Do lepšího zabezpečení kvůli GDPR investovala jen polovina firem
Průzkum se uskutečnil ve vybraných evropských zemích a ve Spojených státech Amerických a společnost Trend Micro se v jeho průběhu zeptala více než tisícovky IT manažerů s rozhodovacími pravomocemi, kteří působí v organizacích s více než 500 zaměstnanci.
Průzkum ukázal, že investice do bezpečnosti zvýšilo v souvislosti s GDPR pouze 51 % organizací, i přes fakt, že čtvrtina respondentů vnímá jako největší problém spojený se zajištěním nových povinností nedostatečnou IT bezpečnost (25 %) a neefektivní ochranu dat (24 %).
Jednou z mála technologií přímo uváděných v nařízení GDPR je šifrování, a je tak s podivem, že do této oblasti investovala pouze necelá třetina (31 %) dotázaných organizací. O mnoho lepší není situace ani v případě prevence proti únikům dat (DLP) nebo pokročilých technologií pro detekci narušení síťové infrastruktury. Do obou investovala pouhá třetina firem.
Čtvrtina respondentů uvedla, že největším problémem pro zajištění souladu s nařízením GDPR jsou omezené zdroje, a blíže vysvětlila i příčiny, které za nedostatkem investic stojí.
„Nařízení GDPR jasně uvádí, že organizace musí v boji s kybernetickými hrozbami používat nejmodernější technologie a zajistit bezpečnost dat i systémů,“ řekl Bharat Mistry, hlavní stratég ve společnosti Trend Micro. „Pro zajištění bezpečnosti celé podnikové informační architektury – od koncových bodů přes síťovou infrastrukturu až po hybridní cloudové prostředí – potřebují firmy hloubkovou ochranu v kombinaci s multigeneračními bezpečnostními nástroji a technikami. Problémem nicméně je, že IT lídři nemají pro naplnění těchto požadavků dostatek finančních zdrojů nebo nemohou nalézt ty správné nástroje.“
Kromě nedostatečných investic v oblasti bezpečnosti průzkum ukázal i to, že do zvyšování povědomí zaměstnanců o nových povinnostech investovalo pouze 37 % globálních organizací.
Zrádných 72 hodin
Dle průzkumu není mnoho firem připraveno ani na novou ohlašovací povinnost: o případném narušení bezpečnosti osobních údajů musí informovat během 72 hodin.
Pětina (21 %) účastníků průzkumu konstatovala, že jejich organizace má definovaný formální postup pouze pro nahlášení incidentu úřadům. Podle článku 34 nařízení GDPR je ale nutné v případě narušení bezpečnosti údajů, které by mohlo vést k porušení osobních práv a svobod, informovat každou dotčenou osobu.
Žádný proces související s ohlašovací povinností nemá dle průzkumu přibližně šest procent firem a 11 % respondentů neví, zda takové postupy jsou v jejich organizaci definované či nikoli.
Nepříliš uspokojivá je i příprava na další klíčový prvek nařízení GDPR – na právo vymazání osobních údajů. Ačkoli 77 % globálních organizací uvedlo, že mají pro řešení zákaznických požadavků týkajících se osobních údajů vypracované adekvátní postupy, v případě dat zpracovávaných třetí stranou je situace mnohem horší. Přibližně třetina respondentů neví, že toto právo se vztahuje i na data sebraná třetími stranami, cloudovými poskytovateli a partnery, případně jejich organizace nemá definované odpovídající postupy nebo nevyužívá odpovídající technologie.