Mapiranje podataka: izgradnja jake osnove za sajber bezbednost i privatnost podataka

13. марта 2023 | Vreme čitanja: 4 min

Sada više nego ikad, podaci su neophodni za svaku modernu organizaciju. Na najosnovnijem nivou, sve organizacije moraju da prikupljaju, čuvaju, koriste i obrađuju podatke kako bi obezbedile zaposlenje svojim ljudima i obezbedile proizvode i usluge svojim klijentima. Dok su podaci širok pojam, zarad ovog članka hajde da definišemo podatke kao informaciju koja ima vrednost i hajde da posmatramo lične podatke kao bilo koju informaciju (bez obzira na osetljivost) koja nam omogućava da identifikujemo pojedinca ili sama ili kada se kombinuje sa drugim podacima.

Bez obzira na to kojih zakona se vaša organizacija pridržava ili pokušava da bude u koraku sa njima, jedna stvar zvuči tačno: morate znati svoje podatke. Šta podrazumevamo pod „znati svoje podatke?“ Jednostavno, iako u tome nema ništa jednostavno, organizacije moraju da razumeju koje podatke obrađujete i da budu u stanju da odgovore na sledeća pitanja:

  • Koje podatke imamo? (npr. podaci o klijentima, podaci o podnosiocima zahteva ili podaci o zaposlenima)
  • Odakle je došlo? (npr. direktno od naših zaposlenih, od prodavca ili od partnera)
  • Kome pripada? (npr. zaposleni, kupac ili potencijalni kupac koji bi mogao biti zainteresovan za naše proizvode ili usluge)
  • Zašto ga imamo? (npr. za obezbeđivanje zaposlenja, za ispunjavanje ugovorne obaveze, za informisanje zainteresovanih strana ili za izveštavanje vlade)
  • Kako ga koristimo? (npr. za izvršenje transakcije, za pružanje pogodnosti ili za ciljano oglašavanje)
  • Gde se čuva? (npr. u našem data centru i povezanim aplikacijama, kod dobavljača usluga, na laptop računarima zaposlenih ili u ormaru za dosije)
  • Sa kim ga delimo? (npr. naši dobavljači usluga, filijale, lokalne/državne/federalne vlade ili dobavljači)
  • Kako je zaštićen? (npr. šifrovano je, pristup je ograničen ili postoje druge kontrole)
  • Kada će biti obrisan ili anonimizovan? (npr. za 10 godina, kada je transakcija zaključena, ili kada je dostigla kraj svog korisnog veka trajanja)
  • Koliko je to osetljivo na pojedinca? (npr. osetljivo – izloženost bi vrlo verovatno imala negativan uticaj na prava i slobode pojedinca)
  • Da li su podaci regulisani? (npr. da li je to regulisano na državnom nivou (CCPA), nacionalnom nivou (HIPAA) ili međunarodnim propisom ili zakonom (GDPR))

Iako je jasno da će odgovaranje na ova pitanja dati organizaciji bolji uvid u njene podatke i aktivnosti obrade podataka, može biti teško shvatiti kako se na ova pitanja ne može samo odgovoriti već i formalno dokumentovati i održavati. Tu dolazi mapa podataka. U stvari, većina stručnjaka se slaže da je mapiranje podataka najvažniji korak da se osigura usklađenost sa bilo kojom regulativom o privatnosti podataka. Drugim rečima, morate znati svoje podatke!

Saveti za efikasno mapiranje podataka:

Na neki način, kreiranje mape podataka je kako zvuči. Počinje kreiranjem ili prihvatanjem šablona. Uz to, mapa podataka može poprimiti mnoge oblike i, dok termin „mapa podataka“ može da dočara vizije mrežnog dijagrama ili nekog drugog komplikovanog grafičkog prikaza sistema organizacije, uzimajući odgovore na gornja pitanja u tabeli ili tabelarni format će često biti najefikasniji i najlakši za održavanje. Treba napomenuti da iako mrežni dijagrami i dijagrami toka podataka imaju svoje mesto i mogu biti izuzetno važni za organizaciju, oni ne zauzimaju mesto mape podataka; međutim, oni mogu biti odlični resursi pri kreiranju i održavanju mape podataka.

Mapiranje podataka je osnovna komponenta privatnosti podataka (i sajber bezbednosti) i vitalni korak u održavanju usklađenosti sa bilo kojom regulativom o privatnosti podataka. Uz to, GDPR je jedini propis, do sada, koji zahteva da se mapa podataka (koja se naziva evidencija obrade dokumentacije ili RoPA) popuni i stavi na raspolaganje regulatorima na zahtev. Nažalost, osim ako ih GDPR na to ne primorava drugačije, većina organizacija preskače korak mapiranja podataka u pokušaju da budu usklađene sa HIPAA ili GLBA, na primer, pošto to nije „zahtev“ i, čineći to, bore se da steknu potpuno razumevanje podataka koje poseduju.

Priprema za budućnost

Kako nastavljamo da vidimo povećanje kako u regulativi, tako i u broju organizacija podataka, mapiranje procesnih podataka će postati važnije i organizacije bi trebalo da razmotre prednosti pregleda svih podataka koje obrađuju (uzimajući holistički pristup), a ne jednostavno kreiranje mapiranja za svaki regulisani skup podataka.

Organizacije mogu otkriti da bi održavanje 5-10 mapa podataka u različitim formatima, koje su kompletirali i kojima su upravljali različiti timovi, moglo biti skoro nemoguće održavati u poređenju sa kreiranjem i održavanjem jedne sveobuhvatne mape, ali takođe ova strategija može ostaviti organizaciju nespremnom za naredne četiri -regulacija privatnosti podataka o pismu koja vreba iza ugla.

Dakle, bez obzira da li pokušavate da se pridržavate CPRA, GLBA ili nekog drugog propisa o privatnosti podataka, ili ako jednostavno pokušavate da ažurirate svoju politiku privatnosti u svrhu transparentnosti, razmislite o tome da počnete tako što ćete mapirati svoje podatke i osigurati da možete da odgovorite na sve gore navedena pitanja.

 

 

 

Izvor: BakerTilly