CyberbezpieczeństwoArtykuł z magazynu ITwizExecutive ViewPoint
GDPR wymusi systematyczne podejście do ochrony danych
EVP
Executive ViewPoint
O problematyce zmian związanych z regulacjami GDPR w kontekście zarządzania danymi, nowej roli administratorów danych, świadomości polskich firm, a także o niezbędnych rozwiązaniach procesowych i technologicznych rozmawiamy z Miłoszem Trawczyńskim, dyrektorem Pionu Technologii oraz Łukaszem Leszewskim, ekspertem rozwiązań Data Management w SAS Polska.
Jakie zmiany procesowe wymuszą regulacje GDPR w kontekście podejścia do przetwarzania danych w polskich firmach?
Łukasz Leszewski (Ł.L.): Od 25 maja 2018 roku konieczne stanie się aktywne zabieganie o ochronę prywatności. Każda organizacja będzie musiała na żądanie regulatora wykazać, że powierzone jej dane osobowe pozostają bezpieczne niezależnie od zmienności realiów biznesowych…
Miłosz Trawczyński (M.T.): …co oznacza zasadniczą zmianę roli Inspektora Ochrony Danych – IDO, który zastąpi Administratora Bezpieczeństwa Informacji – ABI. Zamiast pewnych precyzyjnych wytycznych, którymi taka osoba powinna się kierować, IDO otrzyma szereg wyzwań, którym będzie musiał sprostać. Ponadto potrzebna będzie umiejętność wykazania przed regulatorem, że podejmuje aktywne działania, monitoruje ryzyka i aktywnie identyfikuje przypadki gromadzenia i wykorzystania danych osobowych, a także wdraża procesy pozwalające szybko reagować na ewentualne naruszenia.
Ł.L.: Osoba odpowiedzialna za ochronę danych osobowych powinna brać aktywny udział we wszystkich inicjatywach związanych z przetwarzaniem takich danych. Musi to być rola w organizacji, która będzie dysponowała pewnymi uprawnieniami w strukturach zarządzania, a jednocześnie będzie potrafiła nadzorować procesy przetwarzania.
Nasza platforma umożliwia zaprojektowanie ciągłego, cyklicznego procesu mającego na celu zabezpieczenie i zarządzanie danymi osobowymi. Skuteczne wdrożenie rozwiązania SAS Data Governance zapewni możliwość nawiązania rzeczowego dialogu z regulatorem, gdzie będziemy w stanie odpowiedzieć na najważniejsze pytania – jakie dane osobowe przetwarzamy, w jakich systemach są one przetwarzane, gdzie przechowywane i kto ma do nich dostęp.
Miłosz Trawczyński, dyrektor Pionu Technologii w SAS Polska
W jaki sposób GDPR wpłynie na kwestię zarządzania danymi?
Ł.L.: GDPR będzie pewnego rodzaju aktywatorem świadomego podejścia do procesów Data Governance. Firmy będą zmotywowane do realizowania projektów mających na celu usystematyzowanie podejścia do zarządzania danymi – początkowo w obszarze danych osobowych, co w dłuższej perspektywie stworzy podwaliny szerszego i bardziej profesjonalnego podejścia do danych. Skoro mówimy dziś o tym, że dane są pełnoprawnym zasobem biznesowym – podobnie jak ludzie czy aktywa – to o zasób ten również należy w odpowiedni sposób dbać. W wielu dojrzałych organizacjach przymiarki do tego rodzaju projektów pojawiały się, jednak często nie były finalizowane. GDPR to zmieni.
