GDPR je fenomén, který se dotkne téměř všech organizací či institucí. Jako každé novum, tak i GDPR primárně vnáší oprávněné obavy, navíc pokud jsou tyto obavy podpořeny sankcemi až v rámci desítek miliónů eur. Nicméně každá mince má svůj rub a líc. Tam, kde se vyskytují hrozby jsou současně i příležitosti. Ukážeme si, jaké hrozby mohou přijít, odkud je lze očekávat a případně co mohou způsobit. Na druhou stranu je třeba se zamyslet i nad příležitostmi, které jsou generovány danými hrozbami.
Zamysleme se tedy nad možnými hrozbami a nad tím, co tato „sranda“ může stát. První, co každého napadne jsou sankce plynoucí z legislativy GDPR. O těch je možné získat informace poměrně kdekoliv a lze si představit jejich dopad. Otázkou druhou je, jak to bude v praxi vypadat. Jasné je, že především nespokojení současní i bývalí zaměstnanci, klienti či obchodní partneři mohou GDPR využít jako nástroje pro „znepříjemnění“ fungování té či oné organizace. Co je však nejhorší? Že tyto potenciální sankce mohou, ale také nastat nemusí. Ovšem, ale co nastat musí a co bude stát jistě nemalé finanční, personální a technické zdroje? To jsou především náklady spojené s řešením problematiky GDPR. Praxe nám ukazuje, že mezi největší náklady patří „vnitřní dluhy“ organizace. Vnitřními dluhy je myšleno nedostatečné či jen částečné řešení legislativy, pravidel, standardů a „best practicies“ spojených se správou OÚ (a to jak v IT, tak i NON-IT oblastech). Obvykle byla implementace takových řešení odkládána nebo podceňována, a to ať už z jakýkoliv důvodů. Nyní se toto manažerské rozhodnutí vrací jako bumerang. Další hrozbou je GDPR pro organizace mimo „EU prostor“ (přesná definice a důvody jsou v legislativě GDPR). Toto si dovedeme představit. Avšak s ohledem na ochranu OÚ je to logické, nicméně pro tyto subjekty to bude „nečekaně“ drahé a bude jim toto způsobovat nemalé problémy. Tyto tři oblasti lze představit a kategorizovat jako HROZBY PLYNOUCÍ Z VÝVOJE UDÁLOSTÍ.
S čím jsme schopni pomoci? – viz sekce [ SLUŽBY ]
Druhou kategorií jsou HROZBY PLYNOUCÍ Z PŘÍLEŽITOSTÍ. Zástupci této kategorie využívají příležitostí jak získat nějaký profit, či jak danému subjektu uškodit. Typickou skupinou jsou Hackeři. Hackeři jsou velmi odborně zdatní v oblasti IT, znají mezery v technologiích, které následně dokáží využít k průniku do informačních systémů nebo jeho částí. Samotní Hackeři jsou obvykle na činnosti, které vyústí k získání profitu objednáváni třetími stranami. Další skupinou jsou tzv. Šíbři. Šíbr je člověk, který nedisponuje dovednostmi jako Hacker, ale využívá nedostatků v systému fungování lidských zdrojů klienta. Šíbr obvykle využívá sociálního inženýrství nebo mezer v zákonech, smlouvách, procesech, a to vše za cílem vlastního profitu. Oproti Hackerům, proti kterým se lze bránit technickými prostředky je u Šíbrů se potřeba zaměřit na lidské zdroje a jejich činnosti. Metody, které mohou použít jsou dehonestace, vydírání, mediální tlak až po soudní spory. Třetí skupinou jsou obvykle Lidé (zaměstnanci, klienti či jen nepřející lidé), kteří nehledají primárně osobní zisk, ale spíše formu pomsty či zadostiučinění. Zde lze očekávat různé formy dehonestace, oznámení např. na ÚOOÚ, až po soudní spory.
Jak je vidět, problémy GDPR tedy nespočívají pouze jen v pokutách v rámci GDPR, ale v mnohem širším portfoliu hrozeb. Z těchto hrozeb tedy mohou plynout NÁKLADY NA ELIMINACI RIZIK, NA ŠKODY ČI NA SANKCE. Tyto hrozby je možné eliminovat, ovšem za cenu výdajů, a to jak na straně financí, času tak i lidských zdrojů.
Jak bylo anoncováno výše, je vhodné se v GDPR zaměřit i na PŘÍLEŽITOSTI. Je nesporné, že kde existují rizika vznikají současně požadavky na jejich eliminaci. A právě zde lze hledat „ony“ PŘÍLEŽITOSTI.
Na začátku byly popsány typické hrozby a na schématu viz. výše zase směr kam mohou být tyto hrozby nasměrovány. Dále na schématu jsou zobrazeny i oblasti příležitostí, které jsou automaticky generovány jako odpověď na obranu proti takovým hrozbám. Jako první z příležitostí se jeví úpravy IS, tak aby byly „GDPR compliance“, aby odolaly případným pokusům o kompromitaci. Což uvítají především výrobci jednotlivých IS. Pro ně to tedy bude znamenat i konkurenční výhodu, protože kdo nebude „GDPR compliance“, tak jako by nebyl. Další na řadě budou poskytovatelé právních a poradenských služeb. Klíčoví budou také dodavatelé bezpečnostních a jiných různých „chytrých“ řešení.
Jak je vidět, neznamená GDPR pouze jen obavy a hrozby, ale také příležitosti a možnosti inovací, které budou přidanou hodnotou pro klienty.
Zeptejte se nás:
- jaké hrozby se Vás mohou týkat?
- jak se daným hrozbám čelit?
- jaké příležitosti u Vás lze najít?
- …
Komentáře