Technológia

EU adatvédelmi szabályozás (General Data Protection Regulation (GDPR)), 2018 májusától hatályos. Szigorúbb adatvédelmi követelmények, EU állampolgárok adataira vonatkozóan.

Az új, Európai Unióban egységes adatvédelmi rendeletnek való megfelelés elengedhetetlen, hiszen a nem megfelelőség komoly büntetést (az adatkezelő éves bevételének 4%-a is lehet) és szankciókat von maga után.

Az adatvédelmi szabályozás kulcsterületei:

• Kötelező adatleltár és minden feldolgozási lépés rögzítése.
• Bejelentési kötelezettség adatvédelmi incidensekről, szabályozó és érintett fele is!
• Törlési jog megvalósítása
• Rendszeres hatásvizsgálatok elvégzése, értékelése
• Kötelező adatvédelmi felelős (DPO) kiejlölése és bevonása a szervezet folyamatiba.

Az új adatvédelmi szabályozás (GDPR) fókusza 2017-re a felkészülés. A PwC által 2016-ban készített átfogó információbiztonsági felmérésben (The Global State of Information Security® Survey, GSISS) is észrevehető, hogy a megkérdezett cég és IT biztonsági vezetők 30 %-ban kiemelt figyelmet fordítanak a szabályozásoknak való megfelelésre.

A PwC munkatársai minden részletre kiterjedően segítik partnereik munkáját:

• adatvagyon leltár és kockázatelemzési folyamat támogatása
• adatkezelési folyamatok felülvizsgálata, hiányosságok feltárása, adatvédelmi hatásvizsgálat
• munkatársak felkészítése az új adatvédelmi követelményekre
• új folyamatok kialakításának támogatása az adatvédelmi incidensek hatékony kezelésére

GDPR – Információvédelmi felmérés, hatásvizsgálat

Az Európai Unión belül, minden, EU állampolgár személyes adatát kezelő cég fel kell készüljön a GDPR által szabott követelmények teljesítésére. Az adatvédelmi szabályozásnak való megfelelés a cég működésében több területet is érint:

• folyamatok
• információs rendszerek
• felhasználók, munkavállalók

A PwC egyéni, a cégre szabott információvédelmi felméréssel képes segíteni a felkészülést a GDPR életbe lépésére:

• Folyamatok felülvizsgálata – a szükséges változtatások meghatározása, az adatvédelmi törvényben elvárt gyakorlat bevezetésére. Például az elfeledtetéshez való jog biztosítása.
  • Kívülállóként munkatársaink objektíven tudják megítélni a folyamatok működését, javaslatot tudnak tenni a jobban működtethető megoldásokra
  • a törvény által elvárt új folyamatok, lépések hiányosságainak feltárása, meglévő folyamatokba integrálás
• Informatikai rendszerek információbiztonsági képességeinek felmérése, működésük átvilágítása, nemzetközi jó gyakorlatoknak megfelelő információbiztonsági szolgáltatások kialakítására javaslattétel:
  • Jogosultságok felülvizsgálata
  • védelmi irányelvek meghatározása
  • előremutató folyamatok bevezetése
  • hatékony incidens észlelés és kezelés
• Felhasználók, munkavállalók, vezetők oktatása
  • biztonságtudatossági tréning
  • szerepkörökhöz kapcsolódó, kiemelten fontos adatvédelmi tudás építése

Kiszervezett adatvédelmi felelős (DPO – Data protection officer)

Az adatvédelmi feladatok kezelésére a hazai és a nemzetközi szabályozás is előírja a dedikált felelős kijelölését. Ezt például a közeljövőben hatályossá váló európai adatvédelmi rendelet (GDPR) is tartalmazza. A megfelelő szakember felvétele és teljes foglalkoztatása azonban nehéz, így hatékonyabb azt kiszervezni. A PwC szakértői támogatást tud ebben nyújtani, az adatvédelmi felelős pozícióját el tudja látni.

Az adatvédelmi felelős kiszervezése sok esetben hatékony megoldást jelent. Ez elsősorban a törvényi követelményekből adódó általános feladatok elvégzését jelenti, mint például a szabályzatok véleményezése és a hatóságokkal és a kormányzati eseménykezelő központtal való kapcsolattartás. Az igazi érték azonban a terület átfogóbb kézben tartása. Ennek során szakértőink támogatást adnak mind a fejlesztési irányok meghatározásában, priorizálásában, mind a felkészülési és fejlesztési projektek koordinálásában. Továbbá a megfelelő szabályozottság elérése érdekében nem csak a szabályzatok kialakításához és kontrollok implementálásához nyújtanak segítséget, de rendszeres ellenőrzéseket is végeznek. Az adatvédelmi felelős segít meghatározni a vállalat által használt adatköröket és azok karbantartását is.

A vállalati IT működéssel szemben sok követelményt támasztanak mind az ügyfelek, maguk a vállalatok, mind a szabályozók. Ezen különböző, külső vagy belső elvárásoknak való megfelelés kihívást jelent.

Szakértőink hatékony segítséget tudnak nyújtani, akár iparági (pl. ISO27001, ITIL), szabályozói (pl. MNB elvárások), vagy törvényi (pl. 2013/L tv.) megfelelőségi területen.

Szolgáltatásunk magában foglalhatja a

• felmérést,
• eltérés-elemzést,
• a fejlesztési lehetőségek részletes megvalósíthatósági elemzését,
• és cselekvési terv felállítását is.

Megfelelőségi vizsgálataink alapja a jól meghatározott követelmény rendszer, melyet a releváns törvényi és egyéb elvárásokból kiindulva, de minden esetben az ügyfeleink környezetére és működési modelljére testre szabva határozunk meg és egyeztetünk. Ezen megfelelőségi vizsgálatot szinte bármilyen jól meghatározott követelmény rendszerre el tudjuk végezni, de biztonsági területen leggyakrabban az ISO27001, ITIL területek, illetve szabályozói oldalról az MNB információbiztonsági ajánlásai és a 2013/L törvény előírásai szoktak szerepelni kritériumként. 

Mindehhez bevált módszertannal és sok esetben már meglévő kérdőívekkel és eszközrendszerrel rendelkezünk. Így nem csak érettségi szintet tudunk felmérni, de az elvárt szinthez képesti eltérések, GAP-ek alapján releváns javítási lépéseket és fejlesztéseket is javaslunk. Mindezeket tovább értékeljük, priorizáljuk és hatásuk és ráfordítási szükséglet alapján csoportosítjuk. Ez által jól áttekinthető fejlesztési területeket, praktikus cselekvési tervet javaslunk, bemutatva azok hatását a megfelelőségre.

A PwC munkatársai minden részletre kiterjedően segítik partnereik munkáját:

• IT megfelelési vizsgálatok iparági szabványok mentén (ISO27k, ITIL, ENISA)
• IT megfelelési vizsgálatok szabályozói/törvényi elvárások mentén (MNB 1/2015, MNB 2/2015, 42/2015 korm. rendelet, 2013/L tv., stb)
• Felhőszolgáltatás megfelelőségi vizsgálata 2/2017 MNB ajánlás alapján
• Adatvédelmi megfelelőség vizsgálatok, GDPR
• Folyamati és technikai megfelelési vizsgálatok elektronikus adatkezelési elvárások mentén (eSzámlázás, eArchiválás, elektronikus dokumentumkezelés)
• Megfelelőségi tanúsítások, harmadik félnek bizonyosságot nyújtó szolgáltatások

Az IT szabályozottsága és védelme akkor hatékony, ha megfelelő kockázatelemzésre épít, melyet egyre több általános és iparági szabályozás is előír, bele értve az MNB ajánlásait is. A PwC nagy tapasztalattal rendelkezik IT és IT biztonsági vizsgálatok és felmérések terén, így hathatós támogatást tud adni a kockázatok azonosításában és elemzésében. Mivel a kockázatelemzés szerves része az üzleti hatáselemzés is, ha ez nem áll rendelkezésre, vagy nem friss, akkor ebben is támogatjuk ügyfeleinket.

Megközelítésünk alapja, hogy felmérjük a Társaság által használt rendszereket, azok használati módját és a lefedett funkcionalitást, majd ezzel kapcsolatban IT vonatkozású kockázatokat azonosítunk. A kockázatokhoz párosítjuk a Társaság által működtetett kontrollokat, és meghatározzuk a maradvány kockázatokat, az üzleti hatáselemzést is figyelembe véve. Ezeket súlyozzuk az üzleti kritikusságuk szerint (hiszen lehet olyan, mely a társaság számára nem jelent nagy veszélyt), és meghatározzuk azokat a pontokat, melyeket fejleszteni szükséges a Társaság kockázati „étvágya” alapján. Kollégáink tapasztalattal rendelkeznek nem csak kockázatelemzés témájában; CISA (Certified Information System Auditor) és CISSP (Certified Information Systems Security Professional) képesítéssel rendelkeznek és járatosak az információbiztonság egyéb területein is, így szélesebb kitekintést tudnak adni. 

A PwC munkatársai hatékony és releváns kockázatelemzéssel támogatják Önt:

• kockázatelemzés elvégzése, frissítése
• üzleti hatáselemzés elkészítése / frissítése
• támogatás kockázatelemzési módszertan kialakításában

A kockázatelemzés értelme jól mutatkozik az alábbi példák mentén:

• Adatvédelem: A kapcsolódó adatkörök feltárása, besorolása, kockázatok feltárása.
• Információbiztonság: Kockázatelemzés (ISO27001 alapon) készítése és hatáselemzés elvégzése a szervezet információs vagyonfelmérése alapján.
• Felhőszolgáltatások: Kiszervezés kontrolljainak és kockázatainak elemzése. Kontroll hiányosságok feltárása, javaslattétel a megszüntetésre.

Napjainkban IT biztonsági követelményeket és azok betartását egyre több helyen várják el. A nemzetközi jó gyakorlatok az IT folyamatok terén (ITIL) és az információbiztonságban (ISO27001, NIST) fontos szerepet kapnak.

Az információbiztonsági érettségi felmérés célja, hogy objektív képet alkosson a cég információbiztonsági képességeiről, meghatározza, hogy mennyire ellenálló a szervezet a belső-külső támadásokkal szemben és fejlesztési irányokat mutasson a szervezet vezetői számára. A felmérés eredménye hatékony segítséget nyújt a stratégiai döntések meghozatalában.

Az érettségi felmérés több, egymásra épülő elemből áll. Vizsgálja a folyamatokat, a bevezetett információbiztonsági megoldásokat, azok funkcióit és a szervezetben dolgozók információbiztonsági ismereteit. A felmérés legidőigényesebb része az interjú, amely számba veszi a nemzetközi jó gyakorlat által elvárt információbiztonsági beállításokat.

Az érettségi felmérés kiértékelése során a PwC szakértő munkatársai meghatározzák a hiányosságokat, feltárják a szükséges fejlesztési irányokat és kockázatelemzési módszertan alapján rámutatnak a kritikus pontokra a szervezet információbiztonsági működésében. Ehhez több éves tapasztalattal, IT rendszer auditori és információbiztonsági ismeretekkel és tanúsítványokkal rendelkezünk.

A felmérés irányt tud mutatni a vezetők számára a jövőbeni fejlesztendő területekre és segítséget nyújt a törvényi megfeleléshez.

A felmérés kiértékelése során több nemzetközi szabvány és magyarországi információbiztonsági előírás figyelembe vételre kerül, amely biztosítja azt, hogy a felmérés több területen is felhasználható legyen, mint például:

• pénzintézetek
• egészségügyi szektor
• online boltok, webshop üzemeltetés
• kritikus infrastruktúrát működtető szervezetek
• stb.

Az érettségi szint felmérés a PwC további információvédelmi szolgáltatásával kiegészíthető:

• incidens kezelés folyamat és gyakorlat
• kiberbiztonsági vizsgálat
• penteszt

Az érettségi felmérések az alábbi területeken a legrelevánsabbak:

• Adatvédelem: Felmérés elvégzése, hogy az adatkezelés megfelelősége biztosítható-e az informatikai infrastruktúrán a GDPR-nak megfelelően.
• Információbiztonság: Az informatikai infrastruktúra szolgáltatásainak feltérképezése például Információbiztonsági Stratégia készítéséhez és fejlesztési irányok meghatározásához.
• Felhőszolgáltatások: A felhőszolgáltatásra való kiszervezés minőségbiztosítása a kiszervezésre kerülő alkalmazáson (és a kapcsolódó felhő infrastruktúrán) végzett érettségi felmérés alkalmazásával

Az IT rendszerek, vállalatok belső vagy külső informatikai hálózata több okból lehet céltáblája kibertámadásnak. Néha csak a szolgáltatások elérésének, működésének megakadályozása a cél, néha az informatikai rendszerekben tárolt adatokhoz, információhoz való hozzáférés. A sikeres támadás a szervezet folyamatait támogató IT rendszerei ellen csak két tényezőn múlik.

Az egyik az IT rendszer felhasználóinak tudatossága, a másik az IT rendszer önálló védelme.

Az informatikai rendszereken keresztül végrehajtott folyamatok teljesülésének alapvető eleme, hogy az IT rendszer és a kapcsolódó folyamatok (például adatkezelés) ellenálló legyen a belső vagy külső kibertámadásokkal szemben.

A PwC többféle, mélységében és terjedelmében eltérő folyamati és technikai, kiberbiztonsági vizsgálatot tud lefolytatni, amelynek minden esetben a hiányosságok feltárása a cél. Ezek ismeretében az alkalmazott IT rendszerek üzembiztonsága, rendelkezésre állása és integritása és a folyamatok megbízhatósága fejleszthető.

A feltárt hiányosságok visszaépíthetők az IT biztonsági kockázatelemzésbe is. A kiberbiztonsági vizsgálat végső célja a kockázatok feltárása és csökkentése, amely segíti a szervezet objektív kockázat kezelését és támogatja az IT rendszerek fenntartható és biztonságos működését. A PwC tanácsadói széles körű tudással rendelkeznek kibervédelmi megoldások terén, CISA (Certified Information System Auditor) és CISSP (Certified Information Systems Security Professional) képesítéssel rendelkeznek, így a konfigurációtól a folyamati szervezésig és a kiberbiztonsági vizsgálat eredménye alapján hatékony segítséget nyújtanak a feltárt sérülékenységek kezelésében is.

A PwC munkatársai segítik a biztonsági kockázatok feltárásában és kezelésében:

• sérülékenységvizsgálatok
• webes rendszerek biztonsági vizsgálata
• IT alkalmazások átfogó biztonsági tesztelése (black-grey-white box tesztek)
• jogosultsági szint emelési kísérletek
• infrastruktúra penetrációs tesztje
• feltárt hiányosságok akciótervezése, javaslattétel

A vizsgálatokra legrelevánsabb példák:

• Adatvédelem: Az adatvédelmi folyamatok mentén adatkezelési vizsgálat, amelynek célja, hogy feltárja az adatszivárgások lehetőségét és javaslatot tegyen a folyamatok, az adatkezelés javítására és például a GDPR-nak való megfelelés biztosítására.
• Információbiztonság és felhőszolgáltatások: Infrastruktúra és alkalmazás sérülékenység vizsgálat, amelynek célja az infrastruktúra és alkalmazások technológiai és technikai hiányosságának feltárása és javítása.

Az információbiztonsági szakma többszörösen igazolt tapasztalata, hogy az információbiztonságban a „leggyengébb láncszem” az emberi tényező, ezért az adatok megfelelő védelmének biztosításához nem elégséges azokat technikai eszközökkel (pl. vírusirtó, tűzfal) védeni, hanem a napi működésbe is szükséges beépíteni az információbiztonság-tudatosságot.

A PwC friss felmérése alapján (http://www.pwc.com/gsiss) is érdekes tény, hogy új „győztes” van a támadások módját illetően: az Adathalászat mind világ, mind európai szinten első:

Az emberi jóindulatot kihasználó támadások során egy támadó a munkatársak, vagy éppen partnerek, beszállítók segítségével (a tudtuk nélkül) jut érzékeny információkhoz (pl. jelszavak, szerződéses adatok, stb). A technológiai védelem elengedhetetlen, de nem elégséges, kiemelten fontos a tudatossági képzés, hogy a munkavállalók felismerjék, és kezelni tudják ezeket a támadásokat, és információbiztonság beépüljön a napi működésbe.

Biztonságtudatossági oktatásunkkal segítjük a szervezeteket az ilyen típusú támadások és kockázatok felismerésében és a szervezet munkatársait az információbiztonsági jó gyakorlatok megismerésében, azoknak megfelelő használatában.

Ennek során felvázolunk egy általános IT biztonsági körképet is, a támadástípusokat példákon keresztül mutatjuk be, és akár az oktatáson elhangzottakat gyakorlati eszközökkel vagy tesztekkel vissza is mérjük. Ennek hatására csökkenhet a véletlen adatszivárgás, és az adatokhoz való illetéktelen hozzáférés kockázata.

A PwC munkatársai segítik a munkáját:

• biztonságtudatossági oktatás
• adatvédelmi oktatás
• támadás-szimulációk, adathalászati teszt

Az informatikai biztonság fontos eleme a bekövetkezett incidensek kezelése. Nem elég azonban megfelelő folyamatokkal rendelkezni erre, fontos a résztvevők tudatosságának fejlesztése vagy szinten tartása. Így az incidenskezelés esetében kiemelten fontos a szabályzatok frissen tartása és a folyamatok kockázat alapú kialakítása mellett a rendszeres oktatás, és annak visszamérésére alkalmas szimulációs gyakorlatok elvégzése. Szakértőink ezen életciklus minden részében támogatást tudnak adni.

Az incidenskezelési folyamatok és különösen a kiberbiztonsági incidensek kezelése sokszor alulértékelt és nem kellően szabályozott, de gyakran találkozunk idejét múlt verziókkal is. Szakértőink felmérik a jelenlegi folyamatokat, javaslatot tesznek a kiegészítésre vagy módosításokra, további kontrollokra vagy eszkalációs módszerekre. A frissített folyamatokat a Társaság szabályozási rendszerének és működési környezetének figyelembe vételével alakítjuk ki. A szabályzatok tudatosítására gyakorlati példákkal tűzdelt interaktív oktatást tartunk. De az igazi visszamérés a szimulációs gyakorlat. Ennek során egy összetett, többféle incidensből összeállított esetet dolgozunk ki, melyet az érintettekkel „lejátszunk”. Ennek során vizsgáljuk és értékeljük a szabályzatokban szereplő folyamatok és szabályok alkalmazását, a tanulságok mentén esetleg finomítva is azokat.

A PwC támogatja Önt a megfelelő incidens kezelési folyamatok kialakításában és működtetésében:

• incidens kezelési folyamatok felmérése
• szabályzatok frissítése, javaslattétel a folyamatok javítására
• incidenskezelési folyamatok oktatása
• szimulációs incidenskezelési gyakorlatok

Példa a felmérésekre és szabályzatokra a legrelevánsabb területeken:

• Adatvédelem: Folyamati lépések meghatározása, amely biztosítja az adatvédelmi események kezelését. (GDPR)
• Információbiztonság: Hálózatbiztonsági eseménykezelés folyamatának bevezetése, tesztelése.
• Felhőszolgáltatások: Kiszervezett tevékenységhez kapcsolódó incidenskezelési folyamat-harmonizáció és tesztelés.

Az információbiztonsági feladatok kezelésére a hazai és a nemzetközi szabályozás is előírja a dedikált felelős kijelölését. Ezt például 2013/L törvény is tartalmazza. A megfelelő szakember felvétele és teljes foglalkoztatása azonban nehéz, így hatékonyabb azt kiszervezni. A PwC szakértői támogatást tud ebben nyújtani, az információbiztonsági felelős pozícióját el tudja látni.

Az információbiztonsági felelős kiszervezése sok esetben hatékony megoldást jelent. Ez elsősorban a törvényi követelményekből adódó általános feladatok elvégzését jelenti, mint például a szabályzatok véleményezése és a hatóságokkal és a kormányzati eseménykezelő központtal való kapcsolattartás. Az igazi érték azonban a terület átfogóbb kézben tartása. Ennek során szakértőink támogatást adnak mind a fejlesztési irányok meghatározásában, priorizálásában, mind a felkészülési és fejlesztési projektek koordinálásában. Továbbá a megfelelő szabályozottság elérése érdekében nem csak a szabályzatok kialakításához és kontrollok implementálásához nyújtanak segítséget, de rendszeres ellenőrzéseket is végeznek. 

Manapság népszerűnek mondhatók a felhő alkalmazások, sok szolgáltatás hirdeti ezek előnyeit, de amikor a biztonságáról van szó – a szakmán kívül – akkor még mindig nagy a bizalmatlanság. Mit szabad és mit nem szabad felhőbe tenni? Mennyire érzékeny az adat? Anonimizáljuk?

Ezzel szemben például az USA-ban már az a gyanús, ha valaki nem egy felhő-szolgáltatónál tartja az adatait, akkor számíthat szigorúbb ellenőrzésre. Ehhez persze az is kell, hogy a szolgáltatókat tanúsítják, az IT-auditok jelentős része a felhőszolgáltatások auditját jelenti, melyről megfelelőségi riportokat kapnak. A közelmúltban kiadott IT-biztonságról szóló felmérésünk is azt mutatja, hogy világszinten 63% szervezi ki az IT- működését a felhőbe, Európában még jóval kevesebben, 39%. Ezt követi Európában a marketing, a pénzügy és a beszerzés területe jó 15%-al lemaradva.

A felhőbe való kiszervezés üzleti és technikai kérdéseket is felvet, melyekkel kapcsolatban szakértelmünkkel és tapasztalatunkkal igyekezünk segíteni ügyfeleinket. A biztonsági és technikai területen például a következő szolgáltatásokat nyújtjuk:

• Érettségi felmérés a felhőben futó alkalmazásra, a kiszervezés minőségbiztosítása 
• Megfelelőségi vizsgálatok a felhőben futtatott / futtatandó alkalmazásokra, az MNB ajánlásai alapján is 
• Incidenskezelési folyamatok felmérése, harmonizálása

Adatvizualizáció, jelentés

A vállalati riporting struktúra jellemzően organikus fejlődés eredménye, amely nagyfokú testreszabottságot eredményez, de egyben csökkenti a riporting tevékenység átláthatóságát. Szakértőink a társaság riportolási folyamatait felmérve átfogó riport-leltárt készítenek, és kiszűrik a redundáns riportolási lépéseket. Ezen túlmutatóan közre tudunk működni a jelenlegi riporting eszközök fejlesztésében, a kor igényeinek megfelelő korszerű riportolási felületek (pl. Tableau, Qlik Sense) bevezetésének elősegítősében. 

Adattisztítás, adatharmonizáció

Célzott adatelemzés

Átfogó adatelemzési kompetenciáink és a rendelkezésünkre álló informatikai eszközök lehetővé teszik, hogy segítséget nyújtsunk olyan adatelemzési feladatokban, amelyre a társasság normál üzletmenetében nem tud vállalkozni. Szakértőink az ügyfelek igényeit megismerve elvégzik a szükséges tömeges adatelemzési feladatokat, és azokból strukturált következtetésekre támaszkodó eredményeket adnak át.