M.T.: Gdyby nie perspektywa dotkliwych konsekwencji finansowych, nowe regulacje zostałyby zapewne w dużej mierze zbagatelizowane. Widać jednak, że firmy podchodzą do tych zmian w bardzo różny sposób. W niektórych organizacjach panuje przekonanie, że np. wobec posiadanych procedur i rejestrów zgłoszonych GIODO zmiany będą mocno ograniczone. Tak nie będzie. W praktyce zarejestrowane zbiory danych nie są bowiem jedynymi źródłami danych, które wg RODO są danymi osobowymi. To oznacza, że wiele organizacji czeka etap definiowania zakresu informacji rozumianego jako dane osobowe oraz rozpoznania, gdzie takie dane faktycznie są gromadzone i w jaki sposób używane. Często jest to wiedza nieoczywista i dotycząca nie tylko danych strukturalnych, ale również niestrukturalnych. Mówimy o nowej definicji danych osobowych – danych, które pojawiają się w notatkach konsultantów call center, na firmowych blogach, w prezentacjach handlowych i innych materiałach, w których dotąd nikt aktywnie danych osobowych nie poszukiwał. Wraz z zespołem SAS jesteśmy w stanie pomóc w identyfikacji danych osobowych, usprawnić technologicznie oraz skrócić cały proces związany z identyfikacją i katalogowaniem tego typu informacji. Pomagamy też stworzyć fundamenty systematycznego procesu zarządzania danymi.
Czy problematyka zmian związanych z GDPR to wyzwanie technologiczne, biznesowe, czy organizacyjne?
M.T.: Nowe regulacje stanowią wyzwanie łączące wszystkie te wymiary. Wydaje się, że większość firm jest na etapie postrzegania GDPR jako zagadnienia procesowego i organizacyjnego, w dużym stopniu angażującego działy doradcze i prawne. Firmy często koncentrują się na tym, w jaki sposób korzystnie dla siebie interpretować regulacje. Warto jednak skupić się na aspektach związanych z oceną ryzyk oraz uruchomieniem procesu monitorowania i zarządzania ryzykiem na poziomie obiegu informacji. W tym kontekście niezbędne stanie się też posiadanie stosownych narzędzi IT. SAS realizuje tego rodzaju projekty, dostarczając platformę wspierającą kompleksowo proces zarządzania danymi oraz powiązaną z tym analizę ryzyka.
Zagadnienie GDPR dotyka też bezpieczeństwa systemowego organizacji. Podczas rozmów z klientami poruszamy tematy dotyczące choćby protokołów przekazywania danych, systemów zabezpieczenia sieci, czy kontroli poczty elektronicznej. W tym obszarze, wspólnie z partnerami, również oferujemy ciekawe rozwiązania technologiczne. Przykładowo, analityka SAS może być zastosowana w roli platformy umożliwiającej analizowanie anomalii na bazie danych wypływających z urządzeń sieciowych, co stanowi podstawę do uruchamiania działań w obrębie niskopoziomowych mechanizmów zabezpieczeń.
Ł.L.: Istotne wyzwania dotyczą też warstwy przetwarzania danych. W tym obszarze ważna jest możliwość dostępu do dowolnego źródła danych – zawierającego zarówno dane strukturalne, jak i niestrukturalne – w bazach danych, na platformie Hadoop bądź w chmurze, a następnie zdolność do przeanalizowania charakteru rzeczywiście zgromadzonych tam danych. Przykładowo, dopasowany do realiów polskich SAS Personal Data Sniffer pozwala identyfikować wzorce danych osobowych. Mówimy tu o automatycznym rozpoznawaniu, czy mamy do czynienia z numerem PESEL, imieniem, nazwiskiem czy adresem itp. Dzięki temu wiadomo jakiego rodzaju dane są przechowywane w określonych zbiorach, a nie tylko jakie powinny być to dane. W kontekście ochrony danych osobowych SAS oferuje także rozwiązania wspierające anonimizację, pseudonimizację, szyfrowanie oraz kontrolę dostępu do danych. Potrzebne w tym aspekcie mechanizmy zapewnia m.in. rozwiązanie SAS Federation Server. Działa ono na poziomie warstwy pośredniczącej w dostępie do zbiorów danych, co umożliwia prowadzenie aktywnego monitoringu dostępu do danych i analizy wzorców dostępu do danych wraz z możliwością automatycznego blokowania nietypowych zapytań. Może to być przydatne np. w celu chronienia zbiorów, które zostały ocenione jako zbiory wysokiego ryzyka – zawierające krytyczne dane i udostępnione dosyć szeroko w organizacji.
