بسیاری از سازمان‌ها در مهلت مقرر موفق به سازگار شدن با مقررات عمومی حفاظت از داده‌ها نشده‌اند و بسیاری دیگر نیز فکر می‌کنند مشمول این مقررات نمی‌شوند، اما متغیرهای زیادی در این مقررات لحاظ شده است و سازمان‌های بسیاری را درگیر خواهد کرد.


مقررات عمومی حفاظت از داده‌ها (GDPR) در اتحادیه اروپا در ماه می به اجرا درآمدند و همه سازمان‌هایی که با داده‌های شهروندان اتحادیه اروپا کار می‌کنند، ملزم به رعایت مقررات مربوط به جمع‌آوری و استفاده از اطلاعات شخصی شدند. با این حال، بسیاری از سازمان‌ها احتمالاً در مهلت مقرر موفق به سازگار شدن با این مقررات نشده‌اند و بسیاری از کارکنان سازمان‌ها نیز هنوز از سیاست‌های لازم برای حفظ امنیت داده‌ها مطلع نیستند.
دیو ریکارد، مدیر فنی شرکت امنیتی CIPHER، عنوان داشت: «حفظ حریم خصوصی داده‌ها، موضوع اصلی در اجرای GDPR است. بسیاری از سازمان‌ها فکر می‌کنند مشمول این مقررات نمی‌شوند، اما متغیرهای زیادی در این مقررات لحاظ شده است و سازمان‌های بسیاری را درگیر خواهد کرد». به عنوان مثال، یکی از خرده‌فروشان آنلاینی که ریکارد با وی کار می‌کند مشتریان زیادی از اتحادیه اروپا دارد، اما نمی‌تواند موقعیت جغرافیایی آن‌ها را از طریق وب‌سایت خود پیدا کند. بعضی دیگر از شرکت‌ها با شهروندان اتحادیه اروپا کار نمی‌کنند، اما تجهیزات ذخیره و پردازش داده‌هایشان در اروپا است و بدین طریق مشمول GDPR می‌شوند.
به گفته ریکارد، GDPR احتمالاً بر سیاست‌های حفظ حریم خصوصی داده‌ها در سایر کشورها نیز تأثیر خواهد گذاشت؛ و تفاوت‌های فرهنگی، به ویژه بین اتحادیه اروپا و آمریکا، ممکن است این کار را دشوار کند. وی گفت: «در اتحادیه اروپا مردم به این مسئله خیلی اهمیت می‌دهند که نام من، شماره تأمین اجتماعی من، اطلاعات گذرنامه من، و هر اطلاعات شخصی دیگری که درباره من است، به من تعلق دارد و بخشی از فردیت من است. در حالی که در آمریکای شمالی، مردم چنین دیدگاهی ندارند و از نظر آن‌ها اطلاعات یعنی پول. مدل‌های کسب‌وکاری زیادی بر اساس همین دیدگاه به وجود آمده‌اند که داده‌ها به منزله پول هستند».
اکثر سازمان‌هایی که باید از GDPR پیروی کنند هنوز این کار را انجام نداده‌اند. میزان پیروی سازمان‌ها از این مقررات هم‌اکنون تنها در حدود ۳۵ یا ۴۰ درصد است. بسیاری از سازمان‌ها منتظرند تا ببینند چه اتفاقی می‌افتد و بعد تصمیم بگیرند. ریکارد افزود: «اکثر سازمان‌ها به شرکت‌های بزرگی نظیر فیسبوک، گوگل و آمازون چشم دوخته‌اند تا ببینند چه اتفاقی برای آنان می‌افتد. فکر می‌کنم مقررات جدید ابتدا روی آن‌ها اعمال خواهد شد. بنابراین سازمان‌ها منتظر می‌مانند تا ببینند آیا جریمه‌های واقعی GDPR به همان نحوی که اعلام شده است اجرا خواهد شد یا خیر». سازمان‌هایی که از GDPR پیروی نکنند، چهار درصد از گردش مالی جهانی خود یا مبلغ ۲۰ میلیون یورو (هر کدام که بیشتر باشد) را به عنوان جریمه پرداخت خواهند کرد. در ادامه به معرفی پنج نوع سیاست می‌پردازیم که سازمان‌ها باید آن‌ها را اجرا کنند و اطمینان یابند که کارکنانشان آموزش‌های لازم را در مورد GDPR دیده‌اند.

۱. سیاست‌های رمزگذاری
به گفته ریکارد، اکثر سازمان‌ها سیاستی برای رمزگذاری داده‌ها ندارند. بسیاری از افرادی که صاحب داده‌ها هستند، نمی‌دانند که آیا داده‌هایشان هنگام بایگانی، رمزگذاری می‌شوند یا خیر. GDPR تأکید زیادی بر رمزگذاری داده‌ها در حالت بایگانی دارد.

۲. سیاست‌های استفاده مطلوب
سیاست استفاده مطلوب باید این موارد را پوشش دهد که چه برنامه‌های کاربردی خاصی مجاز هستند، کدام رفتارها و عادت‌ها هنگام جستجوی وب و در رسانه‌های اجتماعی برای کسب‌وکار قابل‌قبول است و تهدیدات بالقوه برای شهرت و اعتبار برند چیست.

