Hospodářské noviny: "Frank může být i ve vaší firmě"
Praha, ihned.cz - Máte zmapované veškeré firemní procesy a odpovědnosti zaměstnanců? Máte skutečně zavedenou centrální správu uživatelů a kontrolu přístupů k aplikacím? Pokud je odpověď ano, můžete být v klidu. Vaše data jsou v bezpečí. Nemáte-li procesy ani odpovědnosti zaměstnanců řádně zmapován, nezbývá vám než se pustit co nejdříve do rozdílové GAP analýzy.
Zřejmě jsou už všichni přesyceni novým buzzwordem GDPR. Tlačí ho do nás internet, televize, rádio i noviny. Na druhou stranu jsme uklidňováni, že GDPR není zas tak velký problém, že je to byznys zejména pro konzultantské nebo IT firmy a pokuty se u nás stejně moc nenosí.
Jaká je ale skutečnost?
Znáte Jiřího Franka? Je to člověk, který může být zaměstnancem zrovna ve vaší firmě. Je ukázkovým příkladem interního škodiče. Zaměstnance, který se navenek tváří jako neviňátko, ale ve skutečnosti je to predátor. Jeho cílem je krást a vydělat na tom. Pochopil totiž dnešní dobu. To nejdražší co firmy mají jsou jejich data, know-how, databáze, osobní údaje. Je mu úplně jedno, jaké to bude mít pro firmu důsledky. Jakmile získá co chtěl, obratem to prodá (pokud už dopředu nemá kupce) a z firmy v klidu odejde s poznámkou „chyť mě, když to dokážeš“. Interní uživatel je totiž tím největším nebezpečím všech IT systémů a dat v každé firmě. Statistiky a reálný život nelžou.
Že se to u Vás stát nemůže? Opravdu? Zodpovědnost za ochranu osobních údajů a jejich zpracování je pořád na tom, kdo data drží, resp. je jakýmkoliv způsobem zpracovává. Tedy na vás. A pokuty jako důsledek porušení ochrany osobních údajů jsou tím nejmenším zlem, které vám přitom hrozí. Mnohem horší je pro každou firmu ztráta dobrého jména, ztráta klientů a ztráta vlastního byznysu.
Takže jak jste na tom? Máte zmapovány veškeré firemní procesy a odpovědnosti zaměstnanců? Máte skutečně zavedenu centrální správu uživatelů a kontrolu přístupů k aplikacím? Zavedli jste díky jednoznačné autentizaci a autorizaci každého uživatele princip nepopiratelné odpovědnosti? Jste schopni dokázat uživateli, že v aplikaci provedl nějaký konkrétní úkon? Pokud je odpověď ano, můžete být v klidu. Vaše data jsou v bezpečí.
Horší je situace, pokud nemáte procesy ani odpovědnosti zaměstnanců řádně zmapovány. Účty uživatelů zakládá váš admin na základě pokynu „V pondělí nastupuje nový kolega, založ mu mail a další účty“. Vše bez jakékoliv vazby na autoritativní zdroj dat o uživatelích (typicky HR systém) a bez správně nastaveného systému přidělování uživatelských oprávnění.
Pak vám nezbývá, než se pustit co nejdříve do rozdílové GAP analýzy pro zmapování, kde všude máte osobní údaje, kdo k nim má přístup, na základě jakého oprávnění, kdo je může jakýmkoliv způsobem zpracovávat apod. Bez řádné GAP analýzy nemá smysl se pouštět do jakýchkoliv úprav procesů nebo dokonce informačních systémů. A na GAP analýzu a správu uživatelů jsme opravdu odborníci, klidně se na nás obraťte.
Nebude mít problém ten, kdo k osobním údajům přistupoval zodpovědně již dříve, před GDPR. Takový subjekt či podnikatel může skutečně zůstat v klidu. Skutečný problém budou mít ty subjekty či podnikatelé, kteří neměli a dosud stále nemají přehled, kde všude ve svých procesech (papírových či elektronických) vlastně osobní údaje mají či dokonce je zpracovávají.
Je třeba si uvědomit, že riziko zneužití firemních dat zaměstnanci je v dnešní době jedno z nejvyšších vůbec. Kontrolujte identity uživatelů a jejich přístupová práva. Frank může být i ve Vaší firmě...
Autor: Ing. Martin Řehořek, jednatel NEWPS.CZ
Zdroj: ihned.cz
