Στο σημερινό περιβάλλον υψηλής τεχνολογίας, οι οργανισμοί εξαρτώνται όλο και περισσότερο από τα πληροφοριακά τους συστήματα και το κοινό ανησυχεί όλο και περισσότερο για την ορθή χρήση των πληροφοριών, ιδίως των δεδομένων προσωπικού χαρακτήρα.
Δήμητρα Ζέρβα
Information Security Consultant, Space Hellas
www.space.gr
Η διασφάλιση ότι οι πληροφορίες είναι κατάλληλα προστατευμένες είναι τόσο επιχειρησιακή όσο και νομική απαίτηση.
Ταυτόχρονα, οι πρόσφατες αλλαγές στη νομοθεσία περί προστασίας προσωπικών δεδομένων απαιτούν ένα συστηματικό τρόπο διασφάλισης των προσωπικών δεδομένων, ώστε να προστατεύονται επαρκώς και να αποφεύγεται οποιαδήποτε διαρροή ή υποκλοπή πληροφοριών ή άλλου τύπου απώλεια ή φθορά.
Όσοι οργανισμοί χειρίζονται προσωπικά δεδομένα (επί της ουσίας όλες οι δημόσιες και ιδιωτικές επιχειρήσεις αφού είναι σπάνιο ένας οργανισμός να μην έχει προσωπικά δεδομένα ανάμεσα στις πληροφορίες του) τα οποία αφορούν σε άτομα εντός της Ευρωπαϊκής Ένωσης, θα πρέπει να συμμορφωθούν πλήρως με το νέο κανονισμό “General Data Protection Regulation (GDPR)”. Ο νέος κανονισμός αντικαθιστά την τρέχουσα Οδηγία και θα εφαρμοστεί υποχρεωτικά σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25 Μαΐου 2018.
Σκοπός του νέου κανονισμού είναι να διευρύνει την προστασία των προσωπικών δεδομένων, εξασφαλίζοντας με αυτό τον τρόπο ότι η προστασία των δεδομένων αποτελεί θεμελιώδες βασικό δικαίωμα, το οποίο θα ρυθμίζεται με συνέπεια σε όλη την Ευρώπη.
Οι οργανισμοί πλέον δεν μπορούν να αντέξουν οικονομικά τις κυρώσεις που θα υποστούν σε περίπτωση που αγνοήσουν τις σημαντικές απειλές που θέτουν σε κίνδυνο τα προσωπικά δεδομένα που έχουν στην κατοχή τους, καθώς και τις επιπτώσεις στη φήμη τους, γι’ αυτό και θα πρέπει να επανεξετάσουν ή και να αναθεωρήσουν τις διαδικασίες που ακολουθούν για τη διαχείριση των πληροφοριών – των δικών τους αλλά και των πελατών/συνεργατών τους.
Προετοιμασία για την ασφάλεια των προσωπικών δεδομένων και τη συμμόρφωση με τον GDPR
Η ασφάλεια των πληροφοριών -και συνεπώς των προσωπικών δεδομένων- εξετάζει την προστασία των πληροφοριών, καθώς επίσης και την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα καθ’ όλη τη διάρκεια του κύκλου ζωής των πληροφοριών αλλά και κατά τη χρήση τους εντός του οργανισμού.
Η ασφάλεια των πληροφοριών είναι μια συλλογή από τεχνολογίες, πρότυπα, πολιτικές και πρακτικές διαχείρισης που εφαρμόζονται στις πληροφορίες για να τις διασφαλίσουν και αφορά όλες τις μορφές στις οποίες μπορεί να βρίσκεται μια πληροφορία (προφορική, γραπτή, έντυπη ή ηλεκτρονική). Τα οφέλη της καλής ασφάλειας των πληροφοριών δεν είναι μόνο η μείωση του κινδύνου ή η μείωση των επιπτώσεων σε περίπτωση που κάτι πάει στραβά. Η καλή ασφάλεια μπορεί να βελτιώσει τη φήμη, την εμπιστοσύνη και τη σιγουριά όσων διεξάγουν επιχειρηματικές δραστηριότητες με έναν οργανισμό, και μπορεί ακόμη και να βελτιώσει την αποδοτικότητα με την αποφυγή χαμένου χρόνου και προσπάθειας για ανάκαμψη από ένα συμβάν ασφάλειας.
Ωστόσο, ο νέος κανονισμός εισάγει αυξημένες απαιτήσεις για την προστασία των προσωπικών δεδομένων και αυτό οδηγεί στην ανάγκη για επιπρόσθετες πολιτικές και διαδικασίες, καθώς επίσης και τεχνικά μέτρα τα οποία θα διασφαλίζουν τα δεδομένα αυτά.
Επιπλέον, για τις περισσότερες επιχειρήσεις, ίσως είναι η πρώτη φορά που χρειάζεται να συμμορφωθούν με έναν τόσο αυστηρό κανονισμό για την προστασία των δεδομένων, σε αντίθεση με μεγαλύτερες επιχειρήσεις που βασίζονται στην πρόληψη της απώλειας δεδομένων (Data Loss Prevention) για την αντιμετώπιση παρόμοιων κανονισμών (π.χ. PCI-DSS, HIPAA, κ.λπ.). Και οι πιθανότητες είναι ότι αυτές οι επιχειρήσεις ενδέχεται να μην έχουν την τεχνολογία και τις πολιτικές για να εντοπίσουν, να διασφαλίσουν και να διαχειριστούν τα προσωπικά δεδομένα προκειμένου να ικανοποιήσουν τις απαιτήσεις του GDPR.
Για την επίτευξη της αποτελεσματικότητας και της βιωσιμότητας στο σημερινό πολύπλοκο, διασυνδεδεμένο κόσμο, η ασφάλεια των πληροφοριών θα πρέπει να αντιμετωπίζεται/οδηγείται από το ανώτατο επίπεδο του οργανισμού. Η ασφάλεια των πληροφοριών απαιτεί τη δέσμευση της ανώτατης διοίκησης, μια κουλτούρα επίγνωσης της ασφάλειας, την προώθηση καλών πρακτικών ασφάλειας και τη συμμόρφωση με τις πολιτικές.
Ο χρόνος τρέχει, και οι οργανισμοί θα πρέπει να ακολουθήσουν το δρόμο προς τη συμμόρφωση με τον GDPR, στο νέο κόσμο της προστασίας των προσωπικών δεδομένων.
Space Hellas
Η Space Hellas διαθέτει όλη την απαιτούμενη εμπειρία στην ασφαλή σχεδίαση, ανάπτυξη αλλά και υλοποίηση Συστημάτων Διαχείρισης Ασφάλειας Πληροφοριών και προστασίας προσωπικών δεδομένων, βάσει των διεθνών προτύπων, αλλά και των κοινά αποδεκτών πολιτικών ασφάλειας σε εθνικό, Ευρωπαϊκό και διεθνές επίπεδο.
Έχει αναπτύξει με επιτυχία συστήματα διαχείρισης ασφάλειας πληροφοριών στην Ελλάδα και το εξωτερικό -τα περισσότερα από τα οποία έχουν πιστοποιηθεί με ISO 27001:2013- ενώ ταυτόχρονα υλοποιεί τα συστήματα αυτά τόσο για την ίδια την εταιρία (είναι πιστοποιημένη με ISO 27001 από το 2009 για όλες τις δραστηριότητές της στην Ελλάδα, την Κύπρο, τη Μάλτα, τη Σερβία και τη Ρουμανία) όσο και για μεγάλους πελάτες του ιδιωτικού και του δημόσιου τομέα.
