Fra PCI DSS til CDE standarder er datamarkedet i dag i ferd med myter, jargong og akronymer når det gjelder overholdelse. Dette er komplisert ytterligere av databeskyttelses- og overholdelsespolitikker som omfatter adferdskodekser for IT-beslutningstakere over hele Storbritannia. Fra utbetalinger til data suverenitet er det en regel eller best practice guide for alt, noe som betyr å finne et sted å starte, er utfordrende. Hver britisk organisasjon må overholde regelverket, eller de kan møte store straffer og opphør av tjenesten. Manglende overholdelse er ikke lenger et alternativ.

I fjor avslørte en undersøkelse fra 6DG at nesten halvparten (43%) av IT-fagfolk ikke forstod samsvarslovgivningen når det gjelder å administrere data. Det er ikke rart hvorfor. Fra Storbritannias databeskyttelseslov til individuelle (og varierte) selskapets personvernpolicyer, kunne IT-fagfolk gå seg vill i et hav av papirarbeid. Faktisk sa over halvparten (52%) av IT-bransjens spesialister at de hellere ville bruke en tredjepart til å administrere dataoverensstemmelsen enn å fornemme seg selv.

Kostnaden for manglende overholdelse kan være betydelig. Å demonstrere hvor ivrige de skal håndheve kabinettkontorets nulltoleranse tilnærming til manglende overholdelse, utstedte informasjonskommisjonens kontor (ICO) en bøde på £ 325 000 til en NHS University Hospital Trust etter en alvorlig data brudd i 2012.

  • Hvilke utviklinger vil påvirke bedrifts datasikkerhet i 2015?

Data suverenitet

Dataoverhøyhet (hvor dataene er lagret) er en nøkkelkomponent når det gjelder overholdelse. For noen organisasjoner er det viktig at data lagres i Storbritannia eller EU, eller som foreskrevet enten ved lov eller ved intern styringspolicy. Vi var glade for at et stort flertall (86%) av de spurte trodde at dataregjøringen var en bekymring. Vi var imidlertid overrasket over at i tilfeller der en organisasjon outsources til Managed Services Providers (MSPs), var det ofte et lavere nivå av intern kunnskap når det gjelder samsvar.

I stedet for å administrere og overvåke MSP tett, antar bedrifter blindt at deres MSP overholder de relevante forskriftene. En sjokkerende høy andel (35%) av outsourcing til en MSP innrømmet ikke engang å vite hvor deres data er plassert. Når en tredjedel av IT-fagfolk som bruker en MSP, ikke sjekker hvor dataene er lagret, hvordan kan de være sikre på at løsningen er kompatibel og korrekt? Med bedrifter som er avhengige av sky-leverandører som kan operere hvor som helst i verden, er det på tide å begynne å ta ansvar, slik at overholdelse og suverænitet er en forretningsprioritet.

Organisasjoner må håndtere viktig finansiell informasjon, kundedetaljer og immateriell rettighet riktig for å kunne følge de siste regelverket. Det er urolig at flertallet av IT-fagfolk undersøkt har utilstrekkelig forståelse for hvordan de skal sikre seg at de er kompatible.

Det har tydeligvis vært en sammenbrudd i kommunikasjon mellom ICO og Storbritannias IT-avdelinger, men vurderer antall regler der ute, kanskje det ikke er overraskende. Noe må gjøres for å hjelpe britiske næringer gi mening om denne labyrinten av lovgivningen.

Datatilsynstips

Mens vi venter på at dette skal skje, er her mine beste tips for å bli datakompetant:

1. Spør din administrerte tjenesteleverandør hvordan de håndterer dataene dine.

2. Hold deg oppdatert med den nyeste lovgivningen og endringene, og prøv å forstå hvordan de påvirker måten du gjør forretninger på.

3. Administrer MSP, fortsett å spørre hvilke forbedringer de gjør, og hvordan dette vil påvirke deg og dine data.

4. Og sist, men ikke minst: Vet alltid hvor dataene dine blir lagret. Alltid.

Disse tipsene skraper bare overflaten til et komplisert miljø. Enten du er kunde eller leverandør, har alle ansvar for å sikre at de overholder de siste regelverket. Tross alt finnes det regler for etterlevelse av en grunn.

  • Campbell Williams er Group Strategy & Marketing Director på Six Degrees Group (6DG)