ИТ-директора выделяют миллионы долларов из бюджета, чтобы приспособиться к Общему Регламенту о защите данных, который, начиная с 2018 года, будет требовать от компаний США соответствия строгим правилам о защите данных.
В соответствии с новым исследованием, проведенным PwC, 92% американских транснациональных компаний приводятся в соответствие с надвигающимся Общим Регламентом о защите данных (GDPR) в качестве первоочередной задачи защиты данных. 68% компаний выделили целевое финансирование в размере от $1 до 10 млн на работу по приведению компании в соответствии с GDPR, из них 9% компаний планируют потратить более $10 млн. Об этом говорит Джей Клайн, руководитель по безопасности компании PwC .
Клайн говорит, что проведенный опрос показал, что страх остается самым сильным мотивом для ИТ-директоров, которые «делают соответствующие выводы», наблюдая, как утечки данных ведут к потере доходов, к штрафам со стороны регулирующих органов и к снижению потребительского доверия. «Американские компании видят связь между хорошим обеспечением безопасности данных и увеличением доходов и ростом потребительского доверия», — говорит Клайн, проведший опрос 200 ИТ-директоров и других руководителей.
Кроме катастрофического нарушения данных, нет лучшего повода для американских компаний, работающих в Европе, чтобы укрепить свою кибербезопасность и уровень управления рисками, чем GDPR, который регулирующие органы начнут применять с 25 мая 2018 года в целях обеспечения защиты данных физических лиц в рамках Европейского Союза (ЕС). Компании, не соответствующие правилам GDPR, столкнутся с 4% штрафом, рассчитываемым на основе их глобальных доходов. Размер такого штрафа может достигать сотен миллионов долларов.
Соблюдение GDPR является довольно сложной задачей
Бремя, возлагаемое Регламентом, является чрезмерным даже для транснациональных корпораций США, обладающих значительными ресурсами. GDPR предусматривает , что компании будут поддерживать адекватные записи данных; уведомлять регулирующие органы в случае нарушения данных; обеспечивать клиентам право на уничтожение личных данных или забрать свои данные с собой при уходе из той или иной компании. В некоторых случаях, например, когда обработка данных осуществляется государственным органом, GDPR требует, чтобы был назначен специальный сотрудник по защите данных .
«Столкнувшись с подобными требованиями, многие предприятия пытаются перестроить свои механизмы защиты данных и настроить процессы оценки рисков для соответствия требованиям конфиденциальности и безопасности», — говорит Барт Виллемсен, аналитик Gartner, который за последние месяцы обработал сотни клиентских запросов относительно GDPR. Компании также мучаются над тем, как учредить предотвращение нарушений, обнаружение, проведение экспертизы, работу по восстановлению и осуществление уведомлений в случае утечки данных, как того требует GDPR. Компании также сталкиваются с правовым и техническим аспектом определения местонахождения данных.
«Трансграничные переводы и применяемые механизмы вызывают озабоченность и требуют принятия мер как юридическими отделами, так и отделами, отвечающими за информационную безопасность. Это затрагивает и процесс выбора поставщика, и процесс закупок», — говорит Виллемсен.
Директора по информационной безопасности обращаются к шифрованию, токенизации и технологиям, позволяющим псевдоминизацию, в том числе большого объема аналитических данных, интернета вещей и блокчейна. Кроме того, ИТ-директора должны гарантировать, что их поставщики облачных услуг и другие партнеры также придерживаются требований GDPR.
Обязательные договоры и типовые положения
Соблюдения Общего Регламента о защите данных (GDPR) выходит за рамки технических и процессуальных возможностей. Многие компании стремятся заключать специальные договоры с целью убедить регулирующие органы и защитить себя. Так называемые типовые положения, договоры, заключенные между компаниями и поставщиками технологий с целью обеспечения соблюдения определенных стандартов защиты данных, применяются 58% из всех опрошенных.
Но Клайн также говорит, что 75% опрошенных стремятся адаптировать корпоративные правила, чтобы они соответствовали требованиям ЕС. Это позволит им получить одобрение регулирующих органов для своей программы обеспечения конфиденциальности данных, политики и всех процессов. «Это позволяет компании передавать европейские данные по всему миру», — говорит Клайн. «Это более высокая планка для достижения, но она также и более гибкая в долгосрочной перспективе».
Виллмсен говорит, что типовые положения и обязательные корпоративные правила работают лучше всего, когда реализуются вместе. «BCR кажутся явным фаворитом властей ЕС о защите данных, хотя я до сих пор наблюдаю, как организации возвращаются к принятию стандартных договорных положений (или «типовых положений ЕС»). Некоторые используют их в дополнение к BCR, и я думаю, что это отличный вариант».
Несмотря на предварительное уведомление (ЕС объявил о введении GDPR еще в 2015 году), некоторые организации до сих пор серьезно отстают от графика.
В то время, как большинство компаний используют бюджет 2016 года с целью оценки упущений в области защиты данных и ставят перед собой цель заполнить эти пробелы в 2017 году, Клайн утверждает, что 23% респондентов еще даже не начали готовиться к соответствию Регламенту, и им будет трудно нагнать упущенное. «Американские транснациональные корпорации, которые еще не предприняли значительных шагов по подготовке к GDPR, уже серьезно отстают от своих коллег», — говорит Клайн.
Это совсем не удивляет Виллемсена, который еще в сентябрьском исследовании написал о том, что 50% компаний, пострадавших от введения Регламента, составят те, которые не будут полностью соответствовать его требованиям к концу 2018. Однако вместо того, чтобы потратить большую часть своего бюджета на следующий год на соответствие требованиям Регламента о защите данных, компании должны внести в бюджет постоянную статью расходов на соблюдение требований о защите конфиденциальности.
«Это этичный способ ведения бизнеса», — говорит Виллмсен. «Хороший уровень защиты конфиденциальности должен быть фокусом вашей работы, демонстрирующим ее ценность как для клиентов, так и для коллег. Точно так же, как и в случае с безопасностью, если вы сделаете все правильно, соблюдение требований относительно конфиденциальности данных содействует ведению бизнеса, а не служит камнем преткновения для тех, кто высоко ценит доверие клиентов».
U.S. companies spending millions to satisfy Europe’s GDPR
Другие записи
© editor for Царев Евгений, 2017. | Permalink | No comment
Feed enhanced by Better Feed from Ozh