Сопротивление бесполезно - защита вашей компании от несоблюдения правил защиты данных

Дэвид Ходжсон из Syncsort

Наступило и прошло 25 мая 2018 г., в результате чего многие компании оказались неподготовленными к тому уровню соответствия, который требуется в соответствии с Общим регламентом защиты данных (GDPR). Даже с уведомлением за четыре года ИТ-технологи, отвечающие за стратегии обеспечения устойчивости бизнеса, все еще пытаются добавить новые сложности в список целей защиты данных. Syncsort «Отчет о состоянии устойчивости за 2018 год» показывает, что проблемы безопасности и конфиденциальности данных находятся в центре внимания большинства ИТ-отделов, особенно когда они используют облачные платформы для сбора, хранения и анализа данных, - говорит Дэвид Ходжсон, директор по продукту Syncsort.

Длинная рука закона

По мнению авторов GDPR, «обработка персональных данных должна быть направлена ​​на служение человечеству». GDPR основывается на более ранней директиве о защите данных 95/46 / EC и заменяет ее и был в первую очередь разработан для унификации и стандартизации законов о конфиденциальности данных в Европе. Но это поднимает планку конфиденциальности данных для организаций как внутри региона, так и за его пределами, желающих вести дела со странами ЕС.

Итог:любой компании в любом месте следовало бы пересмотреть свои методы управления данными в свете GDPR. Вы знаете, какие данные у вас есть, о ком, как вы ими пользуетесь или передаете другим? Правильно ли он защищен от кражи? Тот же опрос, в котором приняли участие почти 6000 респондентов со всего мира, показал, что большинство компаний все еще борются с этими проблемами.

Возвращение человека к ответственности

GDPR гарантирует право человека знать, что компания хранит на нем личные данные, что это за данные, право проверять и исправлять их и, что наиболее важно, право на их удаление или право быть забытыми.

Новый подход начинается с права согласия. Многие люди лично испытали это на себе, когда компании отправляли электронные письма для подтверждения разрешения на хранение личных данных. Конечно, поскольку данные являются топливом для многих новых бизнес-моделей, данные теперь также представляют собой новую банановую кожуру, которая может вызвать несколько ошибок.

Первый шаг - четко отследить, какие данные у вас есть, о ком и подтвердить согласие. Ключевой частью этого является объединение вашего взгляда на человека в разных системах, базах данных и источниках данных. Дэвид Ходжсон такой же, как Дэвид М. Ходжсон, или это два разных человека? Чтобы добиться такой видимости, убедитесь, что у вас есть соответствующие инструменты, которые могут обеспечивать и поддерживать целостность данных.

Инструменты качества данных, которые могут как идентифицировать личные данные, так и помогать поддерживать их точность, чистоту и исключение дублирования, необходимы для достижения соответствия. Не менее важна возможность отслеживать, кто имел доступ к личным данным. Однако эти требования только усложняются в области больших данных и потоковой передачи данных.

Что такое личные данные и как их безопасно использовать?

Распространение методов сбора данных, которые обычно индивидуализируют наш онлайн-опыт, стало основой цифровой революции, но также породило опасения, которые привели к GDPR.

Статья 4 (1) GDPR определяет информацию, позволяющую установить личность (PII), как данные, которые идентифицируют, описывают или являются уникальными для человека. Это включает в себя очевидное - имя, возраст и номера социального страхования - но также такие элементы, как IP-адреса и идентификаторы устройств, а также поля хешированных или зашифрованных данных, если их цель - идентифицировать человека.

GDPR требует, чтобы компании защищали конфиденциальность людей, и рекомендует, чтобы большая часть обработки производилась с удалением прямых идентификаторов, чтобы не было никакой связи с конкретным лицом. Эта концепция, известная как псевдонимизация данных, может уменьшить воздействие нарушений безопасности, которые приводят к краже данных.

Построение новых систем, соответствующих требованиям по дизайну, всегда проще и эффективнее, чем возможность модернизации старых систем. Инструменты анонимизации, маскирования и запутывания должны быть ключевыми компонентами в любом случае, но реальность, обусловленная затратами, такова, что большинство компаний будут искать инструменты для легкой интеграции с существующими точками доступа к данным.

Большинство компаний имеют несколько баз данных и все чаще обмениваются данными между собой для использования в реальном времени. Эти варианты использования часто являются важными факторами роста бизнеса для компаний, но они также являются источником уязвимостей. Инструменты, отслеживающие, какие данные передаются, должны соответствовать масштабам и быстрым изменениям, которые допускают эти новые архитектуры.

Будущее всегда наступает быстрее, чем вы думаете

Скорость времени обычно оставляет нас неподготовленными, и это всегда кажется правдой в мире информационных технологий. Несоблюдение GDPR может привести к штрафу в размере 20 миллионов евро или 4% от глобального оборота несоответствующей организации, не говоря уже о влиянии на репутацию компании. Теперь, когда крайний срок май истек - если компании не достигнут полного соответствия - это лишь вопрос времени, когда мы увидим первые штрафы взыскания.

Автор этого блога - Дэвид Ходжсон, главный директор по продукту Syncsort