KPMG Canada (одна из аудиторских фирм самой известной во всем мире «большой четверки»), и лидер по национальной защите данных и конфиденциальности. Эта сессия была посвящена обзору нормативно-правовой базы. Спикер говорила о конфиденциальности данных, кибербезопасности, управлении данными, цифровом преобразовании и, что более важно, дала советы, как достичь соответствия нормам и улучшить уровень безопасности организации. " />KPMG Canada (одна из аудиторских фирм самой известной во всем мире «большой четверки»), и лидер по национальной защите данных и конфиденциальности. Эта сессия была посвящена обзору нормативно-правовой базы. Спикер говорила о конфиденциальности данных, кибербезопасности, управлении данными, цифровом преобразовании и, что более важно, дала советы, как достичь соответствия нормам и улучшить уровень безопасности организации. " /> Управление рисками данных после принятия GDPR | IT Partner

IT Partner

Золотой партнер Microsoft с 2006 года

Управление рисками данных после принятия GDPR

 ,

В середине мая 2019 года состоялась конференция Compliance & Security Virtual Conference. Для тех, кто пропустил это событие, мы подготовили краткое резюме по нескольким сессиям. Одну из них проводила Сильвия Кингсмилл, партнер в сфере практики консалтинга по рискам в KPMG Canada (одна из аудиторских фирм самой известной во всем мире «большой четверки»), и лидер по национальной защите данных и конфиденциальности. Эта сессия была посвящена обзору нормативно-правовой базы. Спикер говорила о конфиденциальности данных, кибербезопасности, управлении данными, цифровом преобразовании и, что более важно, дала советы, как достичь соответствия нормам и улучшить уровень безопасности организации.

По словам Сильвии, данные – это стратегически важный актив номер один. Это новое топливо для цифровой экономики. Данные дают нам возможность улучшить качество обслуживания клиентов, меняют способ нашей работы, жизни, игр и нашего взаимодействия друг с другом в социальных сетях. Они дают возможность каждой организации оценить клиентский опыт взаимодействия с компанией, чтобы предоставлять более качественные продукты и услуги и трансформировать целые отрасли. Однако все это не без риска. В вопросе работы с данными важно управление, ответственное использование, соблюдение этики и измеримый учет. Итак, давайте рассмотрим некоторые проблемы и операционные ловушки в плане управления рисками данных после принятия GDPR по мнению компании KPMG.

Движущие факторы изменений рынка

KPMG выделяет четыре движущих фактора изменений, которые вне закона ломают рынок. Первый из них – массовые нарушения кибербезопасности и неприкосновенности частной жизни, которые привели к коллективным искам, крупной пени, штрафам и контролю со стороны регулирующих органов.

Вторым движущим фактором изменений считается нормативно-правовая среда. Например, согласно GDPR (Общего положения о защите данных), за несоблюдение норм действуют высокие штрафы и пеня. Это вынуждает организации пересмотреть свое отношение к вопросам управления рисками конфиденциальности, а также надежность существующей у них программы соответствия нормам.

Третий движущий фактор для изменений рынка – это новые технологии, которые влекут цифровые трансформации под влиянием искусственного интеллекта, появление больших массивов данных и концепции Интернета вещей. Возрастает осведомленность организаций в отношении конфиденциальности, их зависимость от влияния новых технологий на клиентов. В целом в отрасли наблюдается одна глобальная тенденция, которая выходит за рамки регулирования, когда отраслевые организации объединяются в вопросе разработки отраслевых стандартов для целей сертификации (например, CIO Strategy Council, Международная организация по стандартизации и другие). Это позволяет внедрять новые технологии безопасно, этично и надежно.

Четвертый фактор изменений – необходимость подтверждения соответствия нормам. Просто заявлять, что ваша компания заботиться о конфиденциальности и думает о кибербезопасности и управлении рисками – уже недостаточно. Организации должны нести ответственность за свои действия в плане обработки информации, оперативно отслеживать данные и проявлять должный уровень осмотрительности. Таким образом, на рынке возникла еще одна тенденция для схем сертификации конфиденциальности. Появились глобальные сертификаты соответствия стандартам ISO, такие как, например, privacy by design («встроенная» конфиденциальность). По прогнозам эксперта KPMG, через 2 или 3 года мы будем наблюдать эволюцию стандарта ISO для обеспечения конфиденциальности при разработке потребительских бизнес-сервисов.

Положение GDPR и его влияние на глобальном уровне

Учет, ответственность, прозрачность, этика, доверие – все это модные слова, которые мы слышим постоянно. Компании работают в бизнес-среде, где важно доверие, и положение GDPR ЕС поднимает планку стандартов защиты данных. Появление GDPR стало переломным моментом с точки зрения прав граждан, поскольку положение ввело стандарты и упорядоченные правила для государств ЕС. Граждане этих стан теперь имеют право оспаривать действия компаний, если их персональные данные используют без согласия, должной прозрачности и ответственности. Нововведение также меняет правила игры для цепочки поставок, поскольку процессоры данных и контроллеры данных, собирающие информацию в первых инстанциях, несут равную ответственность за защиту таких данных. Чтобы узнать больше, перейдите по ссылке .

Во всем мире уже принимаются аналогичные положению GDPR законы на правительственном уровне.

По причине отсутствия законодательства различные уполномоченные представители по защите данных из разных стран мира выпустили нормативное руководство, отражающее язык GDPR. Сильвия Кингсмилл прогнозирует глобальные перемены, которые оправдают ожидания относительно защиты данных в рамках GDPR.

Наблюдается также некий сдвиг в плане понимания самой философии и обязанностей организации соблюдать конфиденциальность, что подразумевает упреждающее управление рисками. Когда речь идет об управлении информацией и данными, все более актуальным становится отказ от стандартного подхода в соблюдении требований к упражнению, направленных на устранение самого высокого риска.

Подход privacy by design

Ведущие компании и регулирующие органы стремятся к подходу privacy by design. Это философия «встраивания» конфиденциальности и безопасности в системную разработку и архитектуру любой новой технологии, в повседневные бизнес-процессы, в организационную культуру. Такой подход гарантирует, что вы заведомо активно управляете рисками, а не модернизируете свои системы. Фактически, KPMG разработала концепцию оценки рисков конфиденциальности по принципу (стандартам) «привести в соответствие один раз, чтобы многократно подтверждать».

Чтобы узнать больше о своем соответствии нормативам по разным правилам, ознакомьтесь с инструментом, который называется Управление соответствием.

Operational challenges

Компании и организации оказываются один-на-один с трудностями при внедрении некоторых абсолютно новых стандартов и правил, которые мы наблюдаем в мире, где существует искусственный интеллект, конфиденциальность, кибербезопасность и управление рисками. По наблюдениям KPMG, проблемы с конфиденциальностью у организаций чаще всего возникают из-за самых простых вещей. В большинстве случаев это происходит из-за отсутствия связи между людьми, процессами, менеджментом и технологиями. Некоторые выводы KPMG, приведенные в отчетах компании об оценке рисков конфиденциальности, касаются чрезмерного сбора данных и, как следствие, чрезмерного расхода ресурсов на хранение, что увеличивает ваши риски нарушения конфиденциальности и зону для хакерских атак.

Другой вариант, когда компании сталкиваются с трудностями – отсутствие прозрачности на юридическом языке и плохо прописанные политики конфиденциальности. Согласно ожиданиям регуляторов, у компаний должны быть точные и удобные для пользователя политики конфиденциальности. Они должны помогать клиенту понять, какая информация собирается, с какой целью, как она будет защищена, и будет ли она когда-либо передаваться третьими лицами с разрешения пользователя. Монетизация данных также запрещена, если она не выполняется ответственно и с соблюдением этики. Использование информации из данных, которые организация получает о своем клиенте, полностью допустимо, если это происходит с согласия самого клиента и с соблюдением прозрачных политик и процедур, с возможностью для человека отозвать согласие и оспорить методы организации, применимые для обеспечения конфиденциальности.

Чаще всего у компаний возникают проблемы, когда они игнорируют ожидания регулирующих органов. Нормативное руководство имеет больше инструкций и более важно для ознакомления, чем может показаться, поскольку именно эти нормы будет проверять регулирующий орган, если вы столкнетесь с аудитом или проблемами нарушения конфиденциальности.

Цифровые данные становятся персональными

Поскольку организации работают бизнес-среде, где важно доверие, уважение приватности потребителей и прозрачность в отношении обработки информации будет конкурентным преимуществом для любой из них. Все дело в управлении ожиданиями, будь то ожидания клиента, правительства или законодательных органов, или, что более важно – от регулирующих органов.

В компании KPMG видят будущее в развитии программ для обеспечения конфиденциальности, где в общем уравнении важную роль играет кибербезопасность. Организации разрабатывают свои программы обеспечения конфиденциальности и безопасности в масштабах всего предприятия, чтобы включить конфиденциальность в корпоративные процессы и технологические решения, такие как стратегическое бизнес-планирование, жизненный цикл управления проектами и отчетность по корпоративным рискам.

Осведомленность о нарушениях конфиденциальности выросла, и в результате организации стали более уязвимыми в этом вопросе. Они берут на себя обязательства перед своими клиентами через механизмы сертификации, чтобы подстраховаться, продолжая завоевывать и сохранять доверие своих клиентов, управлять их ожиданиями в соответствии с лучшими практиками конфиденциальности и безопасности.

KPMG провела несколько опросов по всему миру, в которых приняло участие 1700 генеральных директоров. Результаты этих опросов подтвердили, что цифровые данные становятся персональными. Это означает, что защита данных клиентов – это уже не просто часть корпоративной социальной ответственности, а требует правильных действий. Это изменение сознания, которое подразумевает, что данные, конфиденциальность, безопасность и управление рисками рассматриваются как возможности для организации внедрять принципы конфиденциальности и безопасности в свои повседневные деловые операции и трансформации.

