Vuosi 2018 on ollut merkkivuosi sääntöjen noudattamisen kannalta. Tietosuoja on ollut vahvasti valokeilassa, ja organisaatioiden on täytynyt arvioida uudelleen koko tietojenkäsittelyprosessinsa, jotta ne noudattaisivat hiljattain käyttöönotettua yleistä tietosuoja-asetusta.
Lainsäädäntö on epäilemättä ollut muutoksen katalysaattori, mutta verkkohyökkäysten huolestuttava lisääntyminen on myös korostanut arvokkaiden asiakastietojen suojaamisen tärkeyttä.
Hyökkäysten kehittyessä yhä kehittyneemmiksi organisaatioiden on omaksuttava ennakoivampi lähestymistapa kyberturvallisuuteen varmistaakseen, että ne ovat varustautuneet vastaamaan näihin kehittyviin uhkiin.
Tämä tarkoittaa sitä, että heidän hallussaan olevia tietoja on puolustettava aggressiivisesti ja että on toteutettava kaikki tarvittavat toimenpiteet sen varmistamiseksi, että he eivät ole seuraava yritys, jonka tietomurto leviää uutisten etusivuille.
Vaikka organisaatiot ovatkin sitoutuneet parantamaan tietoturvaa, ne voivat törmätä tulevana vuonna useisiin ongelmiin, jotka uhkaavat niiden jatkuvaa vaatimustenmukaisuutta.
Viisi tärkeintä tietotekniikkasääntelyyn ja vaatimustenmukaisuuteen liittyvää ongelmaa, joita organisaatiot kohtaavat vuonna 2019.
GDPR
Paljon julkisuutta saanut yleinen tietosuoja-asetus tuli voimaan 25. toukokuuta, ja se luo uuden perustan sille, miten organisaatiot käsittelevät ja käsittelevät tietoja tulevaisuudessa. Lainsäädännöllä on nykyaikaistettu tietosuojasääntöjä, ja se antaa yksilöille paremmat mahdollisuudet valvoa, kuka kerää ja käsittelee heidän tietojaan, mihin niitä käytetään ja miten niitä suojellaan.
Organisaatioiden on pystyttävä osoittamaan, että ne noudattavat lainsäädäntöä, tai ne joutuvat maksamaan tuntuvia sakkoja, jotka voivat olla jopa 4 prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta tai 20 miljoonaa euroa. Sakot riippuvat myös rikkomuksen vakavuudesta ja siitä, ovatko organisaatiot ryhtyneet toimiin osoittaakseen, että ne noudattavat sääntöjä.
Toukokuun 25. päivä ei kuitenkaan suinkaan ollut GDPR:n päätepiste. GDPR:n noudattamisen osoittaminen on jatkuva prosessi, ja organisaatioiden on jatkuvasti tunnistettava ja käsiteltävä tietosuoja- ja tietoturvariskejä varmistaakseen, etteivät ne riko lainsäädäntöä.
Sähköisen viestinnän tietosuoja-asetus
Organisaatiot ovat käyttäneet viimeiset kuusi kuukautta GDPR:n käsittelyyn, ja niiden on jo nyt valmistauduttava uuteen EU:n asetukseen, joka edellyttää EU:n lainsäädännön mukaista yhdenvertaista noudattamista.
Sähköisen viestinnän tietosuoja-asetuksen odotetaan tulevan voimaan seuraavien 6-12 kuukauden aikana, ja siinä otetaan huomioon teknologian kehitys ja keskitytään erityisesti sähköiseen viestintään liittyvään yksityisyyden suojaan. Tämä kattaa verkkosivustojen, tekstiviestien, sähköpostin, sosiaalisten verkostojen, blogien, sovellusten, VoIP:n, videon, sosiaalisen median viestien ja esineiden internetin laitteiden tiedot.
Vaikka tietosuoja-asetuksen ja sähköisen viestinnän tietosuoja-asetuksen välillä on jonkin verran päällekkäisyyttä, keskeinen ero on se, että tietosuoja-asetus kattaa henkilötietojen käsittelyn kaikissa muodoissa, kun taas sähköisen viestinnän tietosuoja-asetus kattaa sähköisen viestinnän. Organisaatioiden on osoitettava, että ne noudattavat lainsäädäntöä kaikilta osin, tai ne joutuvat maksamaan samoja tuntuvia sakkoja kuin GDPR:n nojalla.
Sähköisen viestinnän tietosuoja-asetusta sovelletaan kaikkiin ja kaikkiin maihin, jotka tarjoavat sähköisiä viestintäpalveluja EU:n alueella, mutta sen odotetaan vaikuttavan joihinkin aloihin voimakkaammin kuin toisiin. Markkinoinnin, mainonnan ja tiedotusvälineiden kaltaiset alat eivät voi jatkossa lähettää mainosmateriaalia asiakkaille ilman heidän ennakkosuostumustaan.
Kolmannen osapuolen palveluntarjoajat
Tietoverkkoturvallisuudesta ja sääntöjen noudattamisesta on tullut organisaatioiden keskeisiä prioriteetteja, mutta yksi alue, joka jää usein huomiotta, on kolmansien osapuolten turvallisuus. Viime vuosina on tullut tavaksi, että organisaatiot käyttävät useita eri kolmansien osapuolten palveluntarjoajia keskeisten liiketoimintojen tukemiseen, ja usein monilla näistä osapuolista on pääsy yrityksen sisäisiin järjestelmiin ja tietoihin. Tämä yhteenliitettävyys muodostaa valtavan riskin organisaation tietoturvalle ja vaatimustenmukaisuudelle.
Organisaatioilla voi olla rautaisia turvallisuus- ja puolustusjärjestelmiä, mutta hakkerit ovat liiankin tietoisia siitä, että helpoin tapa ohittaa nämä suojaukset on hyödyntää kolmansien osapuolten järjestelmien haavoittuvuuksia. Yleensä näillä toimittajilla ei ole yhtä vankkaa kyberturvallisuuden suojausta, ja ne tarjoavat helpon heikon kohdan hyökkäyksille.
Osa historian suurimmista verkkohyökkäyksistä on seurausta kolmansien osapuolten tekemistä tietoturvaloukkauksista, ja Soha Systemsin hiljattain tekemässä tutkimuksessa todettiin, että 63 prosenttia kaikista verkkohyökkäyksistä voidaan jäljittää joko suoraan tai välillisesti kolmansiin osapuoliin.
Organisaatioiden on jatkossa arvioitava kyberturvallisuuttaan useista eri näkökulmista ja varmistettava, että ulkoiset palveluntarjoajat noudattavat asianmukaisia ohjeita ja järjestelmiä. Yleisen tietosuoja-asetuksen myötä organisaatioilla on nyt lakisääteinen velvollisuus antaa sääntelyviranomaisille vakuutus siitä, että niiden ulkopuoliset palveluntarjoajat noudattavat uusia säännöksiä, koska niillä on hyvä kyberturvallisuus- ja yksityisyydensuojakontrolli.
Työntekijät
Työntekijät voivat olla suurin voimavarasi, mutta he ovat myös heikoin lenkkisi. Tietoverkkorikolliset ottavat usein kohteekseen organisaation työntekijät, koska he ovat helpoin tapa tunkeutua järjestelmään.
88 prosenttia kaikista tietomurroista johtuu inhimillisistä virheistä, joten on tärkeää, että organisaatiot investoivat laadukkaaseen tietoverkkoturvallisuuskoulutukseen, jonka avulla henkilöstö ymmärtää, miten tärkeä rooli heillä on yrityksen arkaluonteisten tietojen suojaamisessa.
Koulutuksessa koulutetaan henkilöstöä sisäisistä uhkista ja käsitellään myös etätyöskentelyyn liittyviä tietoverkkoturvariskejä. Etätyöskentely voi olla vakava tietoturvariski, joka voi tehdä organisaation IT-verkosta, järjestelmistä ja laitteista erittäin alttiita hyökkäyksille. Mobiililaitteissa olevat tiedot ovat erittäin arvokkaita tietoverkkorikollisille, ja he käyttävät hyväkseen tietoturvan puutteita varastamalla nämä arkaluonteiset tiedot.
Tehokas tietoverkkoturvallisuuskoulutus kouluttaa henkilöstöä, vähentää tietomurtojen mahdollisuutta ja auttaa rakentamaan kulttuuria, jossa tietoturvan noudattamista tehostetaan.
Ohjelmiston hallinta
Jotta organisaatiot noudattaisivat vaatimuksia, niiden on puolustettava jokaista käyttöpistettä varmistaakseen, etteivät hakkerit pääse tunkeutumaan niiden järjestelmiin. Yksi verkkohyökkäysten tärkeimmistä syistä ovat korjaamattomat järjestelmät. Uusia haavoittuvuuksia löydetään koko ajan, ja ellei korjauksia käytetä, hakkerit käyttävät näitä haavoittuvuuksia hyväkseen murtautuakseen verkkoon.
Korjauksilla varmistetaan, että kaikki organisaatiossa käytettävät ohjelmistot ovat ajan tasalla valmistajan julkaisemien uusimpien versioiden kanssa. Organisaatioiden on toimittava ennakoivasti korjaamisessa, jotta ne voivat havaita haavoittuvuudet ennen hakkeria.
MetaPrivacy on suunniteltu tarjoamaan parhaita käytäntöjä yksityisyydensuojan noudattamiseen. Ota meihin yhteyttä, jos haluat lisätietoja siitä, miten voimme auttaa organisaatiotasi parantamaan vaatimustenmukaisuusrakennettaan.