Symantec, globalno vodeća tvrtka u pogledu informatičke sigurnosti, nedavno je objavio kako 96 posto tvrtki u Europi još uvijek ne razumije u cijelosti odredbe koje donosi europska Opća uredba o zaštiti podataka (General Data Protection Regulation, GDPR), unatoč tome što će ona biti primjenjivana od svibnja 2018. Rezultati Symantecovog istraživanja, provedenog na uzorku od više od 900 tvrtki u Ujedinjenom Kraljevstvu, Francuskoj i Njemačkoj pokazuju da 91 posto ispitanih nije sigurno da će na vrijeme uspjeti postići usklađenost s ovom regulativom. Istraživanje je također otkrilo da usklađenost s GDPR-om samo 22 posto tvrtki smatra ključnim prioritetom u sljedeće dvije godine, unatoč tome što samo 26 posto ispitanih vjeruje da je njihova organizacija posve spremna za primjenu GDPR-a.
- Ovi rezultati pokazuju ne samo da su tvrtke posve nepripremljene za uvođenje GDPR-a, već i da postupak pripreme ne provode dovoljno brzo, izjavio je Kevin Isaac, viši potpredsjednik Symanteca. - Postoji velik raskorak između toga koliko su sigurnost i privatnost važne za korisnike i toga koliko su ta područja važna za tvrtke. No, dobra je vijest da još uvijek postoji dovoljno vremena za popravljanje situacije – ali samo ako tvrtke odmah poduzmu odgovarajuće korake, naglašava Isaac.
Nedostatak informiranosti o regulativi Od svih ispitanih, gotovo četvrtina (23 posto) kaže kako njihova organizacija neće uopće biti usklađena s GDPR-om ili neće postići usklađenost u cijelosti do zadanog roka, tj. do 2018. Među ovim tvrtkama, samo jedna petina njih vjeruje da će uopće biti moguće uskladiti se s GDPR-om u bilo kojem roku, a gotovo polovica (49 posto) vjeruje da će samo neki odjeli tvrtke moći postići stupanj potpune usklađenosti dok će za druge to biti nemoguće. Zbog ovog pretežitog dojma kako će biti teško ispuniti postavljeni rok u vidu svibnja 2018., mnoge su tvrtke izložene riziku da plate velike kazne.
U raskoraku s očekivanjima korisnika kada se radi o privatnosti Dok se tvrtke bore da postignu usklađenost s GDPR-om, istovremeno možemo reći kako su i dalje u velikom raskoraku s očekivanjima korisnika, naročito kada se govori o privatnosti podataka i sigurnosti. Gotovo tri četvrtine tvrtki (74 posto) ne misli da je odnos tvrtke prema privatnosti među tri glavna faktora u trenucima kada korisnici biraju s kim će poslovati, unatoč tome što se korisnici raspituju o sigurnosti transakcija u više od jedne trećine slučajeva (36 posto). Jednako zabrinjava podatak kako čak 35 posto ispitanika kaže da ne vjeruje kako njihova organizacija postupa etično kada se radi o osiguravanju i zaštiti podataka.
Svi ovi podaci pokazuju kako postoji značajan raskorak između tvrtki i prioriteta samih korisnika. Symantecov izvještaj o stanju privatnosti već je ranije utvrdio da 88 posto europskih korisnika vidi sigurnost podataka kao najvažniji faktor kada biraju tvrtku s kojom će poslovno surađivati. Štoviše, 86 posto ispitanika tada je reklo kako im je ova tema važnija od kvalitete proizvoda.
Nije stoga nimalo iznenađujuće da je izvještaj o trenutačnom stanju na području zaštite privatnosti podataka u Europi (State of European Data Privacy) zaključio kako 55 posto tvrtki uopće nije uvjereno u to da u ovom segmentu ispunjavaju sigurnosne zahtjeve svojih korisnika.
Kulturološka pripremljenost Symantecovo istraživanje također je utvrdilo kako mnoge tvrtke uopće nisu počele raditi na organizacijskim i kulturološkim promjenama koje moraju provesti u svojoj organizaciji prije svibnja 2018. Na primjer, istraživanje je pokazalo da:
• Gotovo jedan od deset ispitanika (9 posto) kaže kako svi zaposlenici imaju pristup osobnim podacima korisnika. • Šest posto ispitanih kaže da svi djelatnici tvrtke imaju pristup podacima o načinima plaćanja tvrtkinih korisnika. • Samo 14 posto ispitanih vjeruje da je zadatak svakog zaposlenika u tvrtki da brine o tome da su podaci zaštićeni.
Uz ovako očit, širok pristup osobnim podacima korisnika koje mnoge tvrtke dopuštaju svojim zaposlenicima, može se reći da tvrtke zaista jako podcjenjuju izazove s kojima će se susresti na putu k implementaciji Opće uredbe o zaštiti podataka, tj. GDPR-a.
Osim toga, u istraživanju je zaključeno sljedeće:
• Manje od polovice ispitanih (47 posto) kaže kako je etično upravljanje osobnim podacima glavni prioritet njihove organizacije a manje od polovice ponovno je reklo kako će pojačati sigurnosne treninge i edukaciju. • Samo 27 posto tvrtki planira posve preurediti i značajno obnoviti svoj cjelokupni pristup sigurnosti podataka, kao svojevrsni odgovor na GDPR.
Tehnička spremnost i pravo na zaborav • 91 posto tvrtki zabrinuto je u pogledu svoje mogućnosti da će se na vrijeme uspjeti uskladiti s GDPR-om, ponajprije zbog faktora kao što su kompleksnost točne obrade podataka, raspoloživo vrijeme i mogući troškovi. • Samo 28 posto menadžera koji upravljaju IT-om i poslovnim odlukama shvaćaju da je pravo na zaborav dio GDPR regulative. • 90 posto tvrtki kaže da će korisnici koji od tvrtke zatraže da se njihovi podaci u cijelosti obrišu predstavljati velik izazov za organizaciju. • Samo 9 posto ispitanika dosad je dobilo zahtjeve za brisanjem podataka o korisnicima. • 81 posto ispitanika vjeruje da će njihovi korisnici u nekom trenutku zatražiti brisanje svojih podataka. • Međutim, 60 posto tvrtki trenutačno nema definirane procedure i poslovne procese koji bi im omogućili da odgovore na ove zahtjeve.
- Tvrtke moraju biti svjesne toga da su privatnost, sigurnost i usklađenost s GDPR-om izuzetno važne za reputaciju njihovih brandova, kaže Kevin isaac. - Njihov odgovor na regulativu koju uspostavlja GDPR trebao bi biti glavni element organizacijskog dizajna i tvrtkine kulture. Prihvaćanje samo djelomičnog pristupa koji će udovoljiti tek nekim segmentima GDPR-a stvorit će tvrtkama više problema no što će ih riješiti, naglašava Isaac.
- Hoće li tvrtke uspješno primijeniti GDPR regulativu ovisi ponajprije o njihovoj spremnosti da prihvate dizajn poslovnih procesa koji u svojoj srži ima privatnost podataka. Tvrtke također moraju razumjeti da dobra sigurnost i privatnost predstavljaju značajnu kompetitivnu prednost i da mogu biti dobar korak ka dobivanju povjerenja korisnika, uz to što, naravno, tvrtke time udovoljavaju regulatornim zahtjevima, istaknuo je Peter Gooch, partner u tvrtki Deloitte, specijaliziran za sigurnost.