Некоторые отраслевые тенденции

Существует миф о том, что конфиденциальность касается только среды B2C. Организации, работающие в среде В2В, в равной степени заинтересованы в правилах конфиденциальности, поскольку имеют дело с компаниями, ориентированными на В2С, которые хотят получить достаточные гарантии защиты конфиденциальности, встроенные в цепочку поставок. Договора действуют только лишь на бумаге, если по факту поставщики не выполняют обязательств, которые они продиктованы политиками конфиденциальности и в договорах между лицом, предоставляющим данные, и получателем таких данных.

Использование нового подхода privacy by design в отношении выпуска продуктов и оказания услуг показывает, что компании больше беспокоятся о том, что следует делать с нашими данными, чтобы продолжать внедрять инновации и сохранять доверие своих клиентов. Все это должно происходить в соответствии с нормативной базой относительно ответственного использования данных.

Картирование данных было просто практикой кибербезопасности в течение многих лет. Теперь это обязательное требование согласно GDPR как закона. Это означает, что вам необходимо понимать, где именно находятся ваши данные, чтобы обеспечит их защиту. Более развитые компании все чаще предпочитают автоматизированный процесс картирования данных (вместо использования таблиц Excel).

В рамках GDPR при определенных обстоятельствах желательно выделить сотрудников, которые будут заниматься защитой данных. Сейчас все больше компаний рассматривают такой вариант в качестве наилучшей практики. Такие специалисты должны разрабатывать, контролировать и поддерживать программу конфиденциальности.

Соответствие нормам – это командная работа

Защита данных и конфиденциальность – это обязанность не только сотрудников, которые отвечают за соблюдение нормативных требований, но и специалистов по юридическим вопросам, бизнес-аналитике и анализу данных, а также команд информационной безопасности и внутреннего аудита.

Соблюдение норм – это не конечная цель, а постоянный процесс. На этом пути вам, возможно, предстоит пройти несколько этапов:

Важно отметить, что многие организации, независимо от сектора экономики или отрасли, все еще пытаются разобраться в учете всех своих процессов с данными и определить, где сосредоточены их наиболее важные активы данных (на каком сервере, в каком приложении). Это понимание позволит обеспечить защиту информации и понять, какие третьи лица (или другие лица) имеют доступ к информации, избежать несанкционированного доступа к данным и, соответственно, рисков.

Кстати, если ваша компания также столкнулась с инвентаризацией и классификацией активов данных, и вы хотите следовать тенденции автоматизации этих процессов – обратитесь к услуге выявления данных согласно GDPR от компании IT Partner: https://it-partner.ru/services/gdpr-data-discovery-service .

Все различные компоненты процесса работы над соответствием нормам могут использоваться одновременно для полезной предосторожности на случай, если в вашу дверь постучится представитель регулирующих органов, кто-то подаст жалобу или начнется расследование о нарушении конфиденциальности. Фактически, эти меры предосторожности могут уменьшить серьезность штрафа или пени.

Вывод

Полноценная программа управления рисками, когда речь идет о конфиденциальности и безопасности, состоит из нескольких блоков. Все начинается с продуманной бизнес-стратегии, которая включает защиту данных, конфиденциальность и кибербезопасность. Это также подразумевает соблюдение конфиденциальности через конструктивное мышление и применение упреждающих методов управления рисками (включая политики и процедуры конфиденциальности и устойчивую целевую операционную модель (TOM)). Не забывайте о важности обучения и осведомленности, потому довольно часто самым слабым звеном оказываются именно люди. Для хорошей программы нужны хорошие параметры ее оценки: отчетность по рискам и полная оценка всей программы, а также политики и процедуры, которые касаются стресс-тестирования и реагирования на инциденты.

Измерения вашей позиции риска обязательно должно быть понимание того, какие практики эффективны, а какие ¬– бесполезны. Для успешной реализации самых эффективных практик KPMG дает несколько советов: выделить отдельного главного сотрудника по вопросам конфиденциальности (CPO) или сотрудника по защите данных (DPO), который бы полностью поддерживал Board и TOM.

Для поддержки концепции индивидуального подхода к конфиденциальности необходимо обучение персонала и стресс-тестирование политик и процедур. Не пренебрегайте стресс-тестированием, это очень важно, так как мониторинг и оценка эффективности всей программы является одним из факторов успеха.

У надежных компаний должна быть хорошо прописанная и полностью задокументированная позиция на случай возникновения претензий со стороны регуляторных органов. Ничто не доказуемо полностью и не идеально безопасно, поскольку хакеры всегда на десять шагов впереди. Интерпретировать соответствие нормам как конкурентное преимущество и рыночный дифференциатор – это проактивное отношение к рискам и предусмотрительное обеспечение конфиденциальности и безопасности.