Rozporządzenie o ochronie danych - raport Trend Micro & VMware

Kary:

1. Łącznie około dwie trzecie respondentów nie wie, czy jakiekolwiek kary będą istnieć, bądź nie jest w stanie określić, jaki będzie ich wymiar.
2. 11% badanych wskazało prawidłowo, że kara to do 4% rocznego obrotu przedsiębiorstwa. Większym poziomem wiedzy w tym zakresie wykazali się pracownicy dużych firm zatrudniających powyżej 250 pracowników.
3. Ponad połowa (58%) respondentów określiła karę 2% rocznego obrotu jako bardzo dotkliwą

Odpowiedzialność:

1. 67% uważa, że odpowiedzialność za stosowanie się do rozporządzenia GDPR ponosi cała organizacja, a 31% sądzi, że jest nią obarczony dyrektor generalny (CEO) lub zarząd firmy.
2. 57% respondentów nie odnotowało faktu zaangażowania zarządu firmy w przygotowania do wdrożenia GDPR. Mimo grożących kar finansowych i ogromnego ryzyka dla funkcjonowania firmy, brak świadomości sprawia, że osoby zarządzające nie angażują się póki co w przygotowania do wdrożenia nowego rozporządzenia.
3. Prawie żadna (96%) z przebadanych firm nie potrafiła wskazać, kto ponosi odpowiedzialność za naruszenie danych z Unii Europejskiej przetwarzanych przez usługodawcę spoza Unii Europejskiej np. z USA.

Zgodnie z rozporządzeniem GDPR osoby zajmujące się kontrolą i przetwarzaniem danych powinny wdrażać najnowocześniejsze zabezpieczenia stosownie do zagrożeń i charakteru danych osobowych, które mają być chronione. Okazuje się jednak, że organizacje nie zawsze potrafią jednoznacznie wskazać, co dokładnie kryje się pod hasłem „najnowocześniejsze”.

Wybór rozwiązań ochrony:

1. Prawie jedna piąta firm (19%) nie wie, czym są najnowocześniejsze zabezpieczenia. 50% badanych uważa, że są to rozwiązania oferowane przez doświadczonych liderów na rynku.
2. Aż 22% respondentów wskazało, że koszt jest silniejszym czynnikiem korzystania z poszczególnych zabezpieczeń niż zapewnienie „najnowocześniejszej” ochrony.
3. 17% firm uważa, że decyzje o wdrożeniu konkretnych systemów zabezpieczających powinny być podejmowane na podstawie raportów niezależnych analityków z takich instytucji jak Gartner, Forrester, IDC etc.

Problemy z przestrzeganiem przepisów o ochronie danych:

1. Dla 24% badanych problemem jest brak formalnych procedur powiadamiania o naruszeniu (24%) oraz ograniczenia wynikające ze stosowanych systemów IT (20%)
2. Dla 19% to ograniczone zasoby na poprawę aktualnych procedur
3. Brak dostatecznej ochrony systemów informatycznych 17%
4. Nieformalne procedury uniemożliwiające jednoznaczną identyfikację lokalizacji i właściciela danych 16%
5. Brak środków finansowych 15%
6. Nieokreślenie co do jednoznaczności, kto odpowiada za ten obszar 15%
7. Nieskuteczna ochrona danych 15%

Kroki podejmowane w celu zwiększenia bezpieczeństwa: 

1. Wdrożenie nowych rozwiązań, mających na celu usprawnienie obowiązujących systemów i procedur (16%). Kluczowymi inicjatywami w tym zakresie jest stosowanie szyfrowania (81%) oraz zwiększenie świadomości pracowników w zakresie ochrony danych (80%).
2. Blokada sprzętu w celu uniknięcia użycia zainfekowanych nośników USB (66%)
3. Wprowadzenie przejrzystych procesów, które pozwalają na identyfikację, lokalizację oraz zabezpieczenie danych (65%)
4. Wprowadzenie technologii ochrony przed wyciekami (utratą) danych (57%)

Użytkownicy wewnętrzni powinni zastanowić się nad zastosowaniem:

• mechanizmów ochrony danych (takich jak szyfrowanie). To dzięki nim dane osobowe są bezpieczne nawet w przypadku utraty urządzenia, w którym są przechowywane;
• funkcji zdalnego wymazywania danych z urządzeń przenośnych;
• technologii zapobiegania utracie danych, które pozwalają kontrolować, jakiego rodzaju informacje są przesyłane w obrębie przedsiębiorstwa i poza nim.

Dodatkowe mechanizmy kontroli użytkowników zewnętrznych:

• blokady uniemożliwiające uruchamianie szkodliwego oprogramowania w punktach końcowych. Zarówno narzędzia chroniące przed szkodliwym oprogramowaniem, jak i technologie kontroli aplikacji w punktach końcowych;
• szyfrowanie danych w urządzeniach przenośnych używanych poza siedzibą przedsiębiorstwa;
• poprawki wirtualne pozwalające zapobiec wykorzystaniu przez zdalnych użytkowników niezałatanych luk w zabezpieczeniach. Tym samym ograniczają ryzyko związane z korzystaniem z systemów operacyjnych i aplikacji, w których nie zainstalowano wymaganych poprawek);
• rozwiązania do znajdowania włamań, które pozwalają wykryć naruszenie bezpieczeństwa sieci.  Dzięki temu możliwe są właściwe działania, aby uniemożliwić osobom z zewnątrz kradzież cennych danych osobowych.