Οι μισές εταιρείες ανέτοιμες για το νέο Γενικό Κανονισμό Προστασίας Δεδομένων

Έρευνες - Μελέτες

24 Ιανουαρίου 2017

Σε αχαρτογράφητα νερά συνεχίζουν να κινούνται πολλές ευρωπαϊκές εταιρείες, όσον αφορά το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης. Ο Κανονισμός  απαιτεί μεγαλύτερη εποπτεία σχετικά με το πού και πώς τα ευαίσθητα δεδομένα - συμπεριλαμβανομένων των προσωπικών, πιστωτικών καρτών, τραπεζικών πληροφοριών και πληροφοριών για την υγεία - αποθηκεύονται και μεταφέρονται, καθώς και πώς η πρόσβαση σε αυτά εποπτεύεται και ελέγχεται από τους οργανισμούς.

Το 31% των εταιρειών ανησυχεί για βλάβη της φήμης της επιχείρησης από την κακή πολιτική χρήσης των δεδομένωνΣύμφωνα, τουλάχιστον, με έρευνα της Veritas Technologies, περισσότερες από τις μισές επιχειρήσεις δεν έχουν ξεκινήσει οποιαδήποτε διεργασία, έστω και ελάχιστης συμμόρφωσης με το GDPR. Τα ευρήματα της έρευνας (The Global Databerg Report) αποκαλύπτουν συγκεκριμένα ότι το 54% των οργανισμών δεν έχει περιέλθει σε ετοιμότητα για συμμόρφωση με το νέο GDPR. 

Σύμφωνα με τη μελέτη, ενώ έχει, ήδη, παρέλθει το ένα τέταρτο της περιόδου χάριτος που έχει καθοριστεί από την Ε.Ε. (σ.σ. μέχρι το Μάιο του 2018 που ο GDPR θα τεθεί σε πλήρη ισχύ), οι απαντήσεις των επιχειρήσεων στις ερωτήσεις της έρευνας φέρνουν στο προσκήνιο μία σειρά από ζητήματα επιχειρησιακής συμμόρφωσης και σχεδιασμού. Να σημειωθεί ότι η έρευνα μελέτησε περισσότερους από 2.500 τεχνολογικούς φορείς λήψης αποφάσεων το 2016 σε Ευρώπη, Μέση Ανατολή, Αφρική, ΗΠΑ, Ασία και Ειρηνικό.

Εκτός από την έλλειψη ετοιμότητας, εντοπίζει και άλλα ζητήματα σχετικά με το ποιος έχει την απόλυτη ευθύνη για την τήρηση και τη συμμόρφωση με τον GDPR. Περίπου το ένα τρίτο ή 32% των ερωτηθέντων απάντησε ότι ο CIO (Chief Information Officer) είναι ο υπεύθυνος για το GDPR, ενώ το 21% θεωρεί υπεύθυνο το CISΟ (Information Security Officer), το 14% τον CEO (Chief Executive Officer) και το 10% το CDO (Chief Data Officer). 

Διαχείριση δεδομένων
Πάντως, η σωστή διαχείριση των δεδομένων κάθε άλλο παρά αδιάφορες αφήνει τις επιχειρήσεις ανά τον κόσμο. Κάτι λιγότερο από το ένα τρίτο, δηλαδή το 31%, ανησυχεί για βλάβη της φήμης της επιχείρησης από την κακή πολιτική χρήσης των δεδομένων, τη στιγμή που περίπου το 40% των ερωτηθέντων δηλώνουν “έντρομοι” σχετικά με τυχόν αποτυχία συμμόρφωσης της εταιρείας τους.

