Η εταιρεία ταξινόμησης και ασφάλειας δεδομένων “Titus” πρόσφατα δημοσίευσε τις Top 10 Προβλέψεις Ασφαλείας για το 2020, μετά από σχετικές έρευνες και συνομιλίες με δημόσιους φορείς και ιδιωτικές εταιρείες. Η Privacy Advocate τις παρουσιάζει συνοπτικά παρακάτω.

1. Αύξηση της αξίας των επιχειρηματικών δεδομένων.

«Τα δεδομένα έχουν πλέον μεγαλύτερη αξία από το πετρέλαιο» και όντως οι ζωτικής σημασίας πληροφορίες αξίζουν πολύ περισσότερο. Γι’ αυτό και οι οργανισμοί χρειάζεται να επενδύουν συνεχώς στην ανάπτυξη νέων μεθόδων και διαδικασιών για την προστασία των πολύτιμων αυτών δεδομένων.

2. Κρυφτό προσωπικών δεδομένων: Εσείς γνωρίζετε πού βρίσκονται τα προσωπικά σας δεδομένα;

Οι περισσότεροι Υπεύθυνοι Ασφάλειας Πληροφοριών δεν γνωρίζουν όλα τα σημεία όπου βρίσκονται αρχειοθετημένα προσωπικά δεδομένα εντός του οργανισμού τους. Το ζήτημα αυτό χρειάζεται να αντιμετωπιστεί με την δημιουργία αναλυτικών πολιτικών προστασίας προσωπικών δεδομένων στις οποίες θα περιγράφεται εκτενώς ο τρόπος συλλογής τους, οι ενδεχόμενες διαβιβάσεις τους, η πρόσβαση σε αυτά, καθώς και το φυσικό και ηλεκτρονικό σημείο αποθήκευσής τους.

Άλλωστε, πώς μπορείτε να προστατεύσετε κάτι που δεν γνωρίζετε πού βρίσκεται;

3. Τα emails είναι … «ο ελέφαντας στο δωμάτιο».

Σύμφωνα με έρευνες, οι εργαζόμενοι γραφείου στέλνουν καθημερινά κατά μέσο όρο 40 emails που σχετίζονται με την εργασία τους και λαμβάνουν περίπου 90 emails. Υπολογίστε αυτόν τον αριθμό σε έναν οργανισμό 500 ατόμων και φανταστείτε τον αντίκτυπο χιλιάδων emails με πιθανά προσωπικά δεδομένα που διαβιβάζονται εντός και εκτός του οργανισμού χωρίς καμία ασφάλεια. Ο έλεγχος πριν την αποστολή των emails για την ύπαρξη ευαίσθητων προσωπικών δεδομένων και η χρήση μεθόδων κρυπτογράφησης στα επισυναπτόμενα αρχεία είναι κάποιοι αποτελεσματικοί τρόποι για την μείωση των κινδύνων παραβίασης προσωπικών δεδομένων.

4. Συμμόρφωση ή όχι με τον GDPR; Τα υπέρογκα πρόστιμα και οι αμφιβολίες για τη σημασία της συμμόρφωσης.

Μετά από περίπου ενάμιση χρόνο εφαρμογής του GDPR έχουμε δει να επιβάλλονται εξαιρετικά υψηλά πρόστιμα σε οργανισμούς για μη συμμόρφωση με τις απαιτήσεις που θέτει ο GDPR. Από το τσουχτερό πρόστιμο των 204 εκατομμυρίων Ευρώ στην British Airways, τα 460.000 Ευρώ σε Νοσοκομείο της Χάγης, μέχρι τα 250.000€ στην ισπανική LaLiga και τα 400.000€ στην Ελληνική Cosmote. Φυσικά οι Εποπτικές Αρχές αντιμετωπίζουν πολύ σοβαρά τον ρόλο τους και προβαίνουν συνεχώς σε σχετικούς ελέγχους, πόσο πολύ όμως έχουν πραγματικά συμμορφωθεί οι εκάστοτε οργανισμοί; (link)

5. Η χρήση των αποθηκευτικών χώρων Cloud όλο και αυξάνονται στους οργανισμούς, ωστόσο τα ζητήματα ασφαλείας επιμένουν.

Ακόμη και μετά τη μετακίνηση των αρχείων που εμπεριέχουν προσωπικά δεδομένα στο Cloud του Οργανισμού, τα θέματα ασφαλείας εξακολουθούν να υφίστανται, καθώς οι περισσότεροι οργανισμοί διατηρούν ακόμη αρχεία σε φυσική μορφή και μάλιστα σε χώρους αφύλακτους και εκτεθειμένους ή σε ηλεκτρονικό περιβάλλον απροστάτευτο από πιθανή παραβίαση. Η αδυναμία υποστήριξης Cloud εφαρμογών και η έλλειψη εκπαίδευσης σχετικά με την σωστή χρήση τους είναι από τα μεγαλύτερα προβλήματα.

6. Οι Υπεύθυνοι Προστασίας Δεδομένων (DPOs) και οι Υπεύθυνοι Ασφάλειας Πληροφοριών και Δικτύων (CISOs) ενώνουν τις δυνάμεις τους.

Οι οργανισμοί θα πρέπει να ενθαρρύνουν αυτούς τους δύο να βρουν κοινό σημείο επικοινωνίας και να ευθυγραμμιστούν με τις προτεραιότητες και τις ανάγκες του οργανισμού, σχεδιάζοντας αξιόπιστα και κατάλληλα τεχνικά και οργανωτικά μέτρα. Με τον τρόπο αυτό οι διαδικασίες συμμόρφωσης που έχουν καταστρωθεί και εφαρμοστεί στον οργανισμό θα αξιοποιούνται πλήρως. (link)

7. Η αποτελεσματικότητα της μηχανικής μάθησης (Machine Learning) σε πιο εξελιγμένα περιβάλλοντα.

Είναι σημαντικό να θυμάστε ότι η αυτοματοποίηση των συστημάτων μπορεί να διευκολύνει σημαντικά την αναγνώριση και προστασία ευαίσθητων δεδομένων. Ακόμη και οι στρατιωτικοί και οι κυβερνητικοί οργανισμοί εκτιμούν την αξία της μηχανικής μάθησης που βοηθά στη δημιουργία καλύτερων πλαισίων ασφάλειας δεδομένων. Το 2020 οι οργανισμοί χρειάζεται να εστιάσουν κυρίως σε συστήματα και εφαρμογές που προάγουν τις αυτοματοποιημένες διαδικασίες και ενθαρρύνουν την χρήση σύγχρονων μορφών διαχείρισης προσωπικών δεδομένων.

8. Επιστήμονες Ασφάλειας Πληροφοριών: Οι νέοι υπερήρωες.

Ένα νέο είδος επιστήμονα δεδομένων μπορεί να ανυψώσει τις στρατηγικές ασφάλειας ενός οργανισμού, αντιμετωπίζοντας τον κύκλο ζωής των προσωπικών δεδομένων και τις επιπτώσεις της επεξεργασίας με μία πιο έμπειρη ματιά. Κάθε οργανισμός οφείλει να επενδύσει σε έναν ειδικό στην Ασφάλεια Πληροφοριών για να προστατεύσει όσο το δυνατόν περισσότερο τα προσωπικά δεδομένα που επεξεργάζεται, αλλά και τη φήμη του.

9. Συμμαχία διαδικασιών διαχείρισης και προστασίας των δεδομένων.

Η συνεργασία των δύο αυτών διαδικασιών θα οδηγήσει σίγουρα στην καλύτερη λήψη αποφάσεων. Εκτός από την καθιέρωση βέλτιστων πρακτικών για την τήρηση των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους, θα δημιουργηθούν πολλές ευκαιρίες για στρατηγικό σχεδιασμό διαδικασιών και αναβάθμιση των συστημάτων και των εργαλείων συμμόρφωσης με τον GDPR.

10. Συνεχόμενος Έλεγχος Συμμόρφωσης.

Οι οργανισμοί χρειάζεται να εξασφαλίζουν τακτικά ότι το προσωπικό τους είναι πλήρως ενημερωμένο για τις πολιτικές προστασίας που ακολουθούνται στον οργανισμό, ώστε να αποφευχθεί οποιοδήποτε περιστατικό παραβίασης δεδομένων από ανθρώπινο λάθος. Επιπλέον, θα πρέπει να διεξάγονται συχνά έλεγχοι διαδικασιών συμμόρφωσης με στόχο την ομαλή και σύμφωνη με τις απαιτήσεις του GDPR λειτουργία του οργανισμού. (link)

Είναι γεγονός πως όσο η τεχνολογία εξελίσσεται και οι ανάγκες του κάθε οργανισμού αυξάνονται, οι απαιτήσεις ασφαλείας αυστηροποιούνται. Οι οργανισμοί χρειάζεται σταδιακά να κατανοήσουν την σημασία της επένδυσης σε μηχανισμούς προστασίας προσωπικών δεδομένων και να θεωρήσουν την συμμόρφωσή τους με τον GDPR αλλά και τις γενικότερες απαιτήσεις ασφάλειας προσωπικών δεδομένων ως ανταγωνιστικό πλεονέκτημά τους.