Συνεργασία PRIORITY & INTERAMERICAN:

Transcript

1 Συνεργασία PRIORITY & INTERAMERICAN: GDPR, από τη θεωρία στην πράξη Δ. Στασινόπουλος PRIORITY, IT Governance Dep. Director 22Φεβρουάριου 2019 Σ.Μολίνου INTERAMERICAN, Information Security & Data Protection Officer

2 πρωτοπόρος εταιρεία συμβούλων οργάνωσης και ΙΤ από το 1995 βελτιστοποίηση επιχειρησιακών διαδικασιών σύμφωνα με βέλτιστες πρακτικές κανονιστικό πλαίσιο διεθνή πρότυπα εξειδίκευση στη διακυβέρνηση πληροφορικής Ποιοι είμαστε PRIORITY προστασία δεδομένων ασφάλεια πληροφοριών επιχειρησιακή συνέχεια διαχείριση υπηρεσιών ΙΤ 50 στελέχη πελατολόγιο: 3000 έργα 1300 επιχειρήσεις

3 Μας εμπιστεύονται

4 ενδεικτικά έργα GDPR Alpha Υποστηρικτικών Εργασιών

5 Ιστορική αναδρομή : Ανάπτυξη και Εφαρμογή Συστήματος Ποιότητας & Οδικής Ασφάλειας Πιστοποίηση κατά ISO 9001 & ISO39001 Η συνεργασία μας με τη INTERAMERICAN : Εφαρμογή Συστήματος Επιχειρησιακής Συνέχειας Πιστοποίηση κατά ISO : Διενέργεια Data Protection Impact Assessment στις ΙΝΤΕΡΑΜΕΡΙΚΑΝ ΖΗΜΙΩΝ, ΙΝΤΕΡΑΜΕΡΙΚΑΝ ΒΟΗΘΕΙΑΣ, INTERAMERICAN ΕΛΛΗΝΙΚΗ ΖΩΗΣ 2018: Διενέργεια Data Protection Impact Assessment σε νέα υπηρεσία δραστηριότητα : Επικαιροποίηση Data Protection Impact Assessment στον Όμιλο

6 Διενέργεια Data Protection Impact Assessment Ομάδα έργου PM/DPO ρόλοι & αρμοδιότητες Προετοιμασία kick-off awareness session Διάγνωση Data Flow Mapping Gap Analysis Compliance Plan παρουσίαση και συμφωνία Χρονοδιάγραμμα: Δεκ 2016 έως Μάιος 2017

7 Δυσκολίες που είχαμε να αντιμετωπίσουμε Επιφυλακτικότητα Λάθος ερμηνεία- Παραφιλολογία Δυσπιστία Αντίσταση στην αλλαγή Ιδιαιτερότητες του έργου

8 Δυσκολίες που είχαμε να αντιμετωπίσουμε Επιφυλακτικότητα Λάθος ερμηνεία- Παραφιλολογία Δυσπιστία Αντίσταση στην αλλαγή Ιδιαιτερότητες του έργου Το στοίχημα που έπρεπε να κερδίσουμε Να κερδίσουμε εμπιστοσύνη Μη διατάραξη του business Να παραμείνουμε customer friendly

9 Τεχνογνωσία και συναντίληψη Τρόπος διαχείρισης Εφικτές και έξυπνες αλλαγές στα operations Πολλαπλή προσέγγιση Νομική, Business, IT, Ασφάλεια Πληροφοριών Συμμετοχή και αλληλεπίδραση

10 To project σε αριθμούς 41 Business Units 24 Εβδομάδες 3 Εταιρίες 60 workshops 5 αρχικές εκπαιδεύσεις 114 αποκλίσεις 17 μήνες έως 25/5/18 30% 39% 1. Βασικές αρχές επεξεργασίας 4. Οργανωτική δομή 7 Πυλώνες Αξιολόγησης 2. Διασφάλιση δικαιωμάτων φ.π. 5. Πολιτικές & διαδικασίες 7. Ασφάλεια πληροφοριών 3. Γνωστοποίηση παραβιάσεων 6. Συνεχής συμμόρφωση 5% 16% 4% 3% 3% Βασικές αρχές επεξεργασίας π.δ. Γνωστοποίηση παραβιάσεων π.δ. Πολιτικές & διαδικασίες Ασφάλεια πληροφοριών Διασφάλιση δικαιωμάτων φ.π. Οργανωτική δομή Επιθεωρήσεις & συνεχή συμμόρφωση

11 πρόκειται για μια νέα αφετηρία; αποτελεί εχθρό;

12 είναι μια επιχειρηματική ευκαιρία; πιο απλά μια ευκαιρία για νοικοκύρεμα ;

13 Εμείς το είδαμε ως ευκαιρία για Προστιθέμενη Αξία και Επιχειρησιακή Διάκριση

14 Continuous Awareness Program Πως φτάσαμε ως εδώ.. Υλοποίηση Λύσεων Ενσωμάτωση απαιτήσεων ιδιωτικότητας Προσδιορισμός KPIs & αξιολόγηση αυτών Καταγραφή Αποτελεσμάτων και Αποκλίσεων Εκτέλεση DPIA Εμπλοκή Επιχειρησιακών Μονάδων Καθορισμός Μεθοδολογίας Υλοποίησης Δημιουργία Οργανωτικής Δομής & Ανάθεση Αρμοδιοτήτων Ανάλυση Κανονισμού Παρουσίαση Απαιτήσεων στη Διοίκηση Καθορισμός Πλαισίου GDPR & DPIA

15 Data Protection HUB Data Protection Office Information Security Office Legal Representative Compliance Office Risk Management Representative IT Security Representative

16 Διενέργεια DPIA Kick off Συναντήσεις Βασικές Έννοιες GDPR Σκοπός Έργου Επεξήγηση μεθοδολογίας Πως επηρεάζει ο καθένας με τη δουλειά του Συνεντεύξεις Ανασκόπηση & Μελέτη Αποτύπωση Ροής Δεδομένων Αξιολόγηση υφιστάμενων μέτρων Επισκόπηση Αρχιτεκτονικής Ασφάλειας Παραλαβή Παραδοτέων Gap Analysis (μη συμμορφώσεις) Compliance Plan (Privacy Framework, Data Security)

17 Πως τα αξιοποιήσαμε Προτεραιοποίηση ενεργειών βάσει κρισιμότητας Δημιουργία LoE - Level Of Effort Συναντήσεις με τα business units (ανάθεση tasks, επεξηγήσεις κλπ) Αλλαγές σε πρακτικές & σε διαδικασίες του οργανισμού Ενσωμάτωση αυτών στις λειτουργίες μας Υλοποίηση νέων ή/και βελτιστοποίηση υφιστάμενων τεχνικών μέτρων

18 Δυσκολίες που αντιμετωπίσαμε Προτεραιότητα έργου Δέσμευση υπαλλήλων Κουλτούρα εταιρίας Προστασία δεδομένων χωρίς να επιβαρύνεται το business Διαφορετικά κανάλια επικοινωνίας Πολυπλοκότητα Συστημάτων Παρακολούθηση Συστημάτων Ασφαλείας Μεγάλος όγκος δεδομένων

19 υψηλό ποσοστό υιοθέτησης τεχνικών & οργανωτικών μέτρων Επικαιροποίηση της DPIA: Τι διαπιστώσαμε κατάρτιση στελεχών κουλτούρα δέσμευση ικανότητα αλλαγή συμπεριφοράς ευαισθητοποίηση προσωπικού Χρονοδιάγραμμα: Σεπτ 2018 έως Δεκ 2018

20 Οφέλη που προκύπτουν Αναγνωρίζουμε την αξία των πληροφοριών και των προσωπικών δεδομένων που επεξεργαζόμαστε Επιβεβαιώνουμε την ορθότητα των πληροφοριών ώστε να διατηρούμε ποιοτικά δεδομένα Μαθαίνουμε καλύτερα τη λειτουργία της εταιρία μας Ενισχύουμε την φήμη της εταιρίας μας Βελτιώνουμε την ασφάλεια των δεδομένων Μειώνουμε τους κινδύνους πιθανών διαρροών Ενισχύουμε την αξιοπιστία των πελατών μας

21 Κρίσιμοι Παράγοντες Επιτυχίας δέσμευση και συμμετοχή στελεχών εξειδίκευση και εμπειρία συμβούλου στο GDPR ικανός βαθμός λεπτομέρειας για υλοποίηση Compliance Plan Multidisciplinary ομάδα συνέπεια στην τήρηση χρονοδιαγραμ μάτων

22 Κρίσιμοι Παράγοντες Επιτυχίας δέσμευση και συμμετοχή στελεχών εξειδίκευση και εμπειρία συμβούλου στο GDPR ικανός βαθμός λεπτομέρειας για υλοποίηση Compliance Plan Multidisciplinary ομάδα συνέπεια στην τήρηση χρονοδιαγραμ μάτων & επόμενα βήματα Συνεχής παρακολούθηση πλαισίου Ωρίμανση υφιστάμενων μέτρων & διαδικασιών Συναφείς πιστοποιήσεις (πχ.iso27001, BS10012,.)

23 Ευχαριστούμε Ερωτήσεις;