Ekspert andmevargusest: ettevõtted peavad andmetöötluse protsesside kvaliteeti tõstma

Jaanuaris pandi toime ulatuslik küberrünnak Allium UPI OÜ andmebaasi vastu, mis pakub Apotheka apteekidele ja teistele koostööpartneritele ühtset lojaalsusprogrammi ja mille käigus võis ründajate kätte sattuda klientide andmeid, vahendas Äripäev eelmisel nädalal suurt andmevargust.

Viimaste uudiste valguses on vajalik esile tõsta protsessipõhist lähenemist andmekaitse ja üldise infoturbe korraldamisel. Andmekaitseprotsesside korrastatus on oluline, kuna see aitab kogu andmete liikumise tervikvoo selgelt lahti mõtestada.

Sealjuures on oluline käsitleda kõiki äriprotsesside modelleerimise põhielemente: protsessi käivitajad ja sisendid, reguleerivad nõuded, eesmärgipärased väljundid, seotud osapooled ja vastutustalad, seotud tarkvaralised lahendused jms ressursid ning samuti kõik kaasuvad riskid ja võimalused. Protsessipõhine lähenemine andmekaitsele aitab tagada usaldusväärse andmehalduse ja vähendada potentsiaalsete õigusrikkumiste riski või mainekahjustusi seoses isikuandmete töötlemisega.

Läbimõeldud protsesside juhtimise süsteem on oluline vahend nõuetekohase toimimise tagamiseks ja sealkohal ka tõhusa andmekaitse korraldamiseks. See aitab organisatsioonidel paremini mõista, kuidas nende andmeid töödeldakse ja kaitstakse ning kuidas neid protsesse saab optimeerida turvalisuse suurendamiseks ja riskide leevendamiseks.

1. Loo selgust andmete liikumises ja töötlemises. Andmekaitsega seotud protsesside modelleerimine aitab mõista selle töötlemise vorme, sealhulgas seda, kuidas isikuandmeid kogutakse, salvestatakse ja kasutatakse erinevates äriprotsessides. See loob läbipaistvuse andmete liikumise kohta organisatsiooni sees ja väljas ning võimaldab tuvastada võimalikke turvariske.

2. Riskide ja võimaluste põhine lähenemine. Eeldusel, et protsessid on kaardistatud, on võimalik teha põhjalik riskianalüüs ning hinnata, kus andmed võivad olla haavatavad või ohus. Näiteks ilmnevad koheselt protsessid, kus isikuandmete töötlemine on kõige kriitilisem või kolmadate osapooltega jagatud.

3. Kohalduvate nõuete analüüsi ja andmekaitse meetmete rakendamist. Andmekaitse on tihedalt seotud õiguslike nõuetega, näiteks isikuandmete kaitse üldmäärusega (GDPR). Andmekaitsega seotud protsesside modelleerimine aitab kindlaks teha, kas ja kuidas organisatsiooni praegused andmetöötluse protsessid vastavad seatud nõuetele. Samuti lihtsustab läbimõeldud ja kaardistatud protsess järelvalve teostamist ja auditeerimist ning seeläbi vastavust seadusandlusest tulenevatele nõuetele.

4. Nõrkuste tuvastamist ja pidevat parendamist. Protsesside modelleerimine võimaldab tuvastada vajalikud andmekaitse- ja infoturvameetmed, mis tuleb iga protsessi jaoks rakendada. Näiteks võib see hõlmata krüptimise kasutuselevõttu teatud andmeedastustel või pääsuhalduse tugevdamist teatud süsteemides. Protsesse analüüsides on võimalik läheneda SWOT-meetodil ja sellega koguda juhtimisotsusteks olulist andmestikku.

5. Efektiivsuse ja tõhususe suurendamist. Selge arusaam äriprotsessidest võimaldab optimeerida andmehalduse meetodeid ja vähendada tarbetut andmete kogumist või muul viisil töötlemist. See omakorda aitab protsesse efektiivsemaks muuta ja vältida tarbetuid tegevusi ning kulutusi.