O κρίσιμος ρόλος των CISO και DPO

Μεταξύ των πολλών σημαντικών αλλαγών που επέφερε ο κανονισμός περί προστασίας δεδομένων, ξεχωρίζει σίγουρα η αναβάθμιση του ρόλου των CISO και DPO, η “εξουσία” των οποίων ενισχύθηκε σε μεγάλο βαθμό

Κωνσταντίνος Καρβέλας
Managing Director
MLine – www.mline.gr

To 2018 είχαμε το Go Live της πιο σημαντικής αλλαγής στον νόμο περί προσωπικών δεδομένων (GDPR) τα τελευταία 20 χρόνια. Σχεδόν κάθε οργανισμός (που έχει η διαχειρίζεται προσωπικά δεδομένα) έπρεπε να εξασφαλίσει τη συμμόρφωση με αυτόν τον νέο νόμο και υποψιάζομαι ότι όπως όλοι οι οργανισμοί CISO και DPO ήμασταν πολύ απασχολημένοι με τον έλεγχο ή την δημιουργία  των απαραίτητων ελέγχων και δομών, προκειμένου να τηρηθεί  το όριο των 72 ωρών  ενημέρωσης παραβίασης που απαιτούσε ο νομός και πως αυτό θα  μπορούσε να επιτευχθεί.

Αυτός ο νόμος αύξησε σημαντικά την εξουσία των CISO και έθεσε τον ρόλο του DPO   ευδιάκριτα στον χάρτη. Ο νόμος αναφέρεται σε κατάλληλους αναλογικούς, τεχνικούς και οργανωτικούς ελέγχους (άρθρο 32), καθώς επίσης υπογραμμίζει ότι η προστασία των προσωπικών δεδομένων (δηλ. Η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα) αποτελεί πλέον νομική απαίτηση. Αυτό σημαίνει ότι πρέπει πραγματικά να δικαιολογήσετε (και να τεκμηριώσετε), μετά από ένα περιστατικό παραβίασης δεδομένων ή ένα αίτημα παραπόνων / δικαιωμάτων από ένα άτομο, γιατί επιλέξατε να μην εφαρμόσετε συγκεκριμένο έλεγχο, π.χ. DLP, κρυπτογράφηση κλπ.
Με άλλα λόγια, κάθε τοποθεσία προσωπικών δεδομένων, συμπεριλαμβανομένης της τρέχουσας κατάστασής της (μαζί με τα αρχειοθετημένα δεδομένα και τα μη δομημένα δεδομένα) πρέπει να είναι γνωστή, με τον κατάλληλο έλεγχο. Και τουλάχιστον ο DPO  και ο CISO (ή ο CIO για μικρότερους οργανισμούς) πρέπει να γνωρίζουν γιατί συλλέχθηκαν (νομική βάση συλλογής), τι αφορούν (τύπος και ταξινόμηση), και ποιοι έχουν πρόσβαση  ((έλεγχοι πρόσβασης) – για ολόκληρο τον οργανισμό –  (συμπεριλαμβανομένων των επεξεργαστών δεδομένων τρίτων μερών όπως οι εξωτερικοί συνεργάτες).
Συνεπώς, το επίπεδο προστασίας, συμμόρφωσης και διακυβέρνησης γύρω από τα δεδομένα έχει λάβει σημαντική αξία και κατά συνέπεια έχει σημειωθεί  σημαντική αύξηση στα επίπεδα προστασίας, ασφάλειας, ιδιοκτησίας δεδομένων  και λογοδοσίας.
Αυτό έχει επίσης ως αποτέλεσμα εργαζόμενοι με αρμοδιότητες διαχειριστών δεδομένων να ορίζονται πλέον ως «ιδιοκτήτες» δεδομένων ή «θεματοφύλακες» δεδομένων, με νέα επίπεδα ευθύνης. Αυτοί οι εργαζόμενοι βρέθηκαν  ξαφνικά να είναι υπεύθυνοι  και υπόλογοι για την προστασία των δεδομένων, και να υπόκεινται σε   εσωτερικούς ελέγχους από τους  DPO/CISO/CIO

 

O κρίσιμος ρόλος και η αξιολόγηση κινδύνου

Οι παραβιάσεις δεδομένων μεγάλων οργανισμών αποτελούν περαιτέρω παραδείγματα (ενδεχομένως) κακής προστασίας και ασφάλειας των δεδομένων ή όπως λένε κάποιοι, ανεπαρκής χρόνος και χρήματα για τους πιο κρίσιμους τομείς των δεδομένων.

