Η Veritas Technologies LLC σε έρευνα που δημοσίευσε πρόσφατα, διαπιστώνει ότι περισσότερες από τις μισές επιχειρήσεις δεν έχουν ξεκινήσει οποιαδήποτε διεργασία, έστω και ελάχιστης συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης.
Αποσκοπώντας στην εναρμόνιση της τήρησης και της ασφάλειας δεδομένων, με το νομοθετικό πλαίσιο σε όλα τα κράτη - μέλη της Ευρωπαϊκής Ένωσης, ο κανονισμός GDPR απαιτεί μεγαλύτερη εποπτεία σχετικά με το πού και πώς τα ευαίσθητα δεδομένα -συμπεριλαμβανομένων των προσωπικών, πιστωτικών καρτών, τραπεζικών πληροφοριών και πληροφοριών για την υγεία- αποθηκεύονται και μεταφέρονται, καθώς και πώς η πρόσβαση σε αυτά εποπτεύεται και ελέγχεται από τους οργανισμούς. Ο κανονισμός GDPR δεν θα επηρεάσει μόνο τις εταιρείες εντός της Ε.Ε. αλλά θα επεκταθεί στις Η.Π.Α. και σε άλλες χώρες, οι οποίες επηρεάζουν κάθε επιχείρηση που δραστηριοποιείται στην περιοχή ή συνδέεται με έναν οργανισμό της Ε.Ε.
Τα ευρήματα της έρευνας από την The Global Databerg Report -η οποία διερεύνησε περισσότερους από 2.500 τεχνολογικούς φορείς λήψης αποφάσεων το 2016 στην Ευρώπη, τη Μέση Ανατολή, την Αφρική, τις Η.Π.Α., την Ασία και την περιοχή του Ειρηνικού- αποκαλύπτουν ότι το 54% των οργανισμών, δεν έχουν περιέλθει σε ετοιμότητα για συμμόρφωση με τον νέο GDPR. Καθώς έχει ήδη παρέλθει το ένα τέταρτο της περιόδου χάριτος που έχει καθοριστεί από την Ε.Ε., μέχρι τον Μάιο του 2018 που ο GDPR θα τεθεί σε πλήρη ισχύ, οι απαντήσεις φέρνουν στο προσκήνιο μία σειρά από ζητήματα επιχειρησιακής συμμόρφωσης και σχεδιασμού και πιο συγκεκριμένα ποιος θα έχει την ευθύνη εφαρμογής των διαδικασιών του GDPR και τη δυνατότητα να εφαρμόσει τις απαιτούμενες πολιτικές εκκαθάρισης δεδομένων. Η Veritas ανέθεσε προς αυτή την κατεύθυνση, τη διεξαγωγή μελέτης στην εταιρεία ερευνών Vanson Bourne, ώστε να διερευνήσει πώς οι οργανισμοί αποθηκεύουν και διαχειρίζονται τα δεδομένα τους, επικεντρώνοντας σε τρέχουσες τάσεις και συμπεριφορές που τροφοδοτούν την σημερινή άνευ προηγουμένου έκρηξη δεδομένων.
Τα ευρήματα της έρευνας αποκάλυψαν την έλλειψη ετοιμότητας για τον κανονισμό GDPR, αλλά και το ποιος έχει την απόλυτη ευθύνη για την τήρησή του και τη συμμόρφωση προς αυτόν. Περίπου το ένα τρίτο ή 32%, των ερωτηθέντων της έρευνας απάντησε ότι ο CIO (Chief Information Officer) είναι ο υπεύθυνος για τον GDPR, σε σύγκριση με το 21% που θεωρεί υπεύθυνο τον CISΟ (Information Security Officer), το 14% που θεωρεί τον CEO (Chief Executive Officer) και το 10% που θεωρεί τον CDO (Chief Data Officer). Σύμφωνα με την έρευνα, οι υπεύθυνοι για την εφαρμογή του νόμου, θα βρεθούν αντιμέτωποι με πολυάριθμους κινδύνους αν δεν υπάρχει σωστή διαχείριση δεδομένων. Κάτι λιγότερο από το ένα τρίτο, δηλαδή το 31% των ερωτηθέντων ανησυχούν για βλάβη της φήμης των επιχειρήσεων τους από την κακή πολιτική χρήσης των δεδομένων, τη στιγμή που περίπου το 40% των ερωτηθέντων δηλώνουν "έντρομοι" σχετικά με τυχόν αποτυχία συμμόρφωσης της επιχείρησής τους.
