Badanie firmy Dell: przedsiębiorstwa nie są gotowe na GDPR ? nowe unijne rozporządzenie o ochronie danych

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
GDPR (General Data Protection Regulation), unijne rozporządzenie o ochronie danych osobowych, wejdzie w życie w roku 2018 i wymusi na firmach istotne zmiany w sposobie gromadzenia danych osobowych i administrowania nimi. Ponad 80% przedstawicieli firm, którzy wzięli udział w globalnym badaniu, ma szczątkową wiedzę lub nie wie nic na temat rozporządzenia GDPR. Mniej niż 1 na 3 firmy czuje się przygotowana na GDPR już dziś. 97% przedsiębiorstw nie ma planu przygotowań do spełnienia wymogów GDPR. Tylko 9% ankietowanych uważa, że ich firmy będą w pełni gotowe na GDPR w chwili wejścia w życie nowego rozporządzenia.

Firma Dell przedstawiła wyniki globalnego badania (obejmującego również Polskę), dotyczącego unijnego rozporządzenia o ochronie danych osobowych (GDPR). Badanie wykazało, że przedsiębiorstwa — zarówno małe i średnie firmy, jak i korporacje — nie są świadome wymagań nakładanych na nie przez nowe przepisy, nie wiedzą, jak dostosować się do regulacji i nie znają konsekwencji nieprzestrzegania jej postanowień.

GDPR wejdzie w życie w maju 2018 r. i wpłynie na wszelkie firmy, niezależnie od wielkości, regionu i branży. Nowe przepisy mają wzmocnić poziom ochrony danych osobowych wszystkich obywateli Unii Europejskiej. Przedsiębiorstwa, które nie zadbają o pełną zgodność z GDPR w chwili wejścia regulacji w życie, mogą ponieść wysokie kary finansowe.

Z badania wynika, że 82% osób odpowiedzialnych za bezpieczeństwo danych – zarówno w małych i średnich firmach, jak i w korporacjach – jest zaniepokojonych kwestią spełnienia wymogów GDPR. Jednocześnie tym samym osobom brakuje ogólnej świadomości w zakresie nowej dyrektywy i udzielone odpowiedzi dowodzą, że firmy nie są jeszcze przygotowane na nowe przepisy i prawdopodobnie nie będą na nie przygotowane w chwili jej wejścia w życie.

  • Ponad 80% przedstawicieli firm, którzy wzięli udział w badaniu, ma szczątkową wiedzę lub nie wie nic na temat rozporządzenia GDPR.
  • Mniej niż 1/3 firm czuje się przygotowana na GDPR już dziś.
  • Niemal 70% ankietowanych twierdzi, że nie są jeszcze przygotowani na GDPR lub nie wiedzą nic o stanie przygotowania swojej firmy, a tylko 3% z nich ma stosowny plan przygotowań.
  • Ponad 75% respondentów spoza Europy przyznało, że ich firmy nie są w ogóle przygotowane do GDPR lub nie mają żadnej wiedzy na ten temat
  • Niemal żadna z firm (97%) nie ma przygotowanego planu działań do wdrożenia w momencie wejścia w życie GDPR w roku 2018

161020.dell.01

Jak wynika z badania, przedsiębiorstwa zdają sobie sprawę z faktu, że nieprzestrzeganie przepisów GDPR wpłynie zarówno na poziom bezpieczeństwa danych, jak i na wyniki biznesowe, nie są jednak pewne zakresu niezbędnych zmian, wymiaru kar za nieprzestrzeganie regulacji i ich wpływu na przedsiębiorstwo. 79% ankietowanych stwierdziło, że nie wie, czy ich przedsiębiorstwa zostałyby ukarane, lub sądzi, że nie dotknęłaby ich kara za stosowane podejście do ochrony danych, gdyby przepisy GDPR obowiązywały w tym roku.

