2017. november 30., csütörtök

GDPR és Enterprise Architecture

Egy ideje a Cyber Security és az ehhez kapcsolódó kockázatok az egyik legfontosabb stratégiai problémává váltak a legfeleső vezetői szint számára, most pedig a GDPR még nagyobb nyomatékot ad ennek a területnek. Az általános adatvédelmi rendelet (GDPR) egy szigorú uniós adatvédelmi rendelet, amely 2018 májusában lép hatályba.
A vállalati architektek kulcsszerepet játszhatnak ezekkel a kérdésekkel kapcsolatban. Érdemes felfedezni az architektek tudásának, modelljeinek és elemzéseinek (eddig esetleg rejtett) értékét! Az architektek segíthetnek a szervezet informatikai támadásokkal szembeni ellenállóképességének javításában, a jogszabályi előírások betartásában, valamint a különböző (akár az üzemeltetéssel, a jó hírnévvel kapcsolatos és a pénzügyi) kockázatok csökkentésében.
Az alábbiakban kiemeljük a GDPR néhány olyan jellemzőjét, ahol az enterprise architeknek jelentős szerepet játszhatnak a vállalati megfelelőség elérésében.


A GDPR a megfelelés igazolásáról szól

A megfelelőség mellett igazolni is kell a megfelelést. Amint az 5. cikk kimondja: " Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”)". Az enterprise architektek egyedülálló helyzetben vannak ahhoz, hogy segítséget nyújtsanak szervezetüknek annak bizonyításában, hogy megfelelnek. A biztonsági és adatvédelmi elemzések architekturális modelljeinek felhasználásával az architektek átfogó elemzést nyújthatnak az adatok felhasználásáról és védelméről az egész vállalaton belül, annak folyamatairól, az érintett személyekről és informatikai rendszerekről.


A GDPR előírja, hogy rögzítsék a személyes adatok gyűjtésének célját

Dokumentálni kell, hogy mit teszünk a személyes adatokkal és milyen céllal (30. cikk). Ez magában foglalja például a következőket: milyen helyeken tároljuk a személyes adatokat, mely alkalmazásokat használjuk, ki fér hozzá ezekhez az alkalmazásokhoz, kik azok a harmadik felek, amelyekkel megosztjuk az adatokat stb. A megfelelőségi eljárások részeként gyakran próbálják ezeket különféle Office dokumentumokban rögzíteni, de ez gyorsan kezelhetetlenné válik. Ezek rögzítésében is fontos szerepet játszhatnak az architektek, mivel az architektúra-modellek gyakran az adatok felhasználásának ezen integrált áttekintéséből sok mindent tartalmaznak.


A GDPR a beépített biztonság integrált megközelítését követeli meg

„Megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja”, amely magában foglalja az ilyen intézkedések „rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást” (32. cikk). Néhány biztonsági intézkedés megszigorítása nem lesz elegendő ehhez. Integrált megközelítésre van szükség a beépített biztonság érdekében, nem csak az informatikai részekre összpontosítva, hanem a szervezet minden aspektusára kiterjedően. Az enterprise architektek a legalkalmasabbak ennek kezelésére, mivel rendelkeznek a szükséges átlátással és betekintéssel.


A GDPR adatvédelmi hatásvizsgálatot igényel

Mindig el kell végeznie az adatvédelmi hatásvizsgálatot, amikor üzembe állítunk egy olyan rendszert, amely személyes adatokat dolgoz fel. A vizsgálatnak tartalmazni kell a feldolgozás leírását, a kockázatok értékelését, a kockázatok kezelésére irányuló intézkedéseket és a megfelelés igazolását. A nagy és bonyolult üzleti és informatikai megoldások összességének ilyen elemzéséhez intelligens szoftveres megoldásokra van szükség. Vannak olyan EA szoftverek, amelyek az ilyen jellegű biztonsági és adatvédelmi elemzésekhez és tervezéshez hatékony támogatást tudnak nyújtani.


Az architektek szerepe

Egy tanulmány szerint a vállalatok úgy vélik, hogy a GDPR megfelelés szempontjából a legnagyobb akadályt az adatok minőségének (73%) és az adat komplexitásnak (67%) a kezelése jelenti.
Az enterprise architektek hozzáférést biztosíthatnak ezen információkhoz. Összekötő kapocsként működnek számos érdekelt fél számára, és szinte minden olyan kérdéssel foglalkoznak, amely hozzájárul a GDPR megfeleléshez. Az alapvető előfeltétel az, hogy a vállalati architektúrák megfelelően készüljenek, a legjobb architekti gyakorlatokat alkalmazzák és modern eszközöket használjanak.
Természetesen az EA önmagában nem képes biztosítani a GDPR megfelelőség összes követelményét. A vezetők közötti szoros együttműködés elengedhetetlen. Az adatvédelmi tisztviselővel és a technológiai területek felelőseivel is intenzív együttműködésre van szükség.


Összegzés: az architektúra kulcsfontosságú a GDPR megfeleléshez

A szervezet megfelelőségének biztosítása érdekében széleskörű áttekintésre van szükség a személyes adatok gyűjtésének, felhasználásának módjáról, a hozzáféréssel, a tárolt adatokkal, a harmadik felek bevonásával, a belső és a külső fenyegetésekkel kapcsolatban sok mindenről. Az enterprise architektek egyedülállóan széleskörű és integrált képet tudnak mutatni a szervezetről és rendelkeznek azokkal a modellekkel és eszközökkel, amelyek az adatvédelem értékeléséhez, javításához és biztosításához szükségesek.
A GDPR nem csak a megfelelést, hanem azt is megköveteli, hogy bizonyítsuk a megfelelést. Az architektúra modellek ezen információk legfőbb forrásai, különösen olyankor, amikor összefüggő nézetre van szükség mindenről, ami a személyes adatokhoz kapcsolódik.