A Fujitsu magyarországi hivatalos blogbejegyzése szerint itt az ideje, hogy túllépjünk a GDPR-on.
Hogyan nyerjünk ki több értéket az adatokból a felderítés, az intelligencia és az automatizáció segítségével?
Az uniós rendelet május 25-i érvénybe lépése előtt e-mailek millióiban tájékoztatták az érintetteket adatvédelmi jogaik bővüléséről. Az Unióban árukat és szolgáltatásokat értékesítő szervezetek mindegyikének frissítenie kellett adatvédelmi szabályzatát és ellenőrző mechanizmusait. Mindez rendkívül munkaigényes feladat volt. Aztán hirtelen minden elcsendesedett.
Csábító lenne azt gondolni, hogy a továbbiakban már nem kell a GDPR-ral foglalkozni, de nem ez a helyzet. Négy hónap elteltével a hatóságok a panaszok és szabálysértési bejelentések számának megugrásáról számoltak be. Ennek pontos mértékéről egyelőre nincs információ.
Azt biztosan tudjuk, hogy mindenki tájékozottabb lett az adatvédelmi és egyéb érintetti jogokkal kapcsolatban. Nem csupán a magánszemélyek és a vállalatok, hanem a média is, amely rendszeresen a címlapon számol be a komolyabb szabálysértésekről.
Hogyan akadályozhatja meg, hogy az Ön cége is rontsa a statisztikát vagy a címlapra kerüljön?
Először is, proaktívnak kell lennie. Az adatvédelmi jogszabályok változása nyomán minden szervezetnek digitalizálnia kell az adatok kezelésének, tárolásának és hasznosításának folyamatát. És nem csupán az Európai Unióban, hanem az egész világon, hiszen a legtöbb ország hasonlóan szigorú előírások bevezetésére készül.
A jogszabályi változások nyomán a vállalatok többsége „nagytakarításba” kezd, hogy kiderítse, milyen adatai is vannak, pontosan hol, milyen célból, és vajon relevánsak-e még. Mindez egyszerűnek hangzik, de a valóságban elég komoly kihívást jelent.
Beszéltem olyan ügyfelekkel, akik meglepődve szembesültek azzal, mennyire összetett és szövevényes adatkezelési környezettel rendelkeznek. Ez különösen így van a strukturálatlan adatok esetében. James Kuhlke egy korábbi blogbejegyzésben elárulta, hogy egy átlagos szervezetnél mindössze az adatok 14%-a tiszta, illetve üzletileg kritikus. A maradék vagy redundáns, elavult, illetve ideiglenes adat (32%), vagy nem kategorizált sötét adat (54%). Az idők során felhalmozódott, kezeletlen adatok tömegében meglehetősen nehéz kiigazodni.
Ekkora adattömeg tárolása költséges és semmilyen haszonnal nem jár. Nem hordoz előnyöket a vállalat számára, az esetleges adatvisszaélések pedig felvetik a szabályszegések és a hírnévvesztés kockázatát. Ezzel tisztában kell lenni a kockázat nagyságának megállapításához. Nem csupán az adatokat kell ismerni, hanem azt is, hogy milyen sérülékenységeket hordoz a mögöttes infrastruktúra az árnyék IT és a végpontokon használt nem engedélyezett alkalmazások miatt.
Miközben ügyfeleink többsége a külső védelem erősítésével van elfoglalva, a szervezeten belülről is elindulhat adatszivárgás vagy adatvesztés. Megtörténhet például, hogy kényes és bizalmas információkat töltenek le, nyomtatnak ki vagy küldenek el e-mailen. Ez általában a hozzáférésre, a megosztásra, a tárolásra és a megőrzésre vonatkozó szabályok érvényesítésének hiányára, illetve arra vezethető vissza, hogy a felhasználók nincsenek tisztában a szabályok véletlen vagy szándékos megkerülésének következményeivel.
