Prieskum spoločnosti Trend Micro odhalil, že pätina respondentov nie je pripravená splniť požiadavky GDPR na informovanie o narušení bezpečnosti osobných údajov

Podľa prieskumu spoločnosti Trend Micro zameraného na pripravenosť globálnych organizácií naplniť požiadavky nariadenia Európskej únie o ochrane osobných údajov alebo GDPR majú iba necelé dve tretiny (63 percent) spoločností definované postupy na informovanie zákazníkov o bezpečnostných incidentoch súvisiacich s ich osobnými údajmi. A do zvýšenia IT bezpečnosti ako prostriedku na naplnenie požiadaviek GDPR investovala iba polovica (51 percent) opýtaných organizácií.

Prieskum sa uskutočnil vo vybraných európskych krajinách a v Spojených štátoch amerických a spoločnosť Trend Micro sa v jeho priebehu opýtala viac ako tisícky IT manažérov s rozhodovacími právomocami, ktorí pôsobia v organizáciách s viac ako 500 zamestnancami.

Prieskum ukázal, že investície do bezpečnosti zvýšilo v súvislosti s GDPR len 51 percent organizácií, a to aj napriek skutočnosti, že štvrtina respondentov vníma ako najväčší problém, spojený so zaistením nových povinností, nedostatočnú IT bezpečnosť (25 percent) a neefektívnu ochranu údajov (24 percent).

Jednou z mála technológií, priamo uvádzaných v smernici GDPR, je šifrovanie, je preto zvláštne, že do tejto oblasti investovala iba necelá tretina (31 percent) opýtaných organizácií. Situácia nie je oveľa lepšia ani v prípade prevencie proti únikom údajov (DLP, Data Loss Prevention) alebo pokročilých technológií na detekciu narušenia sieťovej infraštruktúry. Do oboch spomínaných oblastí investovala iba tretina firiem.

Štvrtina respondentov uviedla, že najväčším problémom pri zaistení súladu s nariadením GDPR sú obmedzené zdroje a podrobnejšie vysvetlila aj príčiny, ktoré stoja za nedostatkom investícií.

„Nariadenie GDPR jasne uvádza že organizácie musia v boji s kybernetickými hrozbami používať najmodernejšie technológie a zaistiť bezpečnosť údajov aj systémov,“ povedal Bharat Mistry, hlavný stratég v spoločnosti Trend Micro. „Na zaistenie bezpečnosti celej podnikovej informačnej architektúry – od koncových bodov cez sieťovú infraštruktúru až po hybridné cloudové prostredie – potrebujú firmy hĺbkovú ochranu v kombinácii s multigeneračnými bezpečnostnými nástrojmi a technikami.  Problémom je však to, že IT lídri nemajú na naplnenie týchto požiadaviek dostatok finančných zdrojov alebo nemôžu nájsť tie správne nástroje.“

Okrem nedostatočných investícií v oblasti bezpečnosti prieskum ukázal aj to, že do zvyšovania povedomia zamestnancov o nových povinnostiach investovalo iba 37 percent globálnych organizácií.

Zradných 72 hodín

Podľa prieskumu nie je množstvo mnoho firiem pripravených ani na novú ohlasovaciu povinnosť: o prípadnom narušení bezpečnosti osobných údajov musia informovať v priebehu 72 hodín.

Pätina (21 percent) účastníkov prieskumu konštatovala, že ich organizácia má definovaný formálny postup iba pre nahlásenie incidentu úradom. Podľa článku 34 smernice GDPR je však v prípade narušenia bezpečnosti údajov, ktoré by mohlo viesť k porušeniu osobných práv a slobôd, nutné informovať každú dotknutú osobu.

Žiadny proces, súvisiaci s ohlasovacou povinnosťou, nemá podľa prieskumu približne 6 percent spoločností a 11 percent respondentov nevie, či sú také postupy v ich organizácii definované alebo nie.

Neuspokojivá je aj príprava na ďalší kľúčový prvok nariadenia GDPR – na právo na vymazanie osobných údajov (právo na výmaz). Hoci 77 percent globálnych organizácií uviedlo, že majú na riešenie zákazníckych požiadaviek, týkajúcich sa osobných údajov, vypracované adekvátne postupy, v prípade údajov spracovávaných treťou stranou je situácia podstatne horšia. Približne tretina respondentov nevie, že toto právo sa vzťahuje aj na údaje získané tretími stranami, cloudovými poskytovateľmi a partnermi, prípadne ich organizácia nemá definované zodpovedajúce postupy alebo nevyužíva zodpovedajúce technológie.

Zdroj: Tlačová správa Trend Micro

Značky: