Od redaktora
Za rok, od 25 maja 2018 r. zacznie obowiązywać w Polsce Rozporządzenie o Ochronie Danych Osobowych (GDPR). Dlatego większą część tegorocznej edycji raportu ITwiz Cybersecurity poświeciliśmy temu właśnie tematowi. Pokazujemy w jaki sposób podejść do tego tematu od strony działu IT w artykule prezentującym 4 role IT w procesie dostosowania do wymagań GDPR (str. 6). Dotyczą one takich obszarów, jak: zapewnienie organizacyjnych i technicznych środków bezpieczeństwa; wsparcie realizacji praw podmiotów danych; dostosowanie własnych procesów IT; dostarczenie oprogramowania wspierającego inne zadania w obszarze ochrony prywatności.
Prezentujemy także polski projekt nowej ustawy o ochronie danych osobowych (str. 14). Polska ustawa jest efektem swobody decyzyjnej państwa członkowskiego, którą pozostawia GDPR. Znaczącą zmianą jest propozycja utworzenia Urzędu Ochrony Danych Osobowych (UODO), na czele którego stałby Prezes w miejsce dzisiejszego Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Polski projektodawca w propozycjach uszczegółowił też instytucje akredytacji podmiotów certyfikujących i certyfikacji administratorów. Bardzo ważną zmianą jest wprowadzenie nowych przepisów postępowania w sprawie naruszeń przepisów o ochronie danych. Projekt ustanawia jednoinstancyjność postępowania, pozbawionego – istniejącego do tej pory – wniosku o ponowne rozpatrzenie sprawy jako środka odwoławczego. Projekt zawiera w sobie 3 rodzaje postępowań kontrolnych: kontrola planowa, doraźna (np. efekt doniesienia) i jako jeden ze środków w toku postępowania.
Jak wynika z naszego badania przeprowadzonego specjalnie na potrzeby tego raportu (str. 46-51), już 41% polskich przedsiębiorstw prowadzi projekty związane z dostosowaniem się do wymogów Rozporządzenia o Ochronie Danych Osobowych (GDPR). Aż 26% firm zaplanowało jednak projekty związane z GDPR na II połowę br., a kolejne 25% czeka na polskie przepisy. W kontekście GDPR najważniejsza jest – zdaniem ankietowanych – edukacja pracowników (75% wskazań). Następne w kolejności priorytetów projektów związanych z dostosowaniem się do Rozporządzenia o Ochronie Danych Osobowych są: wprowadzenie zmian w polityce bezpieczeństwa (67%) oraz zmiany w systemach IT, w których przetwarzane są dane osobowe klientów (54%). Na kolejnym miejscu (po 51% odpowiedzi) znalazły się: określenie, gdzie i w jaki sposób przechowywane są dane klientów oraz wprowadzenie zmian w procesach związanych z przetwarzaniem danych.
Zachęcamy też do przeczytania artykułu o zarządzaniu bezpieczeństwem w kontekście GDPR (str. 28), a także relacji z debaty redakcji ITwiz poświęconej konsekwencjom, które ze sobą niesie RODO/GDPR i przygotowaniach do wprowadzenia tego rozporządzenia (str. 34). Rozmawialiśmy o tym z osobami odpowiedzialnymi za bezpieczeństwo w polskich organizacjach oraz przedstawicielami branży IT.
Nie zapomnieliśmy jednak o wciąż aktualnych zagrożeniach w kontekście cybersecurity. Opisujemy więc: strategię obrony przed atakami z wykorzystaniem złośliwego oprogramowania (str. 54) i DDoS (str. 57), aspektach bezpieczeństwa w kontekście dostępu uprzywilejowanego (str. 62), wady i zalety systemów SIEM (str. 68), rekomendacje dla wzmocnienia cyberbezpieczeństwa Polski (str. 71) czy sposobom reagowania na incydenty bezpieczeństwa komputerowego (str. 72).
Adam Jadczak,
redaktor prowadzący Raport ITwiz: „Cyberbezpieczeństwo – nowe wyzwania, nowe zagrożenia”