Колко струва пробивът в защитата на личните данни?

„Защитата на личните данни се явява частен случай на цялостната защита на организационните данни и инфраструктури“, казва Вихрен Славчев, управител на Мнемоника

Колко струва пробивът в защитата на личните данни, които съхранява дадена организация? Това е въпросът, чиито отговор трябва да знаят „дори и насън“ всички фирми, администрации  и НПО, обработващи нечии лични данни, та дори само на един човек, след 25 май 2018 г. С влизането в сила на новия общоевропейски регламент за защита на личните данни GDPR изчисляването на „цената“ за всеки пробив в опазването на чувствителната персонална информация става неизменна част от развитието на дейността на всяка организация.

Оценката на пробива на защитата на личните данни, известна повече като „Impact Assessment” (IA), трябва да се извършва регулярно във всяка организация на интервал между 6 месеца и една година. Така е, защото всички бизнес-процеси в съвременната среда се променят постоянно и много динамично. С всяка промяна се изменя и рискът от пробив в защитата на личните данни. А пробивът може да коства на организацията много пари – и дори самото й съществуване.

IA не е неизменна част от така наречения GAP-анализ, който се прави при въвеждането на GDPR, въпреки, че може да бъде част от него, обяснява Вихрен Славчев, управител на Мнемоника. „Важно е да оценим кои са личните данни, които обработваме, и какво е тяхното качество – тоест доколко данните, които събираме, са ни наистина необходими. Може да се окаже, че събираме лични данни, които са напълно ненужни, но ги трупаме, просто защото искането за тях е заложено в дадена стандартизирана бланка“.

Добрите практики

Според регулаторните изисквания, оценката на  пробива на защитата на личните данни трябва да се прави на не повече от две години. Този период обаче може да е прекалено дълъг в някои случаи. Добрата практика предполага интервалът да е по-кратък – 6 до 12 месеца.

„Важно е оценката да се прави от експерти с опит в тази дейност, които добре разбират понятията в работата с лични данни“, добавя Вихрен.

Резултатите от IA могат да бъдат пряко свързани с въпроса дали организацията има нужда от защита, каква защита е потребна, респективно каква застраховка. Едва следващият етап предполага да се пристъпи към внедряване на каквито и да е мерки и средства за защита на данните.

Циклично повтаряща се проверка

“Много хора се заблуждават, че IA е еднократно действие,” предупреждава Вихрен. Но то е процес, който се повтаря циклично. Така е, защото защитата на личните данни, подобно на цялостната кибер-защита, е нужно да еволюира постоянно – заедно с еволюцията на самите заплахи. „Де факто защитата на личните данни се явява частен случай на цялостната защита на организационните данни и инфраструктури“, подчертава Славчев.

В този смисъл е важно да се знае, че съвременните системи за защита не се фокусират върху технологиите, а върху поведенческите модели и профилите на потребителите. Чрез профилиране на потребителите и фокусиране върху тяхното поведение се въвежда подход за адаптиране спрямо рисковете на база оценка на поведението.

С всяка промяна в бизнес процесите се изменя и рискът от пробив в защитата на личните данни

Кой води процеса на оценка

Обичайно в процеса на оценката участват всички ключови специалисти, които имат отношение към работата с лични данни – подобно на екипа за GAP анализ. Това са юрист на организацията, ИТ ръководител, мениджър по съответствието с нормативната база („compliance manager”), специалист по сигурността, представител на финансов отдел, ръководител човешки ресурси. Процесът може да се води от собствения DPO на организацията или от външен експерт.

Все по-интензивно се развива аутсорсингът на IA. Опитът на много западни организации вече показва, че не само малки, но и големи организации търсят начин защитата на личните данни и IA да се извършват като външна услуга от специализиран екип „под наем“. Това решава трудния проблем с намирането на подходящ човек за служител по защитата на личните данни, който да е правилно подготвен и да има капацитета да води обучения, да алармира, да следи за прилагането на регламента. При аутсорсинга обаче е нужно да се проучи внимателно доставчикът. За целта е добре да се проследи неговата история, да се потърсят референции за него.

Друг възможен подход при оценката е спазването на GDPR и извършването на оценката на пробива на защитата на личните данни да се възлагат на ИТ отдела или екипа по сигурността, който и без друго се грижи за кибер-защитата. Този похват изхожда от разбирането, че  защитата на личните данни се явява частен случай на цялостната защита на организационните данни и инфраструктури.

При всички случаи специалистите по защита на личните данни могат да почерпят опит от чуждестранната практика. В много от страните от ЕС вече има действащи закони, в които са вградени изискванията на GDPR. Техните бизнес-организации вече трупат ценен опит в опазването на персоналната информация при новите условия и решаването на конкретни, специфични ситуации.

Изключително важна помощ за спазването на новата регулация е следенето на насоките и наставленията на т. нар. „Working party 29”. Това е инициативна група към ЕК по въвеждането на новия регламент (http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358). Публикациите на работната група съдържат полезни практически насоки, включително по вертикали, тоест за конкретни индустрии.

В някои случаи най-голяма полза може да има запитването към локалния регулатор – в България това е Комисията за защитата на личните данни. При неяснота или колебание относно регулациите, извършването на IA или други детайли от новия регламент организациите винаги могат да се обърнат към КЗЛД с въпрос какво всъщност би било най-правилното решение в дадена ситуация.

Насоки от професионални организации

Ценни насоки могат да се потърсят и от специалистите в областта на сигурността, кибер-защитата и опазването на личните данни. Темата за предизвикателствата на GDPR е разгледана задълбочено в средите на професионалисти – като членовете на ISACA, например, а още по-фокусирано се работи по темата в IAPP – международната организация на професионалистите в защитата на лични данни (Internatinal Association of Privacy Professionals). В редиците им са налице над 34 хиляди експерти.

„Ние в Мнемоника сме член на тази организация от няколко месеца – те имат доста богат опит и практически знания. Направихме преглед на всички организации, които работят по темата, и избрахме IAPP, защото тя най-много може да допринесе за това да опазваме личните данни най-правилно за нашите клиенти. Можем да ползваме базите със знания на IAPP и в момента вече сме в процес на сертифициране по „data privacy”, обясни Вихрен Славчев.

Статията е подготвена съвместно с екип на Мнемоника – консултантска компания, работеща в областта на кибер сигурността и защитата на данните, с над 600 успешно реализирани проекта за над 100 организации.

Мария Малцева

Мария Малцева

Коментар