SAS Personal Data Sniffer pozwala identyfikować wzorce danych osobowych. Mówimy tu o automatycznym rozpoznawaniu, czy mamy do czynienia z numerem PESEL, imieniem, nazwiskiem czy adresem itp. Dzięki temu wiadomo jakiego rodzaju dane są przechowywane w określonych zbiorach, a nie tylko jakie powinny być to dane.
Łukasz Leszewski, ekspert rozwiązań Data Management w SAS Polska
W jaki sposób SAS pozycjonuje ofertę w kontekście wymagań związanych z GDPR?
M.T.: Nasza platforma umożliwia zaprojektowanie ciągłego, cyklicznego procesu mającego na celu zabezpieczenie i zarządzanie danymi osobowymi. Skuteczne wdrożenie rozwiązania SAS Data Governance zapewni możliwość nawiązania rzeczowego dialogu z regulatorem, gdzie będziemy w stanie odpowiedzieć na najważniejsze pytania – jakie dane osobowe przetwarzamy, w jakich systemach są one przetwarzane, gdzie przechowywane i kto ma do nich dostęp. Możliwe jest też wskazanie, które procesy biznesowe sięgają do określonych zbiorów danych.
Ł.L.: Procesy Data Governance porządkują też obszar danych, co wpływa na jakość decyzji biznesowych. Korzyści wynikające z wdrożenia reguł zarządzania danymi należy więc oceniać też pod kątem ewentualnych kosztów podjęcia błędnych decyzji. Kosztem bezpośrednim może być nieefektywność pracy, czy marnotrawienie środków wskutek dublowania zbiorów danych. W wyniku usystematyzowania wiedzy o danych może okazać się, że pewne kosztowne do pozyskania informacje są produkowane niepotrzebnie lub dla mało znaczących procesów biznesowych.
Jakie znaczenie dla zapewnienia zgodności z nowymi regulacjami ma kwestia jakości danych?
Ł.L.: Jakość danych jest bardzo istotnym zagadnieniem w świetle nowych regulacji unijnych. Dobrym przykładem jest prawo do bycia zapomnianym. Błędne dane często wykluczają możliwość usunięcia danych w sposób procesowy. Należy więc zadbać o jakość i jednolitość standardów danych, aby móc poprawnie i w pełni zidentyfikować dane konkretnego klienta.
M.T.: Innym istotnym obszarem jest kwestia zarządzania zgodami na przetwarzanie danych. Rozwiązania SAS odpowiadają na potrzeby w tym obszarze, wprowadzając pewien model zarządzania danymi, dzięki czemu łatwiej jest zorientować się, jakich działań dotyczy zgoda konkretnego klienta. Dodatkowo, za sprawą GDPR firmy będą w pewien sposób zmuszone do ograniczenia liczby miejsc, w których występują dane osobowe.
Należy pamiętać, że stroną najbardziej zainteresowaną kwestią jakości danych ostatecznie zawsze będzie klient. To on będzie de facto decydował, czy dana organizacja jest dla niego wiarygodnym partnerem. Myślę, że firmy, które będą w stanie najszybciej zapewnić i wyeksponować przejrzystość procesów i zgodność z regulacjami GDPR, będą w stanie wykorzystać ten obszar na potrzeby budowania przewagi konkurencyjnej.
Artykuł ukazał się na łamach Raportu ITwiz: Cyberbezpieczeństwo 2017 – Nowe wyzwania, nowe zagrożenia. Podsumowanie Raportu w zakresie GDPR można pobrać na stronie: http://security.itwiz.pl/nowy-raport-wszystko-co-warto-dzis-wiedziec-o-gdpr/