A visszaélés valószínűségét és következményeit csak akkor leszünk képesek megfelelően mérsékelni, ha megismerjük a kockázat valódi mértékét. De hogyan érhetjük el ezt? Csábító lehet azt mondani, hogy egyszerűen fokozzuk a biztonságot és a védelmet, ám ez csupán része a megoldásnak.
A biztonság önmagában nem akadályozza meg a szabályok áthágását.
A Fujitsunál az üzleti és műszaki tanácsadást különféle eszközökkel és menedzselt szolgáltatásokkal ötvözve, technológiával támogatott, intelligens adatbiztonsági szolgáltatásokat kínálunk ügyfeleinknek. A fejlett analitikában, a gépi tanulásban és az automatizációban rejlő lehetőségeket kiaknázva segítünk megvalósítani az optimalizált adatvagyon-kezelést.
Ennek érdekében a következő három fő területre csoportosítjuk szolgáltatásainkat: adatok helyének meghatározása, adatkezelés és adatvédelem. Fontos, hogy mindezt holisztikusan szemléljük, és logikus módon tervezzük meg a kapcsolódó stratégiákat és megoldásokat.
Fejlett felderítő szolgáltatásunkkal „a dolgok mélyére ásva” segítünk az ügyfeleknek valódi felismerésekhez jutni az adatokból és az infrastruktúrából annak meghatározása céljából, hogy a szabályzatok és a folyamatok úgy működnek-e, ahogy működniük kell. Ennek részeként elemezzük, milyen alkalmazásokat és adatokat vezettek be, és ezek mennyire sérülékenyek. Fenyegetéselemzési technikákkal megvizsgáljuk, hogyan lehet kihasználni a sérülékenységeket, illetve azt, hogy nem használják-e máris ki őket. Hiszen a kártékony szoftverek gyakran elég hosszú ideig megbújhatnak alvó állapotban a rendszerekben.
Visszaélés esetén a gyors és hatékony reagálás mellett azt is meg kell állapítani, mekkora kockázat fenyegeti az érintetteket. Az őket érő hatás a redundáns, elavult és duplikált adatok eltávolításán túl azzal is jelentősen mérsékelhető, hogy az adatokat olyan mértékig személytelenítjük, hogy az egyéneket ne lehessen egyszerűen azonosítani vagy újraazonosítani visszaélés esetén. Így csökken az adatokkal való visszaélés gazdasági hatása.
Ezért fektetünk a kockázatértékelő folyamatokat automatizáló, új technológiák fejlesztésébe, amelyek segítségével megállapítható, mennyire könnyű azonosítani egy személyt az adatok alapján. A technológia fejlett algoritmusokkal keresi a személyes attribútumok kombinációit a személyazonosításra alkalmas adatok azonosítása, valamint az adatvisszaélés valószínűsíthető gazdasági hatásának számszerűsítése céljából.
Az így nyert felismerések aztán felhasználhatók a különböző alapelvek és az embereket, folyamatokat és technológiákat ötvöző megoldások kidolgozására. E folyamat keretben finomíthatók, monitorozhatók és proaktívan adaptálhatók a szabályok az erősödő fenyegetés elhárítására. Ez egyben arra is nagyszerű lehetőség, hogy kiderítsük, hogyan használhatók fel az adatok a hatékonyság növelésére, az innováció ösztönzésére, a biztonság továbbfejlesztésére és a bizalomépítésre.
A GDPR-on túl
Itt az ideje, hogy ne csupán a jogszabályoknak, például a GDPR-nak való megfelelést tartsuk szem előtt, hanem a digitális átalakulás alapelemeként tekintsünk az adatvagyon kezelésére, és az általa kínált üzleti előnyökre. Ez nem egyszeri feladat. Az adatokat – a felmerülő kockázatokhoz, valamint a jogszabályok és a szabványok változásaihoz igazodva – folyamatosan kezelni, optimalizálni és megfelelően védeni kell.
Az előrelátó szervezetek működésük szerves részévé teszik az adatvédelmet, hogy a már meglévő és a jövőben gyűjtendő adatokból egyaránt a maximumot hozhassák ki.