Ο καταμερισμός των δεδομένων και η ελλιπής εποπτεία τους, είναι μεταξύ των μεγαλύτερων προκλήσεων, που αναμένεται να αντιμετωπίσουν οι οργανισμοί, καθιστώντας πιο δύσκολη τη συμμόρφωσή τους με τις απαιτήσεις του GDPR. Όπως προκύπτει από την έρευνα,  ένα ποσοστό 35% δηλώνει ότι αυτή είναι η μεγαλύτερη ανησυχία. Ειδικότερα, η αύξηση πρακτικών, όπως το unmanaged file storage σε cloud ή το file-sharing, εγείρουν φόβους για μελλοντικά ζητήματα συμμόρφωσης. Το ένα τέταρτο των ερωτηθέντων παραδέχθηκε ότι κάνει χρήση υπηρεσιών cloud (όπως τα: Box, Google Drive, Dropbox, EMC Simplicity και Microsoft OneDrive), κατά παράβαση της τρέχουσας πολιτικής της εταιρείας.

Άλλο ένα 25% απάντησε ότι χρησιμοποιεί εξωτερικές, μη εγκεκριμένες υπηρεσίες αποθήκευσης αρχείων, γεγονός που καθιστά ακόμη πιο δύσκολο για τα τμήματα ΙΤ, το να διαχειρίζονται τη χρήση τέτοιων πρακτικών αποθήκευσης με αναγνωρισμένα εργαλεία.

Κίνδυνοι  
Εκτός από τις προκλήσεις αποθήκευσης, οι ερωτηθέντες επισήμαναν και άλλους παράγοντες που αντιλαμβάνονται ως κινδύνους, οι οποίοι θα πρέπει να αντιμετωπιστούν για να επιτευχθεί ασφάλεια και συμμόρφωση με τους κανονισμούς. Περισσότεροι από τους μισούς - το 52% - ανησυχεί για τον κίνδυνο απώλειας επιχειρησιακών δεδομένων, με το 48% να ανησυχεί ιδιαίτερα για τα δεδομένα που χάνονται κατά τη μεταφορά μεταξύ των sites και των εταιρικών συστημάτων. Τέσσερις στους δέκα ερωτηθέντες, επίσης, ανησυχούν για τους εργαζόμενους που κάνουν κακή διαχείριση δεδομένων και ουσιαστικά υπονομεύουν τις προσπάθειες συμμόρφωσης με τον Κανονισμό.

Το δικαίωμα στη λήθη
Σύμφωνα με τον κανονισμό GDPR, οι επιχειρήσεις πρέπει να αναλύουν και να ανταποκρίνονται σε νόμιμα αιτήματα ιδιωτών, που αιτούνται απαλοιφή των προσωπικών δεδομένων τους, όταν δεν είναι πλέον χρήσιμα ή αναγκαία στις εταιρείες. Ωστόσο, ο συνδυασμός του κατακερματισμού δεδομένων και της αποθήκευσης μη-δομημένων δεδομένων στο εσωτερικό των οργανισμών, καθιστά σχεδόν αδύνατο για τις επιχειρήσεις να ανταποκριθούν σε τέτοια αιτήματα. Η έλλειψη πλήρους εποπτείας στα αποκαλούμενα “dark data” και σε δεδομένα που αποθηκεύονται εκτός των εταιρικών υποδομών ΙΤ, περιπλέκει τη συμμόρφωση με τις απαιτήσεις του Κανονισμού και εκθέτει τις επιχειρήσεις σε σημαντικούς οικονομικούς και νομικούς κινδύνους. Αυτές, όσο και άλλες αδυναμίες συμμόρφωσης με το GDPR, θα επιβαρύνουν με σημαντικό οικονομικό κόστος τις επιχειρήσεις. Το μέγιστο πρόστιμο μπορεί να φθάσει έως τα €20 εκατ. ή με το 4% του παγκόσμιου τζίρου του οργανισμού, ανάλογα με το ποιο ποσό είναι μεγαλύτερο.  

ΔΕΚΕΜΒΡΙΟΣ 2020

ΤΕΥΧΟΣ

18

Έρευνα για την παγκόσμια αγορά ΤΠΕ 2020/ 2021