۳. سیاست‌های گذرواژه
گذرواژه‌ها همچنان مسیر ورود دیجیتال رایجی برای ورود هکرها به سازمان هستند. حتی اگر در بهترین حالت، کارکنان از گذرواژه‌های پیچیده استفاده کنند و مرتباً آن‌ها را تغییر دهند و با کسی به اشتراک نگذارند، خطاهای انسانی و بی‌دقتی باز هم می‌تواند کسب‌وکار را در معرض مخاطره قرار دهد. ریکارد در این رابطه گفت: «یکی از ساده‌ترین راه‌ها برای رخنه به سازمان، گماشتن کسی در بین سرایدارها است تا برود و به میز کار کارکنان نگاهی بیندازد. بسیاری از کارکنان گذرواژه‌های خود را روی کاغذ می‌نویسند و به نمایشگر خود می‌چسبانند».

۴. سیاست‌های ایمیل
بخش IT باید سیاستی برای کار با ایمیل داشته باشد که امنیت سیستم‌ها را تقویت کند و بتواند اسپم‌ها و ویروس‌ها را شناسایی نماید. به توصیه ریکارد، نوع اطلاعاتی که می‌توان آن‌ها را از طریق ایمیل ارسال نمود، باید خیلی واضح مشخص شود.
۵. سیاست‌های پردازش داده‌ها
به گفته ریکارد، سازمان‌ها باید جریان پردازش اطلاعات را شناسایی کنند تا ببینند چه اطلاعاتی جمع‌آوری می‌شوند، چگونه پردازش می‌گردند و چه کسی نسخه‌های پردازش‌شده را دریافت می‌کند. GDPR تمام این شکاف‌ها را پر می‌کند. آموزش کارکنان، اقدامی ضروری برای تضمین اجرای این سیاست‌ها است. بالا بردن آگاهی کارکنان نسبت به چشم‌انداز تهدیدات و آسیب‌پذیری‌های رایج می‌تواند به مقابله با خطاهای انسانی کمک کند. افزایش آگاهی امنیتی و آموزش، شالوده تمامی برنامه‌های امنیتی است.

5 data protection policies your employees must know in the post-GDPR era
Here are the policies that businesses must have in place to remain GDPR compliant, and meet best practices for data privacy.
By Alison DeNisco Rayome | July 4, 2018, 6:00 AM PST
The EU's General Data Protection Regulation (GDPR) went into effect in May, requiring all organizations that handle the data of EU citizens to comply with its provisions regarding collecting and using personal data. However, a majority of companies likely missed the compliance deadline, and many employees remain unaware of the policies needed to keep data safe.
"Data privacy is a hot topic with GDPR going into effect," said Dave Rickard, technical director at CIPHER Security. "An awful lot of companies may not think they have exposure to it, but there are lots of variables in that."
For example, one online retailer Rickard works with has many customers from the EU, but can't geolocate them from the website. Others don't work with EU citizens, but have data processing and storage facilities there, which are also subject to GDPR.
SEE: EU General Data Protection Regulation (GDPR) policy (Tech Pro Research)
GDPR will likely influence data privacy policies in other countries, Rickard said. However, cultural differences, particularly between the EU and US, may make this difficult.
"In the EU people are very centered on the perspective that 'My name, my social security number, my passport information, everything that is PII about me, belongs to me. It's part of my individuality,'" he said. "Whereas in North America, people have long since taken the perspective instead that data is currency. There are so many business models that are built on it. Data is money."
The majority of companies that need to be compliant with GDPR are not yet, Rickard said. "I'd say compliance right now is only at about 35% or 40% at the most," he said. "I think a lot of people are taking a wait and see approach."
Some of the bigger players like Facebook, Google, and Amazon are going to be the canaries in the coal mine, Rickard said. "I think that they'll have actions taken on them first, and people are going to wait and see if the actual GDPR penalties play out the way that they've been published."
Companies that fail to comply with GDPR will face a penalty of either 4% of their global revenue or €20 million, whichever is greater.
Here are five types of policies that companies must ensure they have in place and have trained employees on in the age of GDPR, according to Rickard.
1. Encryption policies
Most companies lack policies around data encryption, Rickard said. "Most people who are data owners are unaware of whether their data is encrypted at rest or not," he added. "GDPR is big on encryption at rest."
SEE: Encryption policy (Tech Pro Research)
2. Acceptable use policies
An acceptable use policy should covers things like what applications are allowed, what web searching and social media habits are appropriate for the business, and the potential threats to brand reputation, Rickard said.
3. Password policies
Passwords remain a common digital entry point into an organization for hackers. Even if, in the best case scenario, employees use complex passwords that are changed often and not shared, human error and carelessness can still put a business at risk. "One of the easiest ways to breach a company is to put somebody on the janitorial staff and go looking at desks," Rickard said. "People often have Post-it notes on monitors with passwords on them."
4. Email policies
IT should have an email policy in place that hardens systems and can detect spam and viruses, Rickard said. "The kind of information that can be disclosed via email should be spelled out very clearly," he added.
5. Data processing policies
Companies need to do data process flow mapping to see what data is being collected, how it's being processed, and who is receiving processed copies, Rickard said. "GDPR closes all those gaps," he added.
Employee training is paramount for ensuring these policies are enforced, Rickard said. Raising awareness of the threat landscape and common vulnerabilities can help counteract human error.
"Security awareness and training is the cornerstone of any security program," he added.
For tips on how to best train employees on cybersecurity practices, click here.


منبع: techrepublic.com | تاریخ خبر:۴ جولای ۲۰۱۸- ۱۳ تیر ۱۳۹۷