Průzkum se uskutečnil ve vybraných evropských zemích a ve Spojených státech Amerických a společnost Trend Micro se v jeho průběhu zeptala více než tisícovky IT manažerů s rozhodovacími pravomocemi, kteří působí v organizacích s více než 500 zaměstnanci.

Průzkum ukázal, že investice do bezpečnosti zvýšilo v souvislosti s GDPR pouze 51 procent organizací, i přes fakt, že čtvrtina respondentů vnímá jako největší problém spojený se zajištěním nových povinností nedostatečnou IT bezpečnost (25 procent) a neefektivní ochranu dat (24%).

Jednou z mála technologií přímo uváděných v nařízení GDPR je šifrování, a je tak s podivem, že do této oblasti investovala pouze necelá třetina (31%) dotázaných organizací. O mnoho lepší není situace ani v případě prevence proti únikům dat (DLP, Data Loss Prevention) nebo pokročilých technologií pro detekci narušení síťové infrastruktury. Do obou investovala pouhá třetina firem.

Čtvrtina respondentů uvedla, že největším problémem pro zajištění souladu s nařízením GDPR jsou omezené zdroje, a blíže vysvětlila i příčiny, které za nedostatkem investic stojí.

“Nařízení GDPR jasně uvádí, že organizace musí v boji s kybernetickými hrozbami používat nejmodernější technologie a zajistit bezpečnost dat i systémů,“ řekl Bharat Mistry, hlavní stratég ve společnosti Trend Micro. „Pro zajištění bezpečnosti celé podnikové informační architektury – od koncových bodů přes síťovou infrastrukturu až po hybridní cloudové prostředí – potřebují firmy hloubkovou ochranu v kombinaci s multigeneračními bezpečnostními nástroji a technikami.  Problémem nicméně je, že IT lídři nemají pro naplnění těchto požadavků dostatek finančních zdrojů nebo nemohou nalézt ty správné nástroje.“

Kromě nedostatečných investic v oblasti bezpečnosti průzkum ukázal i to, že do zvyšování povědomí zaměstnanců o nových povinnostech investovalo pouze 37% globálních organizací.

Zrádných 72 hodin

Dle průzkumu není mnoho firem připraveno ani na novou ohlašovací povinnost: o případném narušení bezpečnosti osobních údajů musí informovat během 72 hodin.

Pětina (21%) účastníků průzkumu konstatovala, že jejich organizace má definovaný formální postup pouze pro nahlášení incidentu úřadům. Podle článku 34 nařízení GDPR je ale nutné v případě narušení bezpečnosti údajů, které by mohlo vést k porušení osobních práv a svobod, informovat každou dotčenou osobu.

Žádný proces související s ohlašovací povinností nemá dle průzkumu přibližně 6% společností a 11% respondentů neví, zda takové postupy jsou v jejich organizaci definované či nikoli.

Nepříliš uspokojivá je i příprava na další klíčový prvek nařízení GDPR – na právo vymazání osobních údajů (právo na výmaz). Ačkoli 77% globálních organizací uvedlo, že mají pro řešení zákaznických požadavků týkajících se osobních údajů vypracované adekvátní postupy, v případě dat zpracovávaných třetí stranou je situace mnohem horší. Přibližně třetina respondentů neví, že toto právo se vztahuje i na data sebraná třetími stranami, cloudovými poskytovateli a partnery, případně jejich organizace nemá definované odpovídající postupy nebo nevyužívá odpovídající technologie.

 

Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.

  • Veškerý obsah HN.cz
  • Možnost kdykoliv zrušit
  • Odemykejte obsah pro přátele
  • Ukládejte si články na později
  • Všechny články v audioverzi + playlist