Καθ’ όλη τη διάρκεια της καριέρας μου, όπως και οι περισσότεροι  CISO και DPO,  ενθάρρυνα τους οργανισμούς να καταλάβουν πού βρίσκονται τα πιο κρίσιμα στοιχεία δεδομένων (και όχι απαραίτητα προσωπικών ), πώς τα δεδομένα κυκλοφορούν, μεταβιβάζονται από το σημείο Α στο Β και να προσπαθήσουν να διασφαλίσουν  ανάλογα με τους κινδύνους (και το επίπεδο των τρωτών σημείων ) να εφαρμόζονται οι κατάλληλοι έλεγχοι βάσει κινδύνου. Με το GDPR, αυτό είναι πλέον υποχρεωτικό και ενθαρρυντικό από την ρυθμιστική αρχή.

Αυτό περιλαμβάνει την εξασφάλιση ότι κάθε σημείο εισόδου, κάθε συσκευή και ιδανικά κάθε άτομο να έχει το κατάλληλο επίπεδο ελέγχου πρόσβασης που σχετίζεται με το ρόλο που εκτελεί. Φυσικά, είναι εύκολο να κατηγορήσουμε τον διαχειριστή συστημάτων ή τον ανυποψίαστο χρήστη που έκανε κλικ στη σύνδεση ηλεκτρονικού “ψαρέματος”, αλλά η πραγματική απάντηση έγκειται στο πώς χρησιμοποιούν τα δεδομένα, που αποθηκεύονται τα δεδομένα και γιατί τα δεδομένα ήταν απαραίτητα και φυσικά  ποιος έχει πρόσβαση σε αυτά  και πώς ελέγχεται  ότι μόνο οι κατάλληλοι άνθρωποι έχουν πρόσβαση.
Μόνο όταν απαντάτε σε αυτές τις βασικές ερωτήσεις, αρχίζετε να καταλαβαίνετε πλήρως πώς χρησιμοποιούνται τα δεδομένα σας, ποια τεχνολογία ή εφαρμογή χρησιμοποιείτε για την παροχή της λειτουργικότητας ή των υπηρεσιών, ποιες διαδικασίες βρίσκονται πίσω από τη χρήση, ποιος χρειάζεται πρόσβαση και γιατί  και πότε τα δεδομένα είναι πιο ευάλωτα (καθώς αυτό αλλάζει σε όλο τον κύκλο ζωής ενός δεδομένου.

Οποιαδήποτε αξιοπρεπής μεθοδολογία αξιολόγησης κινδύνου ( Risk Assessment και GAP Analysis ) θα αποκαλύψει τι ελέγχους χρειάζονται και ποιοι έλεγχοι θα προσθέσουν τη μεγαλύτερη αξία, αλλά δεν τελειώνουν εκεί. Η αξιολόγηση κινδύνου και οι επακόλουθες δοκιμές διείσδυσης θα ενημερώσουν τα ανώτερα στελέχη για το πού θα επικεντρωθούν οι προσπάθειες. Aλλά χρειάζεται γνώση χρόνος και εμπειρία σχετικά με το πώς λειτουργούν τα συστήματά σας, τους εμπλεκόμενους, και τις διαδικασίες που απαιτούνται η πρέπει να εφαρμοστούν.
Τι μπορείτε να κάνετε, ως DPO  ή CISO; H αλήθεια είναι ότι υπάρχει σε  σε μεγάλο βαθμό εξάρτηση από τους security architect’s  και αναμφισβήτητα θα μιλήσουν για τη στρατηγική ‘ Defense in Depth ’ (DiD)  (που σημαίνει μια πολυεπίπεδη προσέγγιση) ή πώς το  endpoint security / AV  προλαμβάνει   την απώλεια δεδομένων , καθώς επίσης  πως το  SIEM / SOC θα εντοπίσει και θα αντιμετωπίσει  οποιεσδήποτε άτακτες συμπεριφορές .

Ακούγεται εντυπωσιακό και συχνά είναι. Σε τελική ανάλυση όμως αυτό που τελικά  που πρέπει να κάνουμε είναι να μάθουμε πού και πώς χρησιμοποιούνται τα  προσωπικά δεδομένα,  για να διασφαλίσουμε τους ελέγχους που ορίζουμε και τελικά να εκπληρώνουν τις  υποχρεώσεις  μας σύμφωνα με το GDPR