Ochrona danych: ryzyka i bezpieczeństwo

Po wejściu w życie ogólnego rozporządzenia o ochronie danych (RODO) oraz kalifornijskiej ustawy o ochronie prywatności (CCPA) na popularności zyskała kontrola praktyk w zakresie bezpieczeństwa i prywatności. Zwłaszcza wśród firm technologicznych. CCPA umożliwia konsumentom pozywanie firm za brak ochrony ich danych osobowych.

Amerykańska Federalna Komisja Handlu (FTC) ma możliwość wytaczania powództw z tytułu nieuczciwych lub wprowadzających w błąd praktyk w zakresie bezpieczeństwa. Dlatego też tak istotne jest, by osoby odpowiedzialne za tę sferę łączyły ryzyka z agendą bezpieczeństwa.

Bezpieczeństwo w codziennym użytku

Federalna Komisja Handlu identyfikuje jako brak adekwatnego zabezpieczenia nieprzeprowadzenie testów bezpieczeństwa mających na celu identyfikację luk oraz niepodejmowanie kroków zmierzających do ochrony danych osobowych.

Do zaleceń sformułowanych przez FTC należą m.in. wdrożenie polityki bezpieczeństwa informacji w formie pisemnej, przeprowadzenie szkoleń pracowniczych, stosowanie środków bezpieczeństwa służących monitorowaniu systemów oraz zasobów oraz wdrożenie kontroli dostępu do danych adekwatnie do ich wrażliwości.

Osoby odpowiedzialne za bezpieczeństwo informacji, np. CISO (Chief information security oficer) mogą zrealizować te wytyczne poprzez dostosowanie praktyk bezpieczeństwa firmy do standardów branżowych takich jak NIST.

Rozpoznaj ryzyka związane z udostępnianiem danych osobom trzecim

Istotnym problemem wynikającym z przepisów dotyczących ochrony danych osobowych jest udostępnianie danych stronom trzecim. Przez wzgląd na powyższe, ważne jest by udzielić CISO wskazówek dotyczących identyfikacji potencjalnych zagrożeń oraz połączenia ich z agendą bezpieczeństwa.

Podsumowanie

CISO muszą zwrócić uwagę na szereg obowiązków dotyczących ochrony danych osobowych w trakcie tworzenia programu bezpieczeństwa. Kluczem do jego zbudowania jest zrozumienie, na czym polega rozsądny poziom bezpieczeństwa. Umożliwi on ograniczenie ryzyk związanych z ochroną danych osobowych.

Źródło:

https://iapp.org/news/a/the-road-to-reasonable-security-what-cisos-should-know/