Autor – Adam Wojtkowski, Dyrektor Generalny Oracle Polska
Przedsiębiorstwa powinny traktować swoje dane jako wartościowe zasoby nie ze względu na nowe regulacje czy strach przed przestępcami. W gospodarce opartej na danych dane to przyszłość każdego przedsiębiorstwa, dlatego firmy powinny traktować dane w sposób, który odzwierciedla ich znaczenie. W przypadku przedsiębiorstw prowadzących działalność w UE najnowszą regulacją, którą będą musiały spełnić, będzie rozporządzenie GDPR, wchodzące w życie w maju 2018r.
Od dawna wiadomo, że „wiedza to potęga”, ale nigdy nie było to dla przedsiębiorstw równie trafne jak dzisiaj. W epoce, w której firmy starają się być bliżej klientów i usprawniać procesy biznesowe za pomocą bardziej inteligentnej analizy danych, odpowiednio zgromadzona i wyselekcjonowana wiedza decyduje o ich sukcesie.
Dane są coraz bardziej wartościowym zasobem, a przedsiębiorstwa czerpiące maksymalne korzyści ze zbieranych i generowanych danych mają ogromne szanse na sukces. Według Oracle wciąż istnieją jednak istotne przeszkody do pokonania, związane przede wszystkim z bezpieczeństwem i zgodnością z przepisami. W miarę jak rośnie wartość danych, rośnie również nadzór nad tym, w jaki sposób są one zbierane, przechowywane i wykorzystywane oraz kto, gdzie i kiedy może uzyskiwać do nich dostęp.
Pojawiające się na pierwszych stronach gazet informacje o naruszeniach ochrony danych z całego świata i ze wszystkich branż uświadomiły już wszystkim negatywne konsekwencje takich incydentów dla przedsiębiorstw i ich klientów, ale firmy mają teraz również dodatkową motywację do tego, aby zapewnić bezpieczeństwo swoich danych. Powinny dbać o ich bezpieczeństwo, ponieważ są wartościowe i stanowią przyszłość ich biznesu. Powinny kochać swoje dane i nie uważać ich ochrony za uciążliwy obowiązek. Każda organizacja musi dopilnować, by jej procesy, szkolenia i kultura organizacyjna były ukierunkowane na dostrzeganie i szanowanie wartości posiadanych danych. Powinna również wyznaczyć osoby odpowiedzialne za kwestie związane z ochroną danych: inspektora ochrony danych (data protection officer — DPO), współpracującego z dyrektorem ds. bezpieczeństwa informacji (chief information security officer — CISO).
Jednakże zadanie określenia tego, jaki powinien być odpowiedni poziom ochrony danych, nie należy wyłącznie do odpowiedzialnych i przyszłościowo myślących przedsiębiorstw. Coraz częściej formułowaniem i egzekwowaniem tych standardów zajmują się rządy i ustawodawcy.
Ogólne rozporządzenie UE o ochronie danych (GDPR), wchodzące w życie w maju 2018r., to najnowsza regulacja określająca, w jaki sposób organizacje powinny przetwarzać i wykorzystywać dane, a w szczególności dane konsumentów. Mimo że jest to rozporządzenie UE, jego konsekwencje odczują wszystkie przedsiębiorstwa prowadzące działalność w Unii Europejskiej. Firmy, które nie spełnią wymogów GDPR, będą narażone na wysokie kary finansowe wynoszące do 4% ich globalnych obrotów, więc można by się spodziewać, że wszyscy będą się starali je spełnić. Gartner przewiduje jednak, że 50% firm znacznie przekroczy termin spełnienia wymogów GDPR.
Mimo że zachowanie zgodności z konkretnymi przepisami może być uciążliwe, szersza potrzeba ciągłego aktualizowania i doskonalenia dotychczasowych środków zapewniających bezpieczeństwo i zgodność z przepisami powinny być wbudowane w procedury pracy każdego przedsiębiorstwa, które przetwarza wartościowe dane. Firmy powinny sprawdzać, czy wystarczająco chronią swoje dane, niezależnie od tego, czy pojawiają się nowe regulacje.
Jak przedsiębiorstwa podchodzą do tego zadania? Kluczowe elementy GDPR to ocena, zapobieganie i wykrywanie. Są to użyteczne, aczkolwiek dość ogólnie sformułowane punkty wyjścia dla każdego przedsiębiorstwa, któremu zależy na ochronie posiadanych danych, traktowaniu ich w sposób odpowiedzialny i z szacunkiem.
Ocena: Ocena to kwestia kluczowa. Wiele organizacji rozwijało się w sposób niezorganizowany — poszczególne działy pracowały niezależnie od siebie i wprowadzały swoje własne aplikacje i procesy. Ponadto z biegiem lat niektórzy pracownicy nauczyli się omijać zasady i regulaminy. W wyniku tego pracują w sposób, który ma sens dla nich, ale jest szkodliwy dla ochrony danych i zachowania zgodności. Aby przedsiębiorstwa były w stanie rozwiązać problemy, muszą najpierw je dokładnie zidentyfikować.
Zapobieganie: Kiedy przedsiębiorstwa dowiedzą się już, gdzie znajdują się ich dane i w jaki sposób są one wykorzystywane, muszą ustanowić i egzekwować reguły oraz wdrożyć sprawne środki ochrony, które zapobiegają nieuprawnionym działaniom. Obejmuje to ochronę danych przed przypadkowymi i intencjonalnymi zagrożeniami z zewnątrz i wewnątrz organizacji. Następnym krokiem jest podjęcie odpowiednich działań uniemożliwiających wykorzystanie danych wrażliwych osobom z zewnątrz lub osobom bez odpowiednich uprawnień. Skuteczne metody osiągnięcia tego celu to m.in. szyfrowanie, tokenizacja, maskowanie danych, anonimizacja i zaawansowana kontrola dostępu. Przedsiębiorstwa powinny również dokonać przeglądu wykorzystywanych danych, aby określić, jakie mechanizmy kontrolne są najlepiej dopasowane do konkretnej sytuacji.
Wykrywanie: Czujność to kluczowy element najlepszych procedur w zakresie zgodności i bezpieczeństwa. Automatyzacja może odegrać znaczną rolę w wykrywaniu podejrzanych zachowań i wdrażaniu działań obronnych na podstawie ustalonych kryteriów zagrożeń. Systemy muszą przeprowadzać inteligentne oceny określające kto, kiedy i dlaczego uzyskuje dostęp do informacji, oraz w oparciu o predefiniowane kryteria zagrożeń podejmować odpowiednie działania, takie jak zablokowanie użytkownika, zanim będzie w stanie uzyskać dostęp do danych wrażliwych, przenieść je lub je wykorzystać.
Terminy takie jak wejście w życie GDPR to dobra motywacja dla przedsiębiorstw. Jednak mimo iż regulacje mogą się wydawać uciążliwe, przedsiębiorstwa powinny traktować swoje dane jako cenny zasób i zabezpieczać je niezależnie od zachęt regulacyjnych. Aby osiągnąć sukces w gospodarce opartej na danych, w której wiedza to niewątpliwie potęga, przedsiębiorstwa powinny kochać swoje dane tak mocno, aby chronić je za wszelką cenę. Jeśli tego dokonają, będą mieć pewność siebie i możliwości potrzebne do wykorzystania pełnego potencjału tych danych. Ponieważ zgodność z przepisami to jedynie punkt wyjścia na drodze do cyfrowego sukcesu, a nie cel sam w sobie.
W gospodarce opartej na danych zgodność z przepisami to konieczność, nie czynnik decydujący o sukcesie przedsiębiorstwa. Czynnikiem, który pozwoli przedsiębiorstwom naprawdę wyróżnić się na rynku — i jeszcze bardziej pokochać swoje dane — będzie natomiast to, w jaki sposób wykorzystają te dane do czerpania cennej wiedzy, tworzenia nowych modeli biznesowych i lepszego dopasowania usług do potrzeb klientów.