Data Discovery: to Tool or not to Tool?

Το GDPR θέτει αρκετές νέες προκλήσεις στις επιχειρήσεις, με τις σημαντικότερες να φαίνεται να είναι οι ακόλουθες:

1. Πού φυλάσσονται ευαίσθητα δεδομένα σε όλη την υποδομή πληροφορικής;
2. Πώς μπορούν να εντοπιστούν ευαίσθητα δεδομένα σε δομημένες, ημιδομημένες και αδόμητες μορφές;
3. Πώς μπορεί να δημιουργηθεί μια ενιαία προβολή ώστε να εντοπίζονται εύκολα όλα τα δεδομένα που ανήκουν σε οποιοδήποτε συγκεκριμένο πρόσωπο;
4. Πώς μπορεί να διατηρηθεί η συμμόρφωση μετά τις 25 Μαΐου και τα συστήματα να ικανοποιούν τα νέα δικαιώματα των υποκειμένων των δεδομένων;

Βασικές διαδικασίες σε ένα έργο GDPR είναι οι data discovery, data mapping & data flow identifications. Πώς όμως μπορούν να εκπονηθούν χωρίς την πλήρη γνώση πού ακριβώς βρίσκεται τι (ώστε να απαντηθεί και το γιατί);

Η γνώμη μου είναι ότι τα παραπάνω ερωτήματα δεν μπορούν να απαντηθούν με απλές συνεντεύξεις, διότι υπάρχει πολύ σοβαρός κίνδυνος να μη γίνει σωστά το data mapping, είτε λόγω άγνοιας ή και συνειδητά, αφού κανείς δεν πρόκειται να «ομολογήσει» ότι κρατάει αντίγραφα τοπικά από ό,τι περνάει από μπροστά του ή μπορεί απλά και να μην ξέρει τι ακριβώς υπάρχει στο pc του, αφού προηγουμένως μπορεί να ανήκε σε άλλο και να έχουν ξεχαστεί αντίγραφα εγγράφων, αποθηκευμένα e-mail attachments κλπ. Ένα άλλο πρόβλημα είναι ο εντοπισμός σκαναρισμένων σελίδων, οι οποίες περιέχουν ευαίσθητα προσωπικά δεδομένα και δεν είναι κοινές επιστολές. Η έλλειψη εντοπισμού αυτών δημιουργεί τον κίνδυνο να δημιουργηθεί μια έλλειψη πληροφορίας, η οποία μεταφέρεται αυτούσια μέχρι το τέλος του έργου, αφήνοντας το vulnerability assessment και το risk assessment κυριολεκτικά «στον αέρα», αφού θα εκπονηθούν χωρίς την ακριβή γνώση των πληροφοριών που διατηρούνται και των τοποθεσιών τους.

Ένα εργαλείο data discovery, με επιπλέον δυνατότητες classification, μπορεί να βοηθήσει επίσης σημαντικά στη δημιουργία των “records of processing activities” αλλά και στη διατήρηση της συμμόρφωσης, εάν συνδυαστεί με ένα DLP.

Τέλος, στην απευκταία περίπτωση που συμβαίνει μία παραβίαση ασφαλείας, το data discovery μπορεί να παρέχει σημαντικές πληροφορίες σχετικά με τα προσωπικά δεδομένα που εκτέθηκαν σε κίνδυνο και να βοηθήσει στην αναφορά προς την Αρχή Προστασίας Προσωπικών Δεδομένων καθώς και στην απόφαση ενημέρωσης των φυσικών προσώπων.