελέσματα των δοκιμών ελέγχου
- Τη κατάσταση των εκκρεμών ζητημάτων και των σχεδίων αποκατάστασης
Με τη λήψη μιας ολιστικής προσέγγισης στη συμμόρφωση του GDPR της ΕΕ, μπορείτε να καταλάβετε καλύτερα τον κίνδυνο που αφορά την ασφάλεια των πληροφοριών, πώς να δώσετε προτεραιότητα στις επενδύσεις για την αποτελεσματικότερη διαχείριση του κινδύνου, πως να καθιερώσετε τις υποχρεώσεις ανάληψης ευθηνών για τη διαχείριση του κινδύνου, καθώς θα έχετε και πιο γρήγορη ανταπόκριση στα εντοπισμένα κενά στα πλαίσια ελέγχου των πληροφοριών ασφαλείας. Η εδραίωση αυτής της συμμόρφωσης παρέχει στα ανώτερα διοικητικά στελέχη, ρυθμιστικές αρχές και στο διοικητικό συμβούλιο μια ακριβή, σε πραγματικό χρόνο εικόνα της κατάστασης συμμόρφωσης στον GDPR της ΕΕ σε ολόκληρο τον οργανισμό, καθώς και την απόδειξη ότι ο οργανισμός σας έχει εκπληρώσει τις κανονιστικές υποχρεώσεις.
Τα πλεονεκτήματα του RSA Archer
Το RSA Archer® επιτρέπει στον οργανισμό σας να τεκμηριώσει και να αξιολογήσει την υποδομή σας η οποία σχετίζεται με τον GDPR της ΕΕ, τις πολιτικές και τις διαδικασίες, τους κινδύνους, τους ελέγχους, τρίτα μέρη, τα εκκρεμή ζητήματα και τα σχέδια αποκατάστασης. Μπορείτε να ενοποιήσετε αυτές τις πληροφορίες για τις σχετικές επιχειρηματικές διαδικασίες για να δημιουργηθεί ένα βιώσιμο, επαναλαμβανόμενο, και ελέγξιμο πρόγραμμα συμμόρφωσης στο GDPR της ΕΕ. Με το RSA Archer, μπορείτε να πάρετε μια σαφή εικόνα της κατάστασης του οργανισμού σας σε σχέση με τη συμμόρφωση σας στον GDPR της ΕΕ και αυτό σας επιτρέπει να δώσετε προτεραιότητα στις δραστηριότητες οι οποίες να καλύπτουν τις απαιτήσεις του κανονισμού. Η σουίτα της RSA Archer σας παρέχει αρκετές χρήσιμες περιπτώσεις για να βοηθήσει τον οργανισμό σας στη συμμόρφωση στον GDPR της ΕΕ και στις υποχρεώσεις, συμπεριλαμβανομένων των εξής επιλογών.
- Issues Management
- IT Risk Management
- IT & Security Policy Program Management
- IT Controls Assurance
- Third Party Risk Management
- Permission to Process and Be Forgotten
Ωριμάζοντας το GDPR πρόγραμμά σας
Μόλις ο οργανισμός σας καλύψει τις αρχικές απαιτήσεις του προγράμματος GDPR, μπορείτε να εφαρμόσετε πρόσθετες περιπτώσεις χρήσης του RSA Archer για να ωριμάσετε το πρόγραμμα ώστε να μπορείτε να διευθετήσετε πιο συγκεκριμένους παράγοντες κινδύνου και συμμόρφωσης, όπως:
- Security Incident Management – Εφαρμόστε μία δομημένη διαδικασία για τη διερεύνηση, κλιμάκωση και επίλυση περιστατικών ασφαλείας.
- IT Security Vulnerabilities Program – Διαχειριστείτε δυναμικά τους κινδύνους του κυβερνοχώρου, συνδυάζοντας τροφοδοτήσεις από περιστατικά ασφαλείας, αποτελέσματα εκτίμησης ευπαθειών καθώς και την κρισιμότητα του πληροφοριακού εξοπλισμού βάσει του επιχειρησιακού πλαισίου.
- Security Operations & Breach Management – Πραγματοποιείστε μία κεντρικοποιημένη καταγραφή όλου του πληροφοριακού εξοπλισμού για την ιεράρχηση πιθανών περιστατικών ασφαλείας βάσει του επιχειρησιακού πλαισίου, παρακολουθείστε τους βασικούς δείκτες απόδοσης, αξιολογείστε την αποτελεσματικότητα των ελέγχων, διαχειριστείτε το σύνολο των επιχειρήσεων ασφαλείας κι επικεντρωθείτε στα πιο σημαντικά περιστατικά για αποτελεσματική μείωση έκθεσης σε κινδύνους με άμεση και αποτελεσματική αντίδραση σε περίπτωση διαρροής πληροφοριών.
- Business Continuity and IT Disaster Recovery Planning – Βεβαιωθείτε ότι έχετε την απαιτούμενη ευελιξία που προδιαγράφεται από το GDPR, ορίζοντας και αξιολογώντας σχέδια επιχειρησιακής συνέχειας και ανάκαμψης από καταστροφές για όλες τις επιχειρηματικές διαδικασίες, τοποθεσίες, εφαρμογές και υποδομές πληροφορικής, επιτρέποντάς σας να ανταποκριθείτε άμεσα σε καταστάσεις κρίσης για να προστατεύετε τις τρέχουσες διαδικασίες και να ελαχιστοποιήσετε πιθανή διακοπή αυτών.
- Key Indicator Management – Καθιερώστε και παρακολουθήστε τους βασικούς δείκτες που σχετίζονται με τη συμμόρφωση κατά GDPR της ΕΕ. Μέσω αυτών μπορείτε να συσχετίσετε τους δείκτες με κινδύνους, ελέγχους, στρατηγικές και στόχους, προϊόντα και υπηρεσίες καθώς και επιχειρηματικές διαδικασίες για την παρακολούθηση της διασφάλισης της ποιότητας και της επίδοσης.
- Third Party Catalog – Κατηγοριοποιείστε όλους τους προμηθευτές, τους συνεργάτες σας, τους παρόχους υπηρεσιών καθώς και τρίτα συνεργαζόμενα μέρη που σχετίζονται με την υποχρέωση συμμόρφωσής σας κατά GDPR της ΕΕ.
- Third Party Engagement – Συγκεντρώστε όλα τα σημαντικά στοιχεία σχετικά με τα προϊόντα και τις υπηρεσίες που παρέχονται από τρίτους, συμπεριλαμβανομένων των συμβάσεων, την εκτίμηση κινδύνων και την παρακολούθηση της απόδοσης μέσω των SLA.
Παράλληλα με τις παραπάνω περιπτώσεις χρήσης, το RSA Archer μέσω των Audit Management λύσεων, προσφέρει έναν επιπλέον μηχανισμό για την επικύρωση της εκπλήρωσης όλων των υποχρεώσεων κατά το GDPR.
Audit Engagements and Workpapers – Εφαρμόστε αποτελεσματικά τις ελεγκτικές δεσμεύσεις, διατηρήστε αναλυτική τεκμηρίωση των εργασιών και παρέχετε συνεπή και έγκαιρη αναφορά των αποτελεσμάτων των ελέγχων.
Audit Planning & Quality – Σχεδιάστε τους ελέγχους GDPR μέσω αναγνώρισης, προσδιορισμού και αξιολόγησης του κινδύνου κατά μήκους όλων των ελεγχόμενων οντοτήτων του οργανισμού. Ενσωματώστε αυτόματα πληροφορίες σχετικά με τον έλεγχο και τη διαχείριση κινδύνου, ώστε να εξασφαλιστεί ότι οι στόχοι των ελέγχων συνάδουν με τις προτεραιότητες κινδύνου και συμμόρφωσης.
Συμπέρασμα
Η συμμόρφωση κατά GDPR της ΕΕ για την προστασία των προσωπικών δεδομένων των πολιτών της ΕΕ θα είναι μια πολύπλοκη και χρονοβόρα δέσμευση για τους περισσότερους οργανισμούς. Η πλατφόρμα Archer της RSA μπορεί να βοηθήσει τον οργανισμό σας να δημιουργήσει το απαραίτητο πλαίσιο για τη συμμόρφωση με αυτόν τον κανονισμό εφαρμόζοντας μια επιχειρησιακή προσέγγιση για την ασφάλεια, εξασφαλίζοντας ότι το πλαίσιο αξιολόγησης κινδύνου και ελέγχων είναι ακριβές, πλήρες και προστατευμένο από κλοπή, καταστροφή ή διακοπές.
Για περισσότερες πληροφορίες:
Itway Hellas SA
www.itwayvad.gr
Tel.: +30 210 6801013