1. Εισαγωγή
Η προστασία των δεδομένων και ιδιαίτερα των προσωπικών δε-δομένων σε έναν οργανισμό αναδεικνύεται σε μια σημαντική, οργανωμένη και επιμελή καθημερινή δραστηριότητα. Τα δεδο-μένα αποτελούν ίσως το πλέον σημαντικό κεφάλαιο για κάθε εταιρία και θα πρέπει να συλλέγονται, επεξεργάζονται, διακινού-νται, φυλάσσονται, προστατεύονται με την εφαρμογή των κατάλ-ληλων πρακτικών, διαδικασιών, πολιτικών και εργαλείων.
Έχοντας ως στόχο την αντιμετώπιση των δυσμενέστερων σενα-ρίων, η δημιουργία και εφαρμογή ενός Σχεδίου Αντιμετώπισης Περιστατικών Παραβίασης Δεδομένων (Incident Response Plan) αποτελεί μία από τις προϋποθέσεις συμμόρφωσης με το νέο Γενι-κό Κανονισμού Προστασίας Δεδομένων (GDPR), καθότι συνδέε-ται άμεσα με τις απαιτήσεις του κανονισμού. Ο Νέος Γενικός Κανονισμός συνοπτικά απαιτεί από τις εταιρίες:
• να έχουν εκπαιδεύσει κατάλληλα το προσωπικό τους,
• να ενσωματώσουν στις διαδικασίες τους τα δικαιώματα των υποκειμένων των δεδομένων,
• να έχουν τα κατάλληλα μέτρα ασφαλείας και τις αναγκαίες πο-λιτικές για την προστασία των πληροφοριών,
• να έχουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα που θα διασφαλίζουν τη διαθεσιμότητα της Πληροφορίας (Σχέδιο Επι-χειρησιακής Συνέχειας),
• να κάνουν αναλύσεις των επιπτώσεων που μπορούν να προ-κύψουν λόγω παραβίασης ιδιωτικότητας (Privacy Impact Assessment),
• να σχεδιάζουν προϊόντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας (Privacy by Design, Privacy by Default),
• να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων
• να έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer),
• να έχουν σχέδιο αντιμετώπισης περιστατικών παραβίασης συ-στημάτων και απώλειας δεδομένων (Incident Response Plan).
Στη συνέχεια θα παρουσιάσουμε τον τρόπο δημιουργίας και εφαρμογής ενός Σχεδίου Αντιμετώπισης Περιστατικών Παραβία-σης Δεδομένων (Incident Response Plan), που βασίζεται σε εμπει-ρίες εταιριών από όλον τον κόσμο.
Έτσι, μπορείτε να έχετε την άποψη της εσωτερικής εμπειρίας αντι-μετώπισης περιστατικών, που θα σας δώσει τις βασικές κατευ-θύνσεις να δημιουργήσετε ένα Incident Response Plan, την ομά-δα που χρειάζεστε, τα εργαλεία και την εκπαίδευση που απαιτεί-ται γι’ αυτόν τον σκοπό.
2. Οι κυριότερες συνέπειες μιας παραβίασης & η αναγκαιότητα ενός Incident Response Plan
Οι συνέπειες μιας παραβίασης συνοψίζονται παρακάτω:
• Αδυναμία πρόσβασης σε σημαντικά & κρίσιμα δεδομένα.
• Μεγάλο πλήγμα στη φήμη και το όνομα της εταιρίας.
• Πιθανή Απώλεια Πελατών & Επιδείνωση του Δείκτη Ικανοποί-ησης Πελατών.
• Προσωρινή αδυναμία εκτέλεσης συναλλαγών.
• Προβλήματα με την πιστοληπτική αξιολόγηση (Credit Rating).
• Ανάγκη για περισσότερο προσωπικό καθώς και μεγαλύτερες ανάγκες εκπαίδευσης.
• Αύξηση ασφαλίστρων από τις ασφαλιστικές εταιρίες.
• Πρόστιμα & αποζημιώσεις.
Είναι προφανές ότι η αντιμετώπισή τους είναι σύνθετη, πολύπλο-κη, απαιτεί πολλούς & ποικίλους πόρους και δημιουργεί έκτακτα (και πολλές φορές δυσβάστακτα) κόστη.
Η ύπαρξη Σχεδίου Αντιμετώπισης Παραβιάσεων μπορεί να:
• αποτρέψει περαιτέρω απώλεια δεδομένων,
• περιορίσει (ή αποτρέψει) δυσμενείς αναφορές & φήμες για την αξιοπιστία και το όνομα της εταιρίας,
• αποτρέψει (ή περιορίσει) πρόστιμα και αποζημιώσεις,
Η θέση ενός Incident Response Plan δεν είναι στο ράφι κάποιας βιβλιοθήκης. Είναι ένα δυναμικό εργαλείο που βοηθά στην πρό-ληψη, την αντιμετώπιση και τη βελτίωση διαδικασιών και συστη-μάτων σχετικά με την αντιμετώπιση περιστατικών παραβίασης.
Το Incident Response Plan αφορά το σύνολο της εταίρας και δεν είναι ευθύνη μόνο κάποιων επιμέρους τμημάτων. Γι’ αυτό η δέ-σμευση και η υποστήριξη της ανώτατης διοίκησης είναι απαραί-τητη προϋπόθεση.
3. Η Προσέγγιση δημιουργίας του Σχεδίου Αντιμετώπισης Περιστατικών Παραβίασης