Klasyfikacja danych: Wsparcie zarządzania ładem korporacyjnym i zgodnością z regulacjami
Kolejny artykuł to, zgodnie z zapowiedzią, coś co może zainteresować dział compliance. Nie bez powodu jednym z kluczowych obszarów cyberbezpieczeństwa jest zapewnienie zgodności z regulacjami. Drugim wyróżnionym przez Gartnera obszarem użyteczności File Analysis Software jest właśnie wsparcie ładu korporacyjnego (governance) i wspomnianej zgodności z regulacjami (compliance).
Warto tu wspomnieć co oznaczają te pojęcia w organizacji ład korporacyjny (governance) oraz zgodność (compliance).
Ład korporacyjny (governance)nadaje ton nastawieniu całej firmy do ryzyka, etyki i praktyk biznesowych. Natomiast zgodność (compliance) odzwierciedla to podejście w odniesieniu do określonych praw i przepisów.
Jak nietrudno zauważyć obie te dziedziny mają bezpośrednie przełożenie na sposób prowadzenia przez firmę interesów i szeroko rozumianą działalność operacyjną. I obie od zawsze wiązały się z dużą ilością „papierologii” i chaosem wśród formularzy, druków, zestawień i raportów. Wraz z postępującą cyfryzacją problem wcale nie zniknął.
Stworzenie arkusza Word czy pdf jest znacznie łatwiejsze niż znalezienie, wyjęcie i wypełnienie papierowego formularza. Rozmawiając z naszymi klientami mamy okazję przekonać się, że cyfryzacja tylko zwiększyła stopień entropii informacji w ramach danych przetwarzanych przez firmowy governance&compliance.
Narzędzie do klasyfikacji rozwiązuje ten problem w 4 prostych punktach
- Pomaga zidentyfikować dane podlegające RODO, HIPAA, CCPA, PCI, SOX i przyszłymi przepisami.
- Stosuje znaczniki metadanych do chronionych danych, aby umożliwić dodatkowe śledzenie i kontrolę plików.
3. Umożliwia kwarantannę, prawne wstrzymanie, archiwizację i inne czynności wymagane przez przepisy.
4. Znacznie ułatwiają wdrożenie „prawa do bycia zapomnianym” i wniosków o dostęp do danych (DSAR).
Ten przypadek użycia koncentruje się na „znanych” wymaganiach, takich jak wymagania prawne. Efektywnie zarządzanie metadanymi i treścią danych zapewniają wgląd w przepływ danych, możliwość przeprowadzenia analizy wpływu, wspólny model danych, słownik biznesowy i odpowiedzialność za jego terminy oraz ścieżkę audytu dotyczącą zgodności z regulacjami. Chociaż przepisy dotyczące prywatności są uchwalane z myślą o jednostkach, w tym przypadku narzędzia do analizy plików koncentrują się bardziej na ochronie organizacji przed niepowodzeniem audytów i negatywnym ujawnieniem opinii publicznej, a także przestrzeganiu ograniczeń czasowych. Analiza plików z oceną zarządzania prawami dostępu może pomóc w klasyfikowaniu danych i przekazywaniu ich do odpowiednich platform w celu zarządzania, prowadzenia rejestrów, zgodności i analiz. Ponieważ w samym przewodniku nie przedstawiono dalszych rozważań – rozszerzamy je również dla tego przypadku użycia.
Efekty poznacie poniżej.
Identyfikacja danych podlegających RODO, HIPAA, CCPA, PCI, SOX i przyszłymi przepisami
Z dużym prawdopodobieństwem możemy założyć, że każda firma posiadająca narzędzie do klasyfikacji danych podchodzi w sposób świadomych do ich ochrony. Dla tych, którzy go nie posiadają w każdej strategii ochrony danych występuje faza ich identyfikacji. Dzięki klasyfikatorowi, możemy zapewnić odpowiednią identyfikację danych. Tutaj jednak warto odnieść się do ostatniego artykułu kluczowe zadanie polega na określeniu w jakich kategoriach informacji (które zastosujesz w swoim projekcie) znajdą się dane chronione określoną regulacją i w jaki sposób to uwzględnić.
- Subiektwne określenie „grup” danych pofunych – według orientacyjnego poziomu wrażliwości.
- Poziom poufności, jakiego wymagają konkretne grupy danych objęte określonymi regulacjami.
- Potencjalny wpływ, jaki naruszenie lub uszkodzenie danych miałoby na zaangażowane osoby.
- Znaczenie dostępności tych danych.
- Narzędzie klasyfikacji to swoisty „facylitator” zarządzania danymi, zawierającymi informacje objęte regulacjami.
Stosowanie znaczników metadanych do chronionych danych, aby umożliwić dodatkowe śledzenie i kontrolę plików
Narzędzia do analizy plików pomagają w tworzeniu mapy danych, lokalizacji danych i powiązanych znaczników metadanych oraz stosowaniu nowych znaczników. Pomocne są zwłaszcza te, które tworzą indeksy. Mogą one wesprzeć obsługę procesów wymagających znajomości lokalizacji danych i ich wzajemnych powiązań.
Przetwarzanie danych, w szczególności w zakresie suwerenności, prywatności, przepisów finansowych, zdrowotnych i prawnych mających na celu promowanie właściwych praktyk biznesowych, dokumentowanie działalności i danych biznesowych oraz ochronę osób i tożsamości.
Umożliwianie kwarantannę, prawne wstrzymanie, archiwizację i inne czynności wymagane przez przepisy
Kwarantanna plików bądź zatrzymanych w związku z czynnościami wyjaśniającymi i archiwizacja to funkcja przydatna podczas audytów:
- Niektóre rodzaje naruszeń prawa wymagają odizolowanie plików związanych z dochodzeniem.
- Polityki firmowe mogą obejmować izolację danych.
- Archiwizacja danych przez określony czas jest wymagana przez wiele regulacji prawnych.
Ułatwienia we wdrożeniu „prawa do bycia zapomnianym” i wniosków o dostęp do danych (DSAR)
Wspieranie krytycznych danych i fazy minimalizacji dostępu do danych dotyczących prywatności regulowanej przepisami, takimi jak ogólne rozporządzenie o ochronie danych (RODO) i kalifornijska ustawa o ochronie prywatności konsumentów (CCPA), oraz pomoc w identyfikowaniu praktyk biznesowych i innych działań związanych z przetwarzaniem danych to kolejna zaleta systemu klasyfikacji. W niektórych przypadkach analiza plików jest również używana jako pierwszy krok do celów e-Discovery.
Jeżeli w ramach ładu korporacyjnego i zgodności z regulacjami w Twojej organizacji, pojawia się temat danych warto wspomnieć, że ich klasyfikacja jest naturalnym pierwszym krokiem.
Obejrzyj także: