18. 04. 2018
Společnosti se GDPR bojí zbytečně. Mohou na něm i vydělat
Řada firem propadá kvůli GDPR obavám. Opatření proti zneužívání citlivých dat si ale nakonec nemusejí pochvalovat pouze ti, kteří informace poskytují, tedy klienti či zaměstnanci, ale i samotné firmy. Splnění požadavků nové směrnice totiž může pomoci se spoustou každodenních trápení v oblasti bezpečnosti a auditu IT.
„Kolem GDPR se vzedmula vlna hysterie, ale málo zaznívá, že jde vlastně o posun vpřed. Zavedením směrnice se významně snižuje riziko zneužívání osobních dat, které je teď relativně běžné,“ uvedl Jakub Karvánek ze společnosti Freedivision, která se dlouhodobě zabývá řešeními v oblasti bezpečnosti IT. Podle něj je třeba vidět hlavně to, že se zvyšuje míra práv pro občany. Ti budou mít právo žádat o informace o datech, která jsou o nich uchovávána, budou moci žádat o jejich případnou opravu či smazání. „Navíc je třeba si uvědomit, že v případě bezpečného zacházení s citlivými daty dnes existuje řada nástrojů, které umí velké množství práce udělat samy,“ dodává.
Důležitá je analýza stavu
Odborníci se v případě GDPR shodnou, že velmi důležitým předpokladem splnění požadavků směrnice je důkladná analýza stavu nakládání s daty tzv. GAP analýza. Ta zjistí, kdo, kde a jak s daty ve firmě či instituci operuje. Oddělí soubory s citlivým obsahem od zbytku. „Jedním z našich velmi častých doporučení je převádět odpovědnost za data na samotné uživatele, protože jen ti znají jejich skutečný obsah a citlivost,“ poznamenal Jakub Karvánek s tím, že dále je třeba vyhotovit revizi datových úložišť, přístupových práv i samotnou fyzickou bezpečnost uchovávání a archivaci dat. „Účinným nástrojem je například software Varonis, jehož moduly umí sbírat potřebná metadata. Celý proces analýzy je průběžně vyhodnocován a prostřednictvím grafů a tabulek je uživateli k dispozici,“ popisuje Jakub Karvánek s tím, že proces je plně automatický a je možné ho nasadit i do velké společnosti během několika dnů. Funguje to tak, že klasifikační engine softwaru v podstatě neustále a na pozadí skenuje obsah souborů a dokáže rozpoznat vzorce identifikátorů osobních údajů – rodná čísla, čísla účtů, emaily, IP adresy, čísla kreditních karet a další a vyhodnotit soubory na základě počtu nalezených shod. Dokáže tak nejen identifikovat citlivá data, ale poskytne i klíčové informace, které napomáhají minimalizovat bezpečnostní rizika.
