Σχέδιο Αντιμετώπισης Περιστατικών Παραβίασης Δεδομένων

1. Εισαγωγή

Η προστασία των δεδομένων και ιδιαίτερα των προσωπικών δε-δομένων σε έναν οργανισμό αναδεικνύεται σε μια σημαντική, οργανωμένη και επιμελή καθημερινή δραστηριότητα. Τα δεδο-μένα αποτελούν ίσως το πλέον σημαντικό κεφάλαιο για κάθε εταιρία και θα πρέπει να συλλέγονται, επεξεργάζονται, διακινού-νται, φυλάσσονται, προστατεύονται με την εφαρμογή των κατάλ-ληλων πρακτικών, διαδικασιών, πολιτικών και εργαλείων.

Έχοντας ως στόχο την αντιμετώπιση των δυσμενέστερων σενα-ρίων, η δημιουργία και εφαρμογή ενός Σχεδίου Αντιμετώπισης Περιστατικών Παραβίασης Δεδομένων (Incident Response Plan) αποτελεί μία από τις προϋποθέσεις συμμόρφωσης με το νέο Γενι-κό Κανονισμού Προστασίας Δεδομένων (GDPR), καθότι συνδέε-ται άμεσα με τις απαιτήσεις του κανονισμού. Ο Νέος Γενικός Κανονισμός συνοπτικά απαιτεί από τις εταιρίες:

• να έχουν εκπαιδεύσει κατάλληλα το προσωπικό τους,

• να ενσωματώσουν στις διαδικασίες τους τα δικαιώματα των υποκειμένων των δεδομένων,

• να έχουν τα κατάλληλα μέτρα ασφαλείας και τις αναγκαίες πο-λιτικές για την προστασία των πληροφοριών,

• να έχουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα που θα διασφαλίζουν τη διαθεσιμότητα της Πληροφορίας (Σχέδιο Επι-χειρησιακής Συνέχειας),

• να κάνουν αναλύσεις των επιπτώσεων που μπορούν να προ-κύψουν λόγω παραβίασης ιδιωτικότητας (Privacy Impact Assessment),

• να σχεδιάζουν προϊόντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας (Privacy by Design, Privacy by Default),

• να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων

• να έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer),

• να έχουν σχέδιο αντιμετώπισης περιστατικών παραβίασης συ-στημάτων και απώλειας δεδομένων (Incident Response Plan).

Στη συνέχεια θα παρουσιάσουμε τον τρόπο δημιουργίας και εφαρμογής ενός Σχεδίου Αντιμετώπισης Περιστατικών Παραβία-σης Δεδομένων (Incident Response Plan), που βασίζεται σε εμπει-ρίες εταιριών από όλον τον κόσμο.

Έτσι, μπορείτε να έχετε την άποψη της εσωτερικής εμπειρίας αντι-μετώπισης περιστατικών, που θα σας δώσει τις βασικές κατευ-θύνσεις να δημιουργήσετε ένα Incident Response Plan, την ομά-δα που χρειάζεστε, τα εργαλεία και την εκπαίδευση που απαιτεί-ται γι’ αυτόν τον σκοπό.

2. Οι κυριότερες συνέπειες μιας παραβίασης & η αναγκαιότητα ενός Incident Response Plan

Οι συνέπειες μιας παραβίασης συνοψίζονται παρακάτω:

• Αδυναμία πρόσβασης σε σημαντικά & κρίσιμα δεδομένα.

• Μεγάλο πλήγμα στη φήμη και το όνομα της εταιρίας.

• Πιθανή Απώλεια Πελατών & Επιδείνωση του Δείκτη Ικανοποί-ησης Πελατών.

• Προσωρινή αδυναμία εκτέλεσης συναλλαγών.

• Προβλήματα με την πιστοληπτική αξιολόγηση (Credit Rating).

• Ανάγκη για περισσότερο προσωπικό καθώς και μεγαλύτερες ανάγκες εκπαίδευσης.

• Αύξηση ασφαλίστρων από τις ασφαλιστικές εταιρίες.

• Πρόστιμα & αποζημιώσεις.

Είναι προφανές ότι η αντιμετώπισή τους είναι σύνθετη, πολύπλο-κη, απαιτεί πολλούς & ποικίλους πόρους και δημιουργεί έκτακτα (και πολλές φορές δυσβάστακτα) κόστη.

Η ύπαρξη Σχεδίου Αντιμετώπισης Παραβιάσεων μπορεί να:

• αποτρέψει περαιτέρω απώλεια δεδομένων,

• περιορίσει (ή αποτρέψει) δυσμενείς αναφορές & φήμες για την αξιοπιστία και το όνομα της εταιρίας,

• αποτρέψει (ή περιορίσει) πρόστιμα και αποζημιώσεις,

Η θέση ενός Incident Response Plan δεν είναι στο ράφι κάποιας βιβλιοθήκης. Είναι ένα δυναμικό εργαλείο που βοηθά στην πρό-ληψη, την αντιμετώπιση και τη βελτίωση διαδικασιών και συστη-μάτων σχετικά με την αντιμετώπιση περιστατικών παραβίασης.

Το Incident Response Plan αφορά το σύνολο της εταίρας και δεν είναι ευθύνη μόνο κάποιων επιμέρους τμημάτων. Γι’ αυτό η δέ-σμευση και η υποστήριξη της ανώτατης διοίκησης είναι απαραί-τητη προϋπόθεση.

3. Η Προσέγγιση δημιουργίας του Σχεδίου Αντιμετώπισης Περιστατικών Παραβίασης

1. Εισαγωγή

Λ. Κηφισίας 362, 152 33, Χαλάνδρι

Ευχαριστούμε για την εγγραφή!

RBL @ Social Media

Χρήσιμες πληροφορίες