Τα δεδομένα ως σημεία τριβής
Ο καταμερισμός των δεδομένων και η ελλιπής εποπτεία τους, είναι μεταξύ των μεγαλύτερων προκλήσεων που αναμένεται να αντιμετωπίσουν οι οργανισμοί, καθιστώντας πιο δύσκολη τη συμμόρφωσή τους με τις απαιτήσεις του GDPR. Σημειώνεται πως ένα ποσοστό 35%, δηλώνει ότι αυτή είναι η μεγαλύτερη ανησυχία τους. Ειδικότερα, η αύξηση πρακτικών όπως το unmanaged file storage σε cloud ή το file-sharing, εγείρουν φόβους για μελλοντικά ζητήματα συμμόρφωσης. Το ένα τέταρτο των ερωτηθέντων παραδέχθηκε ότι κάνει χρήση υπηρεσιών cloud (όπως τα: Box, Google Drive, Dropbox, EMC Simplicity και Microsoft OneDrive), κατά παράβαση της τρέχουσας πολιτικής της εταιρείας. Άλλο ένα 25% απάντησε ότι χρησιμοποιεί εξωτερικές, μη εγκεκριμένες υπηρεσίες αποθήκευσης αρχείων, γεγονός που καθιστά ακόμη πιο δύσκολο για τα τμήματα ΙΤ, το να διαχειρίζονται τη χρήση τέτοιων πρακτικών αποθήκευσης με αναγνωρισμένα εργαλεία. Εκτός από τις προκλήσεις αποθήκευσης, οι ερωτηθέντες επισήμαναν και άλλους παράγοντες που αντιλαμβάνονται ως κινδύνους, οι οποίοι θα πρέπει να αντιμετωπιστούν για να επιτευχθεί ασφάλεια και συμμόρφωση με τους κανονισμούς.
Περισσότεροι από τους μισούς, ή το 52% των ερωτηθέντων, ανησυχούν για τον κίνδυνο απώλειας επιχειρησιακών δεδομένων, με το 48% να ανησυχεί ιδιαίτερα για τα δεδομένα που χάνονται κατά τη μεταφορά μεταξύ των sites και των εταιρικών συστημάτων. Τέσσερις στους δέκα ερωτηθέντες επίσης ανησυχούν για τους εργαζόμενους που κάνουν κακή διαχείριση δεδομένων και ουσιαστικά υπονομεύουν τις προσπάθειες συμμόρφωσης με τον Κανονισμό.
Το δικαίωμα στη λήθη
Σύμφωνα με τον κανονισμό GDPR, οι επιχειρήσεις πρέπει να αναλύουν και να ανταποκρίνονται σε νόμιμα αιτήματα ιδιωτών που αιτούνται απαλοιφή των προσωπικών δεδομένων τους, όταν δεν είναι πλέον χρήσιμα ή αναγκαία στις εταιρείες. Ωστόσο, ο συνδυασμός του κατακερματισμού δεδομένων και της αποθήκευσης μη-δομημένων δεδομένων στο εσωτερικό των οργανισμών, καθιστά σχεδόν αδύνατο για τις επιχειρήσεις να ανταποκριθούν σε τέτοια αιτήματα. Η έλλειψη πλήρους εποπτείας στα αποκαλούμενα "dark data" και σε δεδομένα που αποθηκεύονται εκτός των εταιρικών υποδομών ΙΤ, περιπλέκει τη συμμόρφωση με τις απαιτήσεις του Κανονισμού και εκθέτει τις επιχειρήσεις σε σημαντικούς οικονομικούς και νομικούς κινδύνους. Αυτές, όσο και άλλες αδυναμίες συμμόρφωσης με τον GDPR, θα επιβαρύνουν με σημαντικό οικονομικό κόστος τις επιχειρήσεις. Το μέγιστο πρόστιμο μπορεί να φθάσει έως τα 20 εκατομμύρια ευρώ ή με το 4% του παγκόσμιου τζίρου του οργανισμού, ανάλογα με το ποιο ποσό είναι μεγαλύτερο.