CYBERSECURITY

One size fits nothing

Οι εταιρίες τεχνολογίας οφείλουν να υιοθετήσουν μια νέα προσέγγιση σε ό,τι αφορά στους ψηφιακούς κινδύνους.

Στην Αυστρία, εκεί που ξεκινάει η γραμμή του ορίζοντα, ένα αρχαίο κάστρο με το όνομα Hochosterwitz, αχνοφαίνεται στα περιτριγυρισμένα με δάσος περίχωρα. Κάθε χρόνο, χιλιάδες τουρίστες συρρέουν για να επισκεφτούν αυτό το μεσαιωνικό θαύμα και να γνωρίσουν την ιστορία του, μαθαίνοντας μια εντυπωσιακή πληροφορία: το Hochosterwitz είναι ένα από τα λίγα κάστρα σε ολόκληρη την υφήλιο που δεν έχουν ποτέ παραβιαστεί.

Για αυτό, οι κάτοικοι του Hochosterwitz θα είναι πάντοτε ευγνώμονες στον Βαρόνο George Khevenhüller, ο οποίος γνώριζε πως το συγκεκριμένο κάστρο έχει στρατηγική σημασία για την περιοχή. Ειδικότερα, φοβούμενος μια ενδεχόμενη επίθεση, ο Βαρόνος διέταξε την κατασκευή 14 οχυρωμένων πυλών στην πιο προσβάσιμη πλαγιά, καθώς εκεί βρισκόταν το πιο ευάλωτο σημείο του κάστρου. Η κάθε πύλη χαρακτηρίζονταν από μια μοναδική αμυντική δομή σχεδιασμένη να αναχαιτίσει τους εισβολείς. Και αυτό λειτούργησε πραγματικά. Ο εισβολέας που έφτασε πιο κοντά από όλους κατάφερε να φτάσει μόνο μέχρι την τέταρτη πύλη.

Στη σύγχρονη εποχή, οι εταιρείες τεχνολογίας μπορούν να παραδειγματιστούν από τον Khevenhüller. Μπορεί να μη φοβούνται την επέλαση ξένων εισβολέων, ωστόσο αντιμετωπίζουν συχνά επιθέσεις από κακόβουλους χρήστες, οι οποίοι επιδιώκουν να κλέψουν την πνευματική ιδιοκτησία ή τα προσωπικά δεδομένα που έχουν στη διάθεσή τους.

Όπως ακριβώς και ο Βαρόνος Khevenhüller, οι επιχειρήσεις τεχνολογίας θα πρέπει να εντοπίσουν ποια είναι τα σημαντικότερα δεδομένα τους, να σκεφτούν τα πιο ευάλωτα σημεία τους και να σχεδιάσουν μια ανάλογη αμυντική στρατηγική.

Ασφαλώς, μια ολιστική ψηφιακή στρατηγική για την αντιμετώπιση των κινδύνων (η οποία θα περιλαμβάνει την κυβερνασφάλεια και θα προστατεύει τα προσωπικά δεδομένα σε ολόκληρη την επιχείρηση), δεν πρέπει να περιλαμβάνει μόνο δράσεις προστασίας κατά των κυβερνοεπιθέσεων. Η ολοένα αυστηρότερη νομοθεσία για την προστασία των δεδομένων, καθώς επίσης και η αυξανόμενη ενημέρωση του κοινού σε θέματα κυβερνασφάλειας, δείχνουν στις επιχειρήσεις τεχνολογίας πως πρέπει να επανεξετάζουν συχνά τους ελέγχους απορρήτου. Η κατηγοριοποίηση των στοιχείων είναι απαραίτητη για αυτή τη διαδικασία.

Οι επιχειρήσεις τεχνολογίας είναι ευάλωτες

Το ετήσιο παγκόσμιο κόστος του κυβερνοεκγλήματος αναμένεται να εκτοξευτεί στα $6 τρισ. το 2021, από τα $3 τρισ. που κατέγραψε το 2015 [1]. Ο James Arthur, Partner και Head of Cyber Consulting στην Grant Thornton στο Ηνωμένο Βασίλειο, σχολιάζει πως όντως «οι επιχειρήσεις τεχνολογίας επηρεάζονται άμεσα».

«Είναι σημαντικό για τις επιχειρήσεις τεχνολογίας να αναπτύξουν μια στρατηγική κατά των ψηφιακών κινδύνων, η οποία θα βασίζεται στα πιο στρατηγικά σημαντικά στοιχεία τους», συνεχίζει ο ίδιος. «Άλλωστε, οι επιχειρήσεις τεχνολογίας είναι συνήθως υπεύθυνες για περισσότερα δεδομένα από ότι μια συνηθισμένη επιχείρηση και γι’ αυτό υιοθετούν πιο εύκολα νέες τεχνολογίες. Ωστόσο, αυτό το γεγονός μπορεί να δημιουργήσει και ψηφιακές αδυναμίες».   

Οι επιχειρήσεις τεχνολογίας B2C φιλοξενούν και επεξεργάζονται έναν τεράστιο όγκο ευαίσθητων προσωπικών δεδομένων. Συνεπώς δεν προκαλεί έκπληξη το γεγονός ότι το ΙΤ αποτέλεσε τον τομέα με τις περισσότερες κυβερνοεπιθέσεις για την προηγούμενη χρονιά [2].

Όλα αυτά συνδυαστικά (και όπως έδειξε και προηγούμενη έρευνα της Grant Thornton) σημαίνουν ότι οι επιχειρήσεις τεχνολογίας είναι ευάλωτες στις κυβερνοεπιθέσεις και στις παραβιάσεις των προσωπικών δεδομένων των καταναλωτών, περισσότερο από ποτέ. Αυτό δεν τις αφήνει απλώς εκτεθειμένες σε αυστηρά ρυθμιστικά πρόστιμα, αλλά και στην πιθανότητα μιας ανεπανόρθωτης δυσφήμισης.

Πώς θα βρεθείτε ένα βήμα μπροστά από τις ρυθμίσεις       

Τα τελευταία τρία χρόνια, οι επιχειρήσεις τεχνολογίας έχουν καταβάλει μεγάλες προσπάθειες για να συμμορφωθούν στο νέο ρυθμιστικό πλαίσιο για την προστασία των προσωπικών δεδομένων, και αυτό δεν αφορά μόνο τον GDPR. Αν και οι περισσότερες επιχειρήσεις τεχνολογίας μεγάλου μεγέθους έχουν πλέον συμμορφωθεί, θα πρέπει να παραμείνουν σε εγρήγορση. Το ρυθμιστικό πλαίσιο για την προστασία των προσωπικών δεδομένων γίνεται ολοένα και πιο αυστηρό και τα πρόστιμα για όσους δεν συμμορφώνονται συνεχίζουν να αυξάνονται. Επιπρόσθετα, οι καταναλωτές ενημερώνονται περισσότερο για τα θέματα που σχετίζονται με την προστασία των δεδομένων τους και συνεπώς είναι πρόθυμοι να τιμωρήσουν εκείνες τις επιχειρήσεις που δεν λαμβάνουν το ζήτημα σοβαρά.

Οι επιχειρήσεις τεχνολογίας πρέπει να απαντήσουν σε αυτά τα ζητήματα με μια προσέγγιση που ξεπερνά το ελάχιστο επιτρεπτό όριο προστασίας που προτείνουν οι ρυθμιστικές αρχές. Ο Akshay Garkel, Advisory Partner στην Grant Thornton στην Ινδία επιβεβαιώνει ότι: «Οι επιχειρήσεις τεχνολογίας, σήμερα, πρέπει να κάνουν ένα βήμα παρακάτω προκειμένου να βεβαιωθούν ότι είναι συμμορφωμένες με τους κανονισμούς για την προστασία των δεδομένων. Αυτό συμβαίνει διότι οι επιχειρήσεις τεχνολογίας ελέγχουν προσωπικά δεδομένα, παρέχοντας υπηρεσίες στους πελάτες τους σε έναν ρυθμιζόμενο τομέα. Στον αντίποδα, οι πελάτες είναι διαχειριστές προσωπικών δεδομένων».      

Επιπλέον συνεχίζει λέγοντας πως: «Οι επιχειρήσεις παροχής υπηρεσιών cloud θα πρέπει να τηρούν 10 από τους 20 (για παράδειγμα) κανόνες για τα προσωπικά δεδομένα, προκειμένου να είναι συμμορφωμένες με το ρυθμιστικό πλαίσιο. Αλλά δεν θα πρέπει να σταματήσουν εκεί. Στο πλαίσιο προστασίας των προσωπικών δεδομένων, θα πρέπει να κάνουν ένα βήμα παραπέρα, τηρώντας τουλάχιστον τέσσερις ή πέντε κανόνες περισσότερους από αυτούς που απαιτούν οι ρυθμιστικές αρχές. Αυτό είναι κάτι που απαιτούν και οι πελάτες από τις επιχειρήσεις».  

«Ακροβατώντας» μεταξύ της προστασίας των προσωπικών δεδομένων και των analytics

Το κλειδί κρύβεται στην ισορροπία. Οι πελάτες εκτιμούν τις επιχειρήσεις τεχνολογίας που κάνουν μεγάλες προσπάθειες για την προστασία των δεδομένων τους, χωρίς όμως να περιορίζουν τις προσωποποιημένες προσφορές ή την ανάπτυξη προϊόντων «κομμένων και ραμμένων» στις ανάγκες τους.

Με εξαίρεση κάποιες μεμονωμένες εταιρείες, το αυστηρό ρυθμιστικό πλαίσιο περί απορρήτου αποτρέπει τη χρήση των προσωπικών δεδομένων ακόμα και για θετικά κοινωνικά αποτελέσματα στον τομέα της υγείας, στην εξάλειψη των ασθενειών ή τη μείωση των αυτοκινητιστικών ατυχημάτων. Επομένως, οι κυβερνήσεις και οι ρυθμιστικές αρχές θα πρέπει να προσέξουν να μην θεσπίζουν υπερβολικά περιοριστικούς νόμους για την προστασία των δεδομένων.

O Nick Watson, Partner και υπεύθυνος του τομέα τεχνολογίας στην Grant Thornton στο Ηνωμένο Βασίλειο σημειώνει ότι: «Η ισορροπία μεταξύ προστασίας δεδομένων και χρήσης δεδομένων για το δημόσιο συμφέρον αποτελεί βασικό ζήτημα για την κοινωνία. Παραδείγματος χάριν η Γερμανία έχει ένα ιδιαιτέρως αυστηρό ρυθμιστικό πλαίσιο, και αυτό έχει ως αποτέλεσμα τα δεδομένα αυτοκινητιστικών δυστυχημάτων να μην συλλέγονται σε συγκεκριμένες εκτάσεις δρόμων. Επομένως, στη Γερμανία δεν μπορούν να συλλέξουν δεδομένα με σκοπό να εντοπίσουν κάποιον συγκεκριμένο κόμβο στον οποίο να γίνονται ατυχήματα. Αν ακόμα και τα μη εξατομικευμένα δεδομένα δεν ταξινομούνται σε επίπεδο ομάδας σε μια ανώνυμη βάση, τότε η κοινωνία σίγουρα χάνει».

Μεσάζοντες παρακολούθησης

Κρίνοντας από τη συνεχώς αυξανόμενη πολυπλοκότητα του ρυθμιστικού πλαισίου, πολλές επιχειρήσεις τεχνολογίας μετουσιώνονται σε μεσάζοντες παρακολούθησης, είτε μας αρέσει είτε όχι. Αξίζει να σημειωθεί ότι οι επιχειρήσεις τεχνολογίας έχουν στη διάθεσή τους πληροφορίες, οι οποίες είναι χρήσιμες για την καταπολέμηση του εγκλήματος, είτε αυτές προέρχονται από τα social media, είτε από ηχογραφήσεις σε συσκευές Echo, είτε από γεωγραφικά δεδομένα αποθηκευμένα στα κινητά μας.  

Χωρίς αμφιβολία, οι επιχειρήσεις τεχνολογίας θα πρέπει να συμμορφώνονται στις απαιτήσεις του νόμου και των αρχών, όταν χρειάζονται πληροφορίες, θα πρέπει όμως να διακρίνονται από μια διακριτική ευχέρεια στο πόσο γρήγορα απαντούν και στο βάθος των πληροφοριών που παρέχουν.

Πολλοί είναι εκείνοι που αναρωτιούνται αν τα αιτήματα των αρχών για πληροφορίες και προσωπικά δεδομένα θα πρέπει να διεκπεραιώνονται χωρίς δεύτερη σκέψη, ή θα πρέπει να υποβάλλονται σε σοβαρό έλεγχο με σκοπό την προστασία της ιδιωτικότητας των ατόμων.

Στο παρελθόν, κάποιες επιχειρήσεις τεχνολογίας αντιστέκονταν και δεν συνεργάζονταν στα αιτήματα των αρχών για την κοινοποίηση προσωπικών δεδομένων πελατών τους. Όσο οι επιχειρήσεις τεχνολογίας ακούσια συσσωρεύουν ολοένα και περισσότερα δεδομένα, η διαμάχη για το ποια από αυτά πρέπει να κοινοποιούνται και για ποιο σκοπό θα συνεχίζεται.

Άλλωστε, θα ήταν χειρότερο να κατηγορηθούν οι αρχές για την αναποτελεσματικότητά τους κατά της τρομοκρατίας, από το να κατηγορηθούν οι επιχειρήσεις για τη μη συμμόρφωσή τους στο αυστηρό ρυθμιστικό πλαίσιο της προστασίας των προσωπικών δεδομένων.

Ενισχύοντας την προστασία των ψηφιακών περιουσιακών στοιχείων  

Πώς πρέπει να αποκριθούν οι επιχειρήσεις τεχνολογίας στο αυξανόμενο ψηφιακό ρίσκο; Πρώτα από όλα, θα πρέπει να ταξινομήσουν, να κατηγοριοποιήσουν και να χαρτογραφήσουν τα ψηφιακά περιουσιακά τους στοιχεία, έτσι ώστε να κατανοήσουν τόσο τους κινδύνους όσο και την αξία που σχετίζονται με αυτά.

Οπλισμένες με αυτή την πληροφόρηση, οι επιχειρήσεις θα πρέπει να αναπτύξουν και να εφαρμόσουν μια διεξοδική στρατηγική κατά του ψηφιακού κινδύνου, η οποία θα ενισχύει τα πιο σημαντικά ψηφιακά περιουσιακά στοιχεία για τις ίδιες και τους πελάτες τους.

Ασφαλώς, τα πιο πολύτιμα δεδομένα μιας επιχείρησης μπορεί να μην έχουν καμία αξία για μια άλλη. Για παράδειγμα, οι επιχειρήσεις fintech δίνουν μεγάλη σημασία στα χρηματοοικονομικά δεδομένα των πελατών, αντίθετα οι επιχειρήσεις στο χώρο της ψυχαγωγίας βάζουν προτεραιότητα στις προτιμήσεις των καταναλωτών και οι high-tech επιχειρήσεις δίνουν μεγάλη σημασία στην πνευματική τους ιδιοκτησία. 

Αυτή η προσέγγιση ακούγεται λογική, αλλά μεγάλο ποσοστό των επιχειρήσεων δεν την ακολουθούν. Στον αντίποδα, οι επιχειρήσεις, σε ό,τι αφορά στην ψηφιακή προστασία και στην προστασία των προσωπικών δεδομένων, επιλέγουν να βασιστούν σε μια απαρχαιωμένη ενιαία προσέγγιση, κοινή για όλους.

O Orus Dearman, Μanaging Director of Risk Advisory Services στην Grant Thornton στις ΗΠΑ, χαρακτηριστικά αναφέρει: «Πρόσφατα, βοηθήσαμε έναν πελάτη μας που δραστηριοποιείται στο χώρο της τεχνολογίας, να εντοπίσει τα ευαίσθητα και προσωπικά δεδομένα που υπήρχαν στη βάση δεδομένων και το δίκτυό του. Ειδικότερα, η διαδικασία απογραφής έγινε μέσα από την κατηγοριοποίηση των δεδομένων. Αυτό επέτρεψε στον πελάτη μας να κατανείμει τους πόρους του για την προστασία των δεδομένων αποτελεσματικά και με μεγαλύτερο αντίκτυπο. Τώρα, αν κάποιος θέλει να αλλάξει οτιδήποτε σε αυτά τα δεδομένα, η ομάδα προστασίας μπορεί να μπει στη διαδικασία οργανικά».

Διαγράψτε τα άχρηστα δεδομένα 

Αντίθετα, αποδεικνύεται πως τα δεδομένα που δεν είναι χρήσιμα για ρυθμιστικούς σκοπούς ή τη συμμόρφωση της επιχείρησης, θα πρέπει να διαγράφονται ή να γίνονται ανώνυμα. Αυτό μειώνει το ρίσκο της επιχείρησης να εκτεθεί ανεπανόρθωτα.

Φυσικά, οι επιχειρήσεις τεχνολογίας μπορεί να είναι απρόθυμες στο να διαγράψουν πληροφορίες, καθώς υπάρχει πιθανότητα να είναι χρήσιμες σε κάποιον έλεγχο ή σε κάποια άλλη διαδικασία την οποία δεν γνωρίζουν ακόμα. Η χαρτογράφηση των δεδομένων βοηθά τις επιχειρήσεις να συνειδητοποιήσουν τις αλληλεξαρτήσεις τους, γεγονός που με τη σειρά του διευκολύνει τη διαγραφή δεδομένων.

Αξίζει να σημειωθεί ότι η κατηγοριοποίηση δεδομένων δεν μειώνει απλώς το ρίσκο, αλλά παράγει αξία. Αυτή η διαδικασία μπορεί να ταυτοποιήσει σύνολα δεδομένων ή συνδυασμούς συνόλων δεδομένων, τα οποία χρησιμοποιούνται στη βελτίωση της αποτελεσματικότητας των εσωτερικών λειτουργιών ή στην καλύτερη κατανόηση των καταναλωτικών προτιμήσεων. 

Όταν αλλάζει η στρατηγική, πρέπει να αλλάζει και η κατηγοριοποίηση των δεδομένων   

Οι επιχειρήσεις τεχνολογίας πρέπει να θυμούνται δύο πράγματα όταν κατηγοριοποιούν δεδομένα. Πρώτον, δεν πρόκειται για μια επαναλαμβανόμενη διαδικασία. Οι επιχειρήσεις θα πρέπει να χαρτογραφούν συνεχώς τα ψηφιακά περιουσιακά τους στοιχεία, καθώς οι προτεραιότητές τους εξελίσσονται και η φύση των απειλών αλλάζει.

Δεύτερον, ο υπεύθυνος ασφάλειας πληροφοριών ή ο επικεφαλής του ΙΤ δεν μπορούν να φέρουν μόνοι τους εις πέρας αυτή τη διαδικασία. Πρόκειται για μια κομβική επιχειρηματική απόφαση, η οποία θα πρέπει να συνάδει με τους στόχους της επιχείρησης. Συνεπώς, η συμμετοχή των ανώτερων διοικητικών στελεχών στη διαδικασία κρίνεται απαραίτητη.

Αποκτήστε ανταγωνιστικό πλεονέκτημα μέσω της εμπιστοσύνης

Οι επιχειρήσεις τεχνολογίας βρίσκονται ενώπιον μιας πραγματικής ευκαιρίας, ήτοι να πορευτούν στην αγορά με γνώμονα την ψηφιακή εμπιστοσύνη. Οι επιχειρήσεις έχουν τη δυνατότητα να αποκτήσουν ένα σημαντικό συγκριτικό πλεονέκτημα αν επιδείξουν ετοιμότητα στην αντιμετώπιση μιας ενδεχόμενης απειλής στον κυβερνοχώρο, αν διαχειριστούν υπεύθυνα τα δεδομένα των πελατών τους και αν τους ενδυναμώσουν στη διαχείριση των ελέγχων απορρήτου.

Προκειμένου να ξεκινήσει η ανοικοδόμηση της εμπιστοσύνης, οι επιχειρήσεις τεχνολογίας θα πρέπει να προσφέρουν λύσεις ψηφιακής προστασίας με προστιθέμενη αξία, όπως για παράδειγμα ελέγχους για κακόβουλα λογισμικά οι οποίοι θα καλύψουν ενδεχόμενες αδυναμίες. Οι πελάτες θα εντυπωσιαστούν επίσης από τους προμηθευτές που διεξάγουν εκτεταμένους ελέγχους στην ψηφιακή ασφάλεια και παράγουν ανεξάρτητες εκθέσεις αξιοπιστίας.

Ο Matthew Green, Technology Advisory Partner της Grant Thornton στην Αυστραλία σχολιάζει πως: «Οι εκθέσεις που αποδεικνύουν την ικανότητα, την ασφάλεια και τη σοβαρή δέσμευση για τη διαχείριση του κινδύνου (όπως η SOC2 και η ISAE3402), είναι χωρίς αμφιβολία ένας τρόπος διαφοροποίησης των επιχειρήσεων τεχνολογίας από τον ανταγωνισμό. Οι πιο ενημερωμένοι πελάτες ξεκινούν να ζητούν επικύρωση και διαρκή διαβεβαίωση ότι ο οργανισμός με τον οποίο συνεργάζονται διατηρεί ένα κατάλληλο επίπεδο ασφάλειας για τα δεδομένα. Συνεπώς, για να δείξουν την ενημέρωσή τους σε θέματα ασφαλείας οι πελάτες ζητούν αυτές τις εκθέσεις».

Υπάρχει μια πληθώρα προτύπων ασφαλείας, τα οποία οι επιχειρήσεις τεχνολογίας μπορούν να χρησιμοποιήσουν για να επιδείξουν την ψηφιακή τους ανθεκτικότητα. Ωστόσο, επειδή κάθε επιχείρηση τεχνολογίας είναι διαφορετική, αυτά τα πρότυπα μπορούν να λειτουργήσουν μόνο ως ένα απλό σημείο εκκίνησης. Οι επιχειρήσεις τεχνολογίας οφείλουν να επανεξετάσουν τις ανάγκες των πελατών τους σχετικά με την ασφάλεια στον κυβερνοχώρο και να δώσουν προτεραιότητα σε αυτές.

Οι καταναλωτές εκτιμούν τον έλεγχο  

Η ετυμηγορία σχετικά με το αν οι επιχειρήσεις τεχνολογίας B2C μπορούν να διαφοροποιηθούν μέσω της της ψηφιακής εμπιστοσύνης, εκκρεμεί. Παρ’ όλα αυτά, η διευκόλυνση των καταναλωτών στην ταυτοποίηση και διαγραφή των προσωπικών τους δεδομένων και στη διαχείριση των ρυθμίσεων ασφαλείας, δεν θα αποτελούσε μια αρνητική εξέλιξη.   

Οι επιχειρήσεις τεχνολογίας B2C θα πρέπει επίσης να μεταδίδουν με σαφή τρόπο την πολιτική απορρήτου τους. Σήμερα, οι περισσότερες πολιτικές απορρήτου εμφανίζονται με μικροσκοπικά γράμματα σε εκτάσεις πολλών σελίδων, καθιστώντας σχεδόν αδύνατη την αποκρυπτογράφησή τους. 

O Orus Dearman αναφέρει: «Η πολιτική απορρήτου θα πρέπει να διευκολύνει την καινοτομία και όχι να την εμποδίζει. Οι εταιρείες μπορούν να εκμεταλλευτούν την υιοθέτηση σωστών πρακτικών απορρήτου, με σκοπό να εδραιώσουν και να ενισχύσουν την επωνυμία τους στην αγορά. Προφανώς, η διαφάνεια στην επικοινωνία των πολιτικών απορρήτου είναι ζωτικής σημασίας. Η επικρατούσα τάση για τις επιχειρήσεις τεχνολογίας είναι να αναπτύξουν ένα κόμβο για τους χρήστες, ο οποίος θα τους επιτρέπει να δουν ποια στοιχεία τους χρησιμοποιούνται».

«Οι κανονισμοί για την προστασία των προσωπικών δεδομένων, όπως ο GDPR και ο CCPA, απαιτούν σαφείς και συνοπτικές ειδοποιήσεις απορρήτου για τα άτομα που επηρεάζουν. Ωστόσο, για όσους από εμάς δεν εμπίπτουν στον GDPR ή στον CCPA, πολλές συμφωνίες χρηστών περιέχουν περισσότερες από εκατό σελίδες. Συνεπώς, υπάρχει περιθώριο βελτίωσης», καταλήγει ο Orus Dearman.

Οι πέντε προτάσεις μας

Προκειμένου να χτίσετε και να διατηρήσετε την ψηφιακή εμπιστοσύνη των πελατών σας, θα πρέπει να εφαρμόσετε τις εξής προτάσεις:

  1. Κατηγοριοποιήστε τα δεδομένα σύμφωνα με τη στρατηγική τους σημασία. Ειδικότερα, δώστε προτεραιότητα στην προστασία ρηξικέλευθων δεδομένων για την εταιρεία και τους πελάτες, αλλά και στην προστασία δεδομένων που θα σας δυσφημίσουν σε περίπτωση που εκτεθούν δημόσια.
  2. Κάντε τακτική επανεξέταση της κατηγοριοποίησης των δεδομένων, σε συνεργασία με υψηλόβαθμα στελέχη της επιχείρησής σας. Η κατηγοριοποίηση πρέπει να συνάδει με τους στόχους της επιχείρησης, οι οποίοι ενδέχεται να αλλάξουν με την πάροδο του χρόνου.
  3. Κατά την εφαρμογή μιας πολιτικής για την προστασία των δεδομένων, μη σκεφτείτε μόνο τις ελάχιστες δυνατές απαιτήσεις των ρυθμιστικών αρχών. Θα πρέπει να σκεφτείτε πώς θα διαμορφώνεται το κανονιστικό πλαίσιο στο μέλλον.
  4. Συνεργαστείτε πλήρως με έγκυρα αιτήματα κοινοποίησης δεδομένων και πληροφοριών, γνωρίζοντας ωστόσο σε ποιο βαθμό θα πρέπει να παρέχονται.
  5. Επιδείξτε τη δέσμευσή σας στην προστασία των δεδομένων, ελέγχοντας τακτικά τις πρακτικές σας κατά του ψηφιακού κινδύνου με τη συμβολή ενός τρίτου ανεξάρτητου μέρους. Αυτό θα βοηθήσει στην οικοδόμηση εμπιστοσύνης.

Οι ενιαίες προσεγγίσεις δεν ανταποκρίνονται ποτέ σε ό,τι αφορά στην προστασία των επιχειρήσεων από κυβερνοεπιθέσεις και παραβιάσεις δεδομένων. Ωστόσο, οι επιχειρήσεις τεχνολογίας μπορούν να ενισχύσουν την ανθεκτικότητά τους, εφαρμόζοντας όλες ή κάποιες από αυτές τις προτάσεις. Αρκεί βέβαια να τις προσαρμόσουν στο δικό τους προφίλ, αλλά και σε αυτό των πελατών τους.

[1] Cybersecurity Ventures 2018

[2] Positive Technologies 2018