Maroš Barabas, head of product management, AEC:
GDPR už několik měsíců výrazně ovlivňuje bezpečnostní scénu. Stalo se marketingovým pojmem, za kterým se schovávají i nesouvisející technologická řešení. Je pak snadné nabýt dojmu, že jedna technologie vyřeší všechny požadavky regulace. Jenže opak je pravdou. Správně nastavit procesy, bezpečnostní principy a budovat povědomí u zaměstnanců bývá klíčové.
Zbyněk Malý, senior security consultant, Anect:
V dnešních dnech existují dodavatelé, kteří jsou schopni mohutným marketingem přesvědčit společnosti, že bez jejich řešení se do souladu s NIS nebo GDPR nemohou za žádnou cenu dostat. Z naší praxe můžeme uvést, že univerzální řešení této legislativy neexistuje. Vše musí vycházet z řízení rizik, tedy pro některou společnost může být určité technologické řešení zásadní, pro jinou může být zbytné, popřípadě plnit jen podpůrnou funkci.
Při výběru technologických řešení a organizačních bezpečnostních opatření se musí vycházet z toho, která rizika nám toto řešení sníží. Opačný postup není vhodný, neboť může firmám přinést i velkou finanční zátěž.
Milan Habrcetl, bezpečnostní expert, Cisco:
Nařízení GDPR bude mít velký dopad na podobu trhu bezpečnostních produktů. Organizace totiž budou muset mnohem lépe monitorovat, co se uvnitř jejich podnikové sítě děje. Předpokládám, že