Ένας νέος κανονισμός για την προστασία των προσωπικών δεδομένων των Ευρωπαίων θα τεθεί σε εφαρμογή τον Μάιο του 2018 που ορίζει πρόστιμα τουλάχιστον 20 εκατομμυρίων ευρώ ή 4% του ετήσιου παγκόσμιου τζίρου ενός οργανισμού που δεν συμμορφώνεται. Εντούτοις, ενάμισι χρόνο πριν την εφαρμογή του, στελέχη εταιρειών με τζίρο δισεκατομμυρίων δηλώνουν αβέβαιοι για την ετοιμότητά τους να ξεχάσουν ή να μεταβιβάσουν τα προσωπικά δεδομένα των πελατών τους.

Αυτό συμπεραίνει μελέτη που έκανε η Vanson Bourne, με χορηγό της CA Technologies, μια εταιρεία που παρέχει υπηρεσίες για τη συμμόρφωση με τον νέο κανονισμό. Η έρευνα έγινε με τη συμμετοχή 200 στελεχών σε τμήματα πληροφορικής, διαχείρισης κινδύνου και κανονιστικής συμμόρφωσης, σε ΗΠΑ και Ηνωμένο Βασίλειο. Η επιλογή των εταιρειών έγινε με κριτήριο τα έσοδα πάνω από $ 1.000.000.000 ή και περισσότερα και περιλάμβανε εταιρείες χρηματοπιστωτικών υπηρεσιών, μεταποίησης, λιανικού εμπορίου, τηλεπικοινωνιών και δημόσιου τομέα.

Δύο στους τρεις οργανισμούς δεν είναι έτοιμοι να ξεχάσουν

Στη μελέτη τεκμηριώνεται πως οι ισχύουσες πρακτικές διαχείρισης δεδομένων δοκιμών κατά τη διάρκεια ανάπτυξης και ελέγχου εφαρμογών δεν είναι επαρκείς για να καλύψουν τις απαιτήσεις συμμόρφωσης του Γενικού Κανονισμού για την Προστασία των Προσωπικών Δεδομένων της Ευρωπαϊκής Ένωσης (GDPR).

  • Στην πραγματικότητα μόνο το 31% των ερωτηθέντων πιστεύουν ότι οι τρέχουσες πρακτικές του οργανισμού τους συμμορφώνονται πλήρως με τον GDPR, ο οποίος θα επηρεάσει οποιαδήποτε επιχείρηση διαχειρίζεται ευρωπαϊκά προσωπικά δεδομένα.

«Καθώς οι επιχειρήσεις όλων των κλάδων επεκτείνονται παγκοσμίως, ο αντίκτυπος των νέων κανονιστικών διατάξεων, όπως ο GDPR, πρόκειται να γίνει αισθητός πιο γρήγορα και πιο έντονα από όσο συνειδητοποιούν οι περισσότεροι,» δήλωσε ο Jeff Scheaffer, General Manager, Continuous Delivery, CA Technologies.

«Τα προσωπικά δεδομένα, όπως αυτά ορίζονται από τον GDPR, σε συνδυασμό με τα υψηλά πρόστιμα- 20 εκ € ή 4% του ετήσιου παγκόσμιου τζίρου ενός οργανισμού (το μεγαλύτερο εκ των δύο )- θα πρέπει να θέσουν τα τμήματα Πληροφορικής και τις ομάδες ανάπτυξης εφαρμογών σε υψηλή επιφυλακή, προκειμένου να προστατέψουν τα δεδομένα αυτά τόσο στα περιβάλλοντα ανάπτυξης όσο και σε αυτά των δοκιμών.»

Στη μελέτη με τίτλο «Γενικός Κανονισμός για Προστασία Δεδομένων στην ΕΕ: Είστε έτοιμοι;», η πλειοψηφία των ερωτηθέντων δεν ήταν απόλυτα σίγουροι ότι ο οργανισμός τους θα μπορούσε να καλύψει δύο βασικούς όρους του GDPR, γνωστούς και ως «Δικαίωμα στη Λήθη» και «Δικαίωμα στη Φορητότητα των Δεδομένων».

Η έρευνα έδειξε ότι αναφορικά με τον εντοπισμό, διαγραφή και παροχή των δεδομένων στους πελάτες:

  • Μόνο το 33% ήταν πολύ σίγουροι ότι κάθε δεδομένο των πελατών θα μπορούσε να ταυτοποιηθεί άμεσα σε όλα τα συστήματα και τις εφαρμογές.
  • Μόνο το 34% ήταν απόλυτα σίγουροι ότι ο οργανισμός τους μπορεί να διαγράψει άμεσα κάθε αντίγραφο των δοκιμαστικών δεδομένων (test data) πελατών τα οποία χρησιμοποιούνται κατά τη δημιουργία και τις δοκιμές εφαρμογών.
  • Λιγότεροι από τους μισούς (43%) θα ήταν απόλυτα ικανοί να παρέχουν στους πελάτες τους τα προσωπικά τους δεδομένα σε τέτοια μορφή που θα τους επιτρέψει να τα χρησιμοποιήσουν και να τα επεξεργαστούν, και
  • ένα εντυπωσιακό 10% δηλώνουν ότι αυτή τη στιγμή δεν έχουν καθόλου αυτή τη δυνατότητα.

Η μελέτη διαπίστωσε επίσης πως οι οργανισμοί χρειάζεται να αλλάξουν τις βασικές τους διαδικασίες. Περισσότεροι από 90% των ερωτηθέντων αναφέρουν ότι ο κανονισμός θα επηρεάσει τον τρόπο με τον οποίο συλλέγουν, μεταφέρουν, χρησιμοποιούν, επεξεργάζονται, αποθηκεύουν και λαμβάνουν ή αποστέλλουν προσωπικά δεδομένα εκτός ΕΕ.

Οι προκλήσεις

Οι μεγαλύτερες τεχνολογικές προκλήσεις, οι οποίες αναγνωρίστηκαν από το 88% των συμμετεχόντων στην έρευνα ως ένα πιθανό ρίσκο στη συμμόρφωση με τον GDPR, συμπεριλαμβάνουν:

  • Άναρχη αποθήκευση ευαίσθητων δεδομένων – χωρίς διαδικασίες ταξινόμησης και κατηγοριοποίησης (54%).
  • Πολλαπλά αντίγραφα δεδομένων παραγωγής αποθηκευμένα σε όλο το εταιρικό δίκτυο (48%).
  • Αμφισβητούμενες πρακτικές ανάπτυξης κώδικα (Technical debt/design debt/ code debt) ή ελάχιστα κατανοητά μοντέλα δεδομένων (30%).
  • Κατανομή των δεδομένων δοκιμών σε πολλαπλά προσωπικά μηχανήματα δοκιμών (25%).

Προκειμένου να ανταποκριθούν στην προθεσμία συμμόρφωσης στον GDPR της 25ης Μαΐου του 2018, σχεδόν εννέα στους δέκα (89%) δήλωσαν ότι θα χρειαστεί να επενδύσουν σε νέες τεχνολογίες και υπηρεσίες οι οποίες περιλαμβάνουν κρυπτογράφηση (58%), analytics και reporting (49%) και τεχνολογίες διαχείρισης δεδομένων δοκιμών – test data management technologies (47%).

« Για να βεβαιωθούν ότι μπορούν να συνεχίσουν να είναι ανταγωνιστικές και βιώσιμες στον σημερινό ψηφιακό κόσμο, οι εταιρείες οι οποίες έχουν σημαντικές σχέσεις με την ΕΕ και τους πολίτες της θα πρέπει να αξιολογήσουν εκ νέου την προσέγγισή τους για τη διαχείριση του συνόλου των δεδομένων δοκιμών, και να επενδύσουν στις διαδικασίες και στα εργαλεία εκείνα τα οποία θα τους εξασφαλίσουν τη συμμόρφωση με τα κανονιστικά πρότυπα του GDPR,» δήλωσε εν συνεχεία ο Scheaffer.

Τα σκοτεινά δεδομένα

Η Veritas, εταιρεία διαχείρισης δεδομένων που εξυπηρετεί τις 500 μεγαλύτερες επιχειρήσεις (κατά το Fortune), συμπέρανε πως οι περισσότερες επιχειρήσεις δεν αντιλαμβάνονται πλήρως τη σύνθεση περίπου των μισών από τα δεδομένα που αποθηκεύουν.

H Veritas καταγράφει στην έρευνα με το χαρακτηριστικό όνομα Global Databerg Report, αναφερόμενη στα «βουνά» προσωπικών δεδομένων που συλλέγονται, ότι το 52% αυτών των στοιχείων που αποθηκεύονται και επεξεργάζονται από οργανισμούς σε όλο τον κόσμο, είναι «σκοτεινά» δεδομένα, δηλαδή είναι ακατανόητα. Η έλλειψη «ορατότητας» σε αυτά, καθιστά δύσκολη την αναζήτηση από τους οργανισμούς, ώστε να βρίσκουν άμεσα τα σωστά δεδομένα.

Τι θα διαγραφεί;

Οι επιχειρήσεις, προκειμένου να μετριάσουν τους κινδύνους, θα πρέπει να κατανοήσουν καλύτερα τα δεδομένα τους, συμπεριλαμβανομένων του σημαντικού ποσοστού των «dark data» που είναι διασκορπισμένα σε αποθηκευτικά μέσα, τόσο στις ίδιες τις εγκαταστάσεις της επιχείρησης, όσο και σε υποδομές cloud.

Οι επιχειρήσεις καλούνται μεταξύ άλλων να κατανοήσουν ποιος θα έχει εξουσιοδότηση πρόσβασης σε προσωπικά δεδομένα στο σύστημα αρχείων τους, δεδομένου ότι τα περιβάλλοντα αποθήκευσης είναι εξαιρετικά κατακερματισμένα σε file servers, cloud based υπηρεσίες, διάφορες τερματικές συσκευές, αντίγραφα ασφαλείας και αρχειοθετημένα αρχεία.

Επίσης, σύμφωνα με τον νέο κανονισμό, θα είναι απαραίτητο να γνωρίζουν οι επιχειρήσεις πού αποθηκεύονται τα προσωπικά δεδομένα, ειδικά σε μη δομημένες μορφές όπως για παράδειγμα αρχεία κειμένων, παρουσιάσεις και υπολογιστικά φύλλα. Αυτό είναι ζωτικής σημασίας τόσο για την προστασία των ιδίων των δεδομένων, όσο και για την παρακολούθηση σχετικών αιτημάτων που αφορούν στη διόρθωση και διαγραφή των δεδομένων προσωπικού χαρακτήρα.

Αυτές είναι οι αυξημένες προκλήσεις που εισάγει ο κανονισμός για την προστασία των δεδομένων στην σύγχρονη εποχή.

tech.in.gr