Άρθρο του κ. Γιώργου Τσαπρούνη, που δημοσιεύτηκε στο Broker’s Time 57*

*Ο κ. Τσαπρούνης είναι Διευθυντής Εταιρικών Σχέσεων WIND Ελλάς

Τα τελευταία χρόνια με τη δραματική αύξηση του όγκου των δεδομένων και των νέων τεχνολογιών, έχουν πραγματοποιηθεί σημαντικές αλλαγές στον τρόπο με τον οποίο οι εταιρείες δραστηριοποιούνται και διαχειρίζονται προσωπικά δεδομένα.

Το 2018 ήταν το έτος προστασίας της ιδιωτικής ζωής. Στις 25 Μαΐου 2018, τέθηκε σε ισχύ ο Γενικός Κανονισμός για την Προστασία των Δεδομένων της Ευρωπαϊκής Ένωσης (GDPR), ο πιο αυστηρός νόμος περί προστασίας της ιδιωτικής ζωής στον κόσμο. Οι εταιρείες τηλεπικοινωνιών εξαιτίας της διασύνδεσης των συστημάτων τους με το διαδίκτυο και του μεγάλου όγκου προσωπικών δεδομένων που διαχειρίζονται, αποτελούν έναν προφανή στόχο κακόβουλων ενεργειών.

H WIND ήδη εφαρμόζει ένα ευρύτατο πλαίσιο τεχνικών μέτρων και Πολιτικών Ασφαλείας, εγκεκριμένο από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και την Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ). Τον τελευταίο χρόνο, έχει υλοποιήσει και μία σειρά από επιπρόσθετα βήματα ενίσχυσης των μέτρων ασφαλείας.

Ειδικότερα η Διεύθυνση Ασφάλειας Πληροφοριών σε συνεργασία με όλα τα τεχνικά και επιχειρησιακά τμήματα της Εταιρείας διεξάγει αποτίμηση κινδύνου ασφάλειας (Information Security Risk Assessment) στα πληροφοριακά συστήματα. Με αυτό τον τρόπο αναγνωρίζονται οι πιθανές απειλές και ορίζονται τα επιπρόσθετα μέτρα ασφάλειας, τεχνικά ή οργανωτικά, τα οποία πρέπει να εφαρμοστούν. Η αναγνώριση και αξιολόγηση των κινδύνων βοηθάει στην καλύτερη διαχείριση των ρίσκων, στην ορθή λήψη αποφάσεων και στη μεγαλύτερη προστασία των δεδομένων και των πληροφοριακών συστημάτων της Εταιρείας. Η μεθοδολογία που ακολουθείται στη διαδικασία αξιολόγησης κινδύνων είναι πλήρως εναρμονισμένη με διεθνή πρότυπα ασφάλειας.

Επιπρόσθετα, ιδιαίτερα σημαντικά μέτρα ασφάλειας που χρησιμοποιεί η WIND είναι:

  • δημιουργία αρχείου δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων (RPAs) και εκπόνηση μελετών εκτίμησης αντίκτυπου (DPIAs) σχετικά με τις επεξεργασίες προσωπικών δεδομένων
  • εκτεταμένος σχεδιασμός συστημάτων και υιοθέτηση νέων τεχνολογικών δικλίδων ασφαλείας, που φτάνουν μέχρι και την κρυπτογράφηση των δεδομένων
  • επικαιροποίηση του συνόλου των πολιτικών και διαδικασιών που σχετίζονται με επεξεργασία προσωπικών δεδομένων
  • ενημέρωση του συνόλου των συνεργατών της Εταιρείας ώστε να αναλάβουν αντίστοιχα τεχνικά και οργανωτικά μέτρα, καθώς και νομικές δεσμεύσεις ως προς την εφαρμογή του GDPR (DPAs)
  • υλοποίηση ειδικής εφαρμογής που επιτρέπει στους πελάτες της WIND να ασκούν τα δικαιώματα που τους παρέχει ο GDPR, εύκολα, γρήγορα και κυρίως με διαφάνεια
  • πραγματοποίηση εκπαιδεύσεων για τα θέματα προσωπικών δεδομένων στο σύνολο του ανθρώπινου δυναμικού της Εταιρείας και της αλυσίδας των συνεργαζόμενων καταστημάτων σε συνεργασία με εξειδικευμένους νομικούς και κορυφαία στελέχη στον τομέα της πληροφορικής και της ασφάλειας προσωπικών δεδομένων
  • έλεγχοι και αξιολογήσεις σε όλους τους προμηθευτές, με στόχο την αποτίμηση του επιπέδου ασφάλειας και συνεπώς τη μείωση του ρίσκου
  • συστηματικοί έλεγχοι (Penetration Testing) με στόχο την αξιολόγηση των αδυναμιών ασφάλειας των συστημάτων του οργανισμού καθώς και την υλοποίηση διορθωτικών μέτρων
  • υλοποίηση συστήματος Πρόληψης Απώλειας Δεδομένων (DLP) μέσω του οποίου επιτυγχάνεται η ανίχνευση και η πρόληψη παραβιάσεων δεδομένων, με στόχο τη διασφάλιση των δεδομένων
  • υλοποίηση συστήματος Security Information & Event Management, το οποίο συνδυάζει τη διαχείριση συμβάντων ασφάλειας (SEM) και τη διαχείριση πληροφοριών ασφαλείας (SIM) και είναι σε θέση να παρακολουθεί τις απειλές ώστε να παρέχει ειδοποιήσεις ασφαλείας σε πραγματικό χρόνο