  • 21% ankietowanych zdaje sobie sprawę, że gdyby GDPR obowiązywało już dziś, ich firma poniosłaby karę
  • 36% spośród tej grupy nie wie, jaki byłby wymiar kary lub uważa, że wystarczyłoby dokonać drobnych korekt
  • Niemal połowa sądzi, że spotkałaby ich kara finansowa o umiarkowanej wielkości lub konieczność dokonania korekt o umiarkowanym stopniu trudności
  • Niemal 25% spodziewa się istotnych zmian w zakresie technologii oraz polityki bezpieczeństwa danych stosowanych w ich firmach

Inne ważne wnioski z badania:

  • Mniej niż połowa respondentów sądzi, że wszystkie elementy zabezpieczeń, których dotyczy GDPR, są dobrze przygotowane
  • Tylko 21% ankietowanych czuje się dobrze przygotowanych do GDPR w obszarze kontroli dostępu (stanowiącym kluczową kwestię nowej dyrektywy)
  • Prawie 60% respondentów z korporacji w Europie przyznało, że ich firmy nie są przygotowane na GDPR lub nie znało statusu przygotowań. Podobnej odpowiedzi udzieliło niemal 70% respondentów z małych i średnich firm w tym regionie.
  • Ponad 90% ankietowanych stwierdziło, że aktualne procedury w ich przedsiębiorstwach nie spełniają wymogów GDPR.
  • Ponad 80% respondentów uznało, że ich aktualne technologie zabezpieczeń poczty elektronicznej są dobrze lub dość dobrze przygotowane.
  • Prawie 60% stwierdziło, że ich aktualne technologie kontroli dostępu są dobrze lub dość dobrze przygotowane.
  • Ponad 80% uznało, że ich technologie zarządzania dostępem są dobrze lub dość dobrze przygotowane.
  • 65% stwierdziło, że ich technologie zapór firewall nowej generacji (NGFW) są dobrze lub dość dobrze przygotowane na GDPR.

Jak spełnić wymogi GDPR i uniknąć konsekwencji ich nieprzestrzegania?
Unijne rozporządzenie GDPR zostało przyjęte przez Parlament Europejski i Radę w tym roku, a zacznie obowiązywać w roku 2018. Przestrzeganie kilku zasad pozwoli firmom dostosować się do nowych wymogów, a także chronić dane osobowe klientów, uniknąć naruszeń bezpieczeństwa, a także uszczerbku na reputacji firmy oraz wysokich kar finansowych.

  • Zatrudnienie specjalisty ds. ochrony danych. To jeden z wymogów GDPR. Funkcję tę może pełnić osoba zatrudniona w pełnym wymiarze godzin, pracownik, dla którego jest to jedynie część obowiązków lub agencja zewnętrzna. Warto zaznaczyć, że specjaliści ds. ochrony danych będą mogli oferować swoją pracę w modelu usługowym, dlatego niektórzy integratorzy systemów lub sprzedawcy będą mogli uruchomić stosowną usługę, rozwijając swoją ofertę.
  • Wdrożenie niezawodnego rozwiązania do kontroli dostępu. Możliwość kontroli dostępu do aplikacji, które dają wgląd w dane osobowe obywateli Unii — a w szczególności w dane nieusystematyzowane — to element kluczowy dla ochrony danych i zgodności z przepisami GDPR. Kontrola ta zwykle wymaga okresowych przeglądów praw dostępu przeprowadzanych przez kierowników pionów oraz wydawania certyfikatów potwierdzających, że uprawnienia są adekwatne do zadań pracowników i nie zagrażają bezpieczeństwu danych. Taki poziom przejrzystości i kontroli zapewnia rodzina rozwiązań Dell One Identity do zarządzania tożsamością i dostępem.
  • Zarządzanie kontrolą dostępu. Aby spełnić wymagania GDPR, pracownicy i współpracownicy muszą dysponować uprawnieniami dostępu, umożliwiającymi im wykonanie tylko i wyłącznie zadań, które faktycznie zostały im powierzone. Odpowiednie technologie, które pozwalają kontrolować dostęp do danych na tym poziomie, to uwierzytelnianie wieloskładnikowe, bezpieczny dostęp zdalny, zabezpieczenia oparte na ryzyku oraz zabezpieczenia adaptacyjne, precyzyjne zarządzanie hasłami oraz pełna kontrola nad danymi uwierzytelniającymi i aktywnością użytkowników uprzywilejowanych.
  • Ochrona granic zewnętrznych. Wdrożenie zapór firewall nowej generacji (NGFW) pozwala zmniejszyć podatność sieci na cyberzagrożenia i zniwelować ryzyko wycieków danych, które mogą doprowadzić do naruszenia bezpieczeństwa danych, skutkującego surowymi karami, nakładanymi na mocy GDPR. Należy również zadbać o zgromadzenie informacji na potrzeby ewentualnych dochodzeń, niezbędnych do udowodnienia zgodności z przepisami i wdrożenia stosownych korekt po incydencie naruszenia. Zapory firewall nowej generacji Dell SonicWALL chronią przed nowymi rodzajami zagrożeń i oferują funkcje takie jak głęboka inspekcja pakietów, szyfrowanie i inspekcja sesji SSL w czasie rzeczywistym, adaptacyjne wydzielone środowisko uruchamiania aplikacji (sandbox) oraz pełna kontrola i wizualizacja aplikacji.
  • Zapewnienie bezpiecznego dostępu mobilnego. Warto wspierać bezpieczny przepływ chronionych danych, jednocześnie umożliwiając pracownikom dostęp do aplikacji i danych biznesowych wtedy, gdy ich potrzebują, w preferowany przez nich sposób i za pomocą wybranych przez nich urządzeń. Bezpieczeństwo danych można zwiększyć poprzez połączenie komponentów związanych z tożsamością użytkowników, zmiennych reprezentujących urządzenia i czynników czasowych (czas, lokalizacja itp.), aby stworzyć elastyczne, oparte na ryzyku rozwiązanie, które zawsze i nieprzerwanie zapewnia właściwy dostęp, a zarazem poprawia ochronę danych i zgodność z przepisami GDPR.
  • Zapewnienie bezpieczeństwa poczty elektronicznej. Aby spełnić wymagania GDPR, należy zadbać o pełną kontrolę i przejrzystość aktywności w obszarze poczty elektronicznej. Pomoże to zniwelować zagrożenie w postaci phishingu i innych ataków na informacje chronione, opartych na wiadomościach e-mail. Jednocześnie umożliwi to bezpieczną, zgodną z przepisami wymianę poufnych i zastrzeżonych danych.

Badanie zlecone przez firmę Dell zostało przeprowadzone przez Dimensional Research. Wzięło w nim udział 821 specjalistów ds. IT i biznesowych, odpowiedzialnych za ochronę danych w przedsiębiorstwach mających klientów w Europie. Respondenci odpowiadali na pytania dotyczące świadomości i postrzegania przepisów GDPR, przygotowania na ich wejście w życie w maju 2018 r. oraz oczekiwanych konsekwencji ich nieprzestrzegania. Badanie przeprowadzono w Stanach Zjednoczonych, Kanadzie, regionie Azji i Pacyfiku (Australia, Hongkong, Singapur, Indie),  Wielkiej Brytanii, Niemczech, Szwecji, Belgii, Holandii, Francji, Włoszech, Hiszpanii i Polsce. Ankietę wypełniła również kadra kierownicza z firm zatrudniających poniżej 100 pracowników.

Do wcześniejszego rozpoczęcia przygotowań do GDPR przekonuje m.in. IDC: „Choć do wejścia w życie przepisów GDPR pozostały dwa lata, lepiej nie odkładać na później przygotowań do spełnienia nowych wymogów. Skala, złożoność, koszty i newralgiczne znaczenie GDPR sprawiają, że większość firm będzie potrzebować co najmniej dwóch lat na osiągnięcie pełnej zgodności z przepisami. Większość przedsiębiorstw musi więc zacząć już teraz”1.

1Executive Brief on GDPR: A Primer for Getting Started Towards Compliance„, Duncan Brown, marzec 2016 r.

Dell Technologies