Οι επιπτώσεις του GDPR στη διατήρηση αντιγράφων ασφαλείας και το DRP.

17/5/2018
by Andy Koutsogiannopoulos for Backup Experts

Ενώ η 25η Μαΐου 2018 πλησιάζει και οι επιχειρήσεις που εδρεύουν ή δραστηριοποιούνται εντός της Ε.Ε. εναρμονίζονται με τις επιταγές του GDPR, πολλοί είναι εκείνοι οι οποίοι αδιαφορούν προσποιούμενοι πως γι' αυτούς ο κανονισμός δεν υπάρχει. Πάντως από την ανακοίνωσή του το 2012, κάτι που λίγοι γνωρίζουν, η παραπάνω ημερομηνία σηματοδοτεί την έναρξη ισχύος του Κανονισμού για την Γενική Προστασία Δεδομένων (GDPR) ο οποίος θα ισχύσει και για τις ελληνικές επιχειρήσεις.

...οι υπηρεσίες μας, που είναι σε πλήρη εναρμόνιση με τις επιταγές του GDPR, θα σας βοηθήσουν να ανταποκριθείτε επαρκώς στις απαιτήσεις του κανονισμού που αφορούν το DRP. Το GDPR έρχεται να δικαιώσει όλους τους μέχρι σήμερα ισχυρισμούς μας για την ανάγκη ύπαρξης στιβαρού DRP σε κάθε επιχείρηση...

Άραγε την τελευταία 5 ετία πόση προετοιμασία διεξήγατε για να βεβαιωθείτε ότι συμμορφώνεστε με τη θέσπιση του κανονισμού; Με πρόστιμα μαμούθ, το ύψος των οποίων δύναται να αγγίξει αρκετά εκατομμύρια ευρώ, είναι απολύτως βέβαιο ότι το GDPR θα επηρεάσει κάθε επιχείρηση στον κόσμο που διαθέτει Δεδομένα για τους πολίτες της Ε.Ε.

Το GDPR είναι μια ευκαιρία να κάνετε αυτό που θα έπρεπε να είχατε ήδη κάνει: Να βάλετε μια τάξη στο ψηφιακό (ή μη) σας αρχείο.

►Ποια προσωπικά Δεδομένα νομιμοποιείστε να αποθηκεύετε και για ποιο σκοπό
►Πού τα αποθηκεύετε
►Για πόσο καιρό νομιμοποιείστε να τα διατηρείτε
►Πού τα διοχετεύετε & για ποιο σκοπό
►Τη διαγραφή -αν ζητηθεί- από το πρόσωπο που αφορούν
►Την παράδοσή τους -αν ζητηθεί- στο πρόσωπο που αφορούν
►Την διαχείριση της πρόσβασης σε αυτά από τους παραγωγικούς συντελεστές
►Τα μέτρα που έχετε λάβει για να προστατευτείτε από την απώλεια και την κλοπή τους
►Τις "ασκήσεις ετοιμότητας" που διενεργείτε για να ελέγχετε το επίπεδο της ανταποκρισιμότητάς σας απέναντι στο απρόοπτο.

Όλα τα παραπάνω μπορούν να υλοποιούνται μόνο σε ελεγχόμενα περιβάλλοντα, με εκπαιδευμένο προσωπικό και με τεχνική υποδομή ανάλογη των απαιτήσεων. Στο παρόν άρθρο θα εστιάσουμε στις προετοιμασίες που θα πρέπει να έχετε ολοκληρώσει μέχρι την 25η Μαΐου 2018 αναφορικά με τα Αντίγραφα Ασφαλείας Backup και το Disaster Recovery Plan (DRP) που έχετε προδιαγράψει να ακολουθήσετε, αν αυτό κριθεί αναγκαίο.

Σας παραθέτουμε αυτούσια τα γραφόμενα του κανονισμού:

"...the ability to restore the availability and access to personal Data in a timely manner in the event of a physical or technical incident..." (...την ικανότητα έγκαιρης αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε προσωπικά Δεδομένα σε περίπτωση φυσικού ή τεχνικού συμβάντος...)

"...a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing..." (...διαδικασία τακτικού ελέγχου για την αξιολόγηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων που διασφαλίζουν την ασφάλειας της επεξεργασίας...)

Η "ΑΣΦΑΛΕΙΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ"

Το GDPR πρώτον, θεωρεί τις ίδιες τις επιχειρήσεις υπεύθυνες για την ικανότητά τους να ανακτούν χαμένα προσωπικά Δεδομένα που κατέχουν και δεύτερον, θεωρεί ότι οι τελευταίες οφείλουν να διενεργούν τακτικούς ελέγχους αναφορικά με τις στρατηγικές των αντιγράφων ασφαλείας που ακολουθούν, προκειμένου για την ακεραιότητα και την αποτελεσματικότητά τους.

Διαφορετικά, η επιχείρησή σας μπορεί να βρεθεί αντιμέτωπη με βαριά πρόστιμα επειδή δεν προστατεύει τα Δεδομένα που κατέχει. Αυτή είναι η σκληρή πραγματικότητα στην οποία ζούμε και τώρα βλέπουμε ολοένα και περισσότερες επιχειρήσεις να πέφτουν θύματα εξελιγμένων επιθέσεων ransomware και επιθέσεων στον κυβερνοχώρο, επειδή δεν διαθέτουν τις απαραίτητες λύσεις δημιουργίας Backup αντιγράφων ασφαλείας και αποκατάστασης καταστροφών.

Η συμμόρφωση με τις επιταγές του κανονισμού δεν αφορά μόνο το IT και το Νομικό τμήμα. Αντίθετα επεκτείνεται σε όλους τους υπαλλήλους της εταιρείας. Όλοι οφείλουν να εκπαιδευτούν για τον τρόπο διαχείρισης των προσωπικών δεδομένων. Μάλιστα, αν η εταιρεία διαθέτει αρκετά Δεδομένα, ο κανονισμός προβλέπει την ύπαρξη αρμόδιου προσώπου επιφορτισμένου με το καθήκον της προστασίας των δεδομένων (DPO). Τέλος, αν απασχολούνται πλέον των 250 ατόμων στην επιχείρηση, τότε η τελευταία υποχρεούται να τηρεί μητρώο όπου θα περιγράφονται αναλυτικά οι εντός και εκτός Data flow προσωπικών δεδομένων διαδικασίες.

H "ΙΚΑΝΟΤΗΤΑ ΕΓΚΑΙΡΗΣ ΑΠΟΚΑΤΑΣΤΑΣΗΣ"

Πόσος χρόνος θα χρειαστεί μέχρι η επιχείρηση να ανακτήσει την πρόσβαση στα Δεδομένα της ύστερα από κάποιο απρόοπτο συμβάν; Βάσει του GDPR όλες οι επιχειρήσεις είναι υποχρεωμένες να διενεργούν την αποκατάσταση αυτή εγκαίρως. Όσο ο όγκος των δεδομένων της επιχείρησής αυξάνει, τόσο πιο χρονοβόρα και περίπλοκη γίνεται η διαδικασία αποκατάστασης των δεδομένων της και της τακτικής λήψης αντιγράφων ασφαλείας αυτών.

Ο παράγοντας της συχνότητας λήψης αντιγράφων ασφαλείας είναι εξαιρετικά σημαντικός διότι, εκτός των άλλων, θα καθορίσει και το ποια και πόσα είναι τα Δεδομένα που θα χαθούν όταν κάτι απρόοπτο συμβεί. Για τα χαμένα αυτά Δεδομένα η επιχείρηση θα κληθεί να δώσει εξηγήσεις και θα της κοστίσει πολύ ακριβά αν αποδειχθεί ότι το συγκεκριμένο θέμα το αντιμετώπιζε με αμέλεια.

Καθώς η αντίστροφη μέτρηση για την εφαρμογή του GDPR πλησιάζει προς το τέλος, η Backup Experts ως η πρώτη ελληνική επιχείρηση που ασχολείται "end to end" με το Cloud Backup στην Ελλάδα, σας καλεί να εναποθέσετε το βάρος της διατήρησης αντιγράφων ασφαλείας Backup των δεδομένων σας πάνω της. Άλλωστε οι υπηρεσίες μας, που είναι σε πλήρη εναρμόνιση με τις επιταγές του GDPR, θα σας βοηθήσουν να ανταποκριθείτε επαρκώς στις απαιτήσεις του κανονισμού που αφορούν το DRP. Το GDPR έρχεται να δικαιώσει όλους τους μέχρι σήμερα ισχυρισμούς μας για την ανάγκη ύπαρξης στιβαρού DRP σε κάθε επιχείρηση.

Επιστροφή