Organisaatiolla ja sen toimitusketjulla on monia kasvavia tekijöitä, jotka ottavat aiheen tietoturva ja yksityisyyttä vakavasti. Näitä ovat tietoverkkorikollisuuden aiheuttamat suuret uhat, jotka voivat tappaa yrityksiä yhdellä yksinkertaisella tietoturvaloukkauksella. Tästä uhasta huolimatta kaikki organisaatiot eivät investoi tai ehkä välitä siitä, että se on omaisuus, jota voidaan vaalia ja suojella.
Joten ei ole yllättävää, että säännös kuten GDPR on syntynyt henkilötietojen suojaamiseksi ja yksilöiden yksityisyyden parantamiseksi. The GDPR on tehokas ulkoinen ajuri, joka pakottaa organisaatiot parantamaan tietosuojaa ja yksityisyyttä.
GDPR on pakottava muutostapahtuma, mutta vaikka se julkaistaan 25. toukokuuta 2018, kaikki organisaatiot eivät ole edistyneet samalla tavalla. Näemme tällä hetkellä 4 aikomustasoa uuden asetuksen ympärillä. Joten missä näet organisaatiosi ja mitä muuta voit tehdä asialle?
Ne, jotka uskovat, että GDPR ei vaikuta heihin, tai ne, joiden nykyinen asento on riittävän hyvä noudattamaan niitä, vaikka he ovatkin rekisterinpitäjiä ja käsittelijöitä. Ei ole ihme, että Tiedotuskomissaarin toimisto (ICO) on todennäköisesti saanut vain murto-osan rekisteröidyistä organisaatioista. Epäviralliset kyselymme osoittivat, että monet organisaatiot eivät edes tienneet, että heidän pitäisi rekisteröityä ICO:hun, puhumattakaan uudesta tietosuoja- ja suojajärjestelmästä.
Ne, jotka ovat "tietoisesti epäpäteviä" ja (todennäköisesti) ei-toivottuja, mutta eivät ole valmiita toimimaan nyt. He kuitenkin tiedostavat tarpeen tehdä niin, kun heidän alallaan ilmenee sakkoja tai kun voimakkaat asiakkaat ja alan sidosryhmät vaativat entistä enemmän vaatimustenmukaisuutta.
Ne, jotka yleensä vastaavat nyt voimakkaiden asiakkaiden vaatimuksiin ja huolestuneita sisäisiä sidosryhmiä henkilötietojen käsittelystä. Nämä organisaatiot ovat valmiita tekemään tarvittavat muutokset säilyttääkseen sopimuksensa ja noudattaakseen niiden käsittelyä. Monet näkevät edut "työnsä osoittamisesta" näkyvällä ISMS:llä saadakseen sidosryhmiensä luottamuksen. He ovat tällä hetkellä vähemmän kiinnostuneita käsittelemään avoimesti muita arvokkaita tiedonhallinta-alueita, kuten immateriaalioikeuksia, rahoitusta, kaupallisia sopimuksia, ohjelmistokoodia, liiketoimintasuunnitelmatietoja jne.
Ne, jotka näkevät GDPR:n mahdollisuutena päästä eteenpäin ja parantaa yleistä tietoturvaa (henkilötietojen lisäksi) vahvistaen lähestymistapaansa sidosryhmiin todellisena organisaation voimavarana, ei velvollisuutena. Se on myös tulevaisuuden todiste tietoturvan hallintajärjestelmään tehdyistä investoinneista (ISMS) ja alentaa toiminnan kokonaiskustannuksia. He näkevät edun työskennellä tai noudattaa tunnustettuja standardeja, kuten ISO 27001:2013 tai NIST Cyber Security, asetuksen rinnalla.
Suurin osa organisaatioista, jotka ovat "kieltäytyneitä", ja jotkut muut uskovat tekevänsä niin olla GDPR:n mukainen koska heillä on "tietoturvapolitiikka" dokumentoitu. Sitä säilytetään jaetussa kansiossa, jonka he lähettävät asiakkaille pyydettäessä. Valitettavasti itse määräys on hieman monimutkaisempi, ja siinä on noin 180 vaatimusta, jotka on otettava huomioon, ja ostajat ovat koko ajan älykkäämpiä! Varmasti on olemassa parempi, pragmaattisempi tapa osoittaa, että voit luottaa (vain) henkilötietoihin, puhumattakaan muusta arvokkaasta tietovarat?
GDPR on myös hieman haastavampi, koska EU:lla ei ole virallista perustaa, jonka perusteella noudattamista voitaisiin tarkasti mitata. Sellaista monet järjestöt pyytävät toimitusketjustaan johonkin, joka on "heidän näkemyksensä GDPR:stä", joka saattaa olla yli- tai alisuunnittelua kyseisen toimittajan muulle asiakaskunnalle.
Ehkä pahempaa on, että jotkut asiakkaat vaativat yksinkertaista mutta tietämätöntä riskin siirtoa pakotetussa sopimuspäivityksessä ja jättävät toimittajan tehtäväksi selvittää, kuinka noudattaa sitä. Vastuulliset asiakkaat ja heidän tärkeät toimittajansa työskentelevät yhdessä sen suhteen, mikä on hyväksyttävää, kun otetaan huomioon vaarassa olevat tiedot ja suhteen (ja mahdollisten sopimusten) arvo.
EU:n hyväksymät GDPR-suojatiivisteet ja -sertifikaatit saattavat olla vielä kaukana. Mitä voit tehdä tällä välin osoittaaksesi, että sinuun voi luottaa ainakin GDPR:n osalta, mutta pitää sen käytännönläheisenä organisaatiosi ja useimpien ellei kaikkien asiakkaidesi kannalta? An tietoturvapolitiikka asiakirja ei riitä. ISMS on paljon parempi, ja siinä ISMS:ssä sinun tulisi ihanteellisesti noudattaa tunnustettua menetelmää tai kehysrakennetta, johon sidosryhmäsi voivat luottaa ja verrata edistymistä.
Tunsimme, että meillä oli
ihanneratkaisu. Olimme
osaa käyttää meidän
olemassa olevat prosessit,
& Adoptoida, mukauttaa
sisältö antoi meille uutta
syvyys ISMS:ään.
Emme voi ajatella yhtäkään yritystä, jonka palvelu voisi pitää kynttilän ISMS.onlinelle.
Information Commissioner's Office on Yhdistyneen kuningaskunnan GDPR:n valvontaviranomainen. Rakastatko heitä tai vihaavat heitä, he yrittävät kovasti auttaa UK PLC:tä panemaan asetuksen täytäntöön sekä kehittämään tietosuojan ja sisäänrakennetun yksityisyyden kulttuuria.
Komissaari Elizabeth Denham sanoi:
”…on selvää, että jotkut yritykset menestyvät tässä muuttuvassa ympäristössä. He ovat niitä, jotka tarkastelevat tätä koko asiaa asenteella, joka arvostaa sitä, mitä kuluttajat haluavat. Nykyään monet yritykset ajattelevat, että tietosuoja on vain "vaatimustenmukaisuutta". Se on ajattelutapa, joka sanoo: "Minun työni on täyttää lailliset vaatimukset. Niin kauan kuin valitsen oikeat kohdat, pärjäämme.
Mutta vastataksemme haasteisiin… meidän on siirryttävä vaatimustenmukaisuuden ajattelusta sitoutumiseen: sitoutuminen tietojen hallintaan arkaluonteisesti ja eettisesti.
Ei vain siksi, että se on laki, vaan siksi, että se on osa hyvää liiketoimintaa... Vastuullisuus kannustaa investoimaan etukäteen yksityisyyden perusperiaatteisiin, mutta se tarjoaa voittoa, ei vain paremman lainsäädännön noudattamisen, vaan myös kilpailuedun. Se on porkkana, jotta saat sen oikein. Ja siellä on myös aika iso keppi…”
ICO on Yhdistyneen kuningaskunnan valvontaviranomainen ja Yhdistyneen kuningaskunnan elin, joka määrää sakkoja (uhan näkökulmasta katsottuna). Joten on järkevää tietää, mitä GDPR tarkoittaa heidän linssinsä kautta, jos olet Isossa-Britanniassa. Heidän alkuperäiset 12 askelta GDPR:ään sopivat mainiosti otsikkoviestintään, mutta aivan liian korkeatasoinen standardia vastaan. Sellaisenaan he julkaisivat seitsemän kattavaa tarkistuslistaa joita on päivitetty ja paranneltu viimeisten 6–12 kuukauden aikana. Suosittelemme niitä kaikille.
Näiden tarkistuslistojen täyttäminen kehyksenä noudattamisen ja sitoutumisen osoittamiseksi on loistava lähtökohta. Se auttaa tunnistamaan vahvoja ja haavoittuvia alueita ja muodostaa perustan priorisoidulle investointisuunnitelmalle. Koska asetus on riskiperusteinen (sen sijaan, että siinä määrätään hyvin erityisiä valvontatoimia), voit myös selvemmin osoittaa, miksi olet tai et ole noudattanut ICO:n suositusta. Se tarjoaa myös objektiivisemman näkökulman kuin monet tällä hetkellä markkinoilla olevat käärmeöljyyritykset, jotka myyvät omia menetelmiään, jotka eivät ehkä kestä tarkastelua tulevaisuudessa.
Organisaatiot, jotka pystyvät helposti kuvailemaan ja osoittamaan, kuinka ne ovat harkinneet ja ottaneet käyttöön GDPR:n (joko ICO-tarkistuslistoilla tai sopivalla kattavilla vaihtoehdoilla), saavat lähes varmasti paremman vastaanoton sääntelyviranomaiselta, jos jotain kauheaa, kuten tietomurto, kuitenkin tapahtuisi. He ovat myös suorittaneet alla kuvatut "työt" ja alkaneet rakentaa perustaa ISMS:lle, johon muut voivat luottaa!
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
Vaikka ICO 120 -tarkistuslistoissa on huomioitava 7 toimintoa, ne voidaan jakaa pääpiirteissään seuraavasti:
| Tehtäviä töitä GDPR:lle | Voitko todistaa tämän nyt? | |
|---|---|---|
| 1 | Hallussasi olevat tiedot:
| Kyllä ei |
| 2 | Riskit: Luottamuksellisuus, eheys, saatavuus (CIA)
| Kyllä ei |
| 3 | Käytännöt ja valvontahallinta:
| Kyllä ei |
| 4 | Arvioinnit ja pyynnöt yksityisyyden ja turvallisuuden takaamiseksi suunniteltuna:
| Kyllä ei |
| 5 | Tapahtumat ja BCP:
| Kyllä ei |
| 6 | Henkilökunnan sitoutuminen:
| Kyllä ei |
| 7 | Toimitusketju:
| Kyllä ei |
| 8 | Koko järjestelmän koordinointi ja varmistus:
| Kyllä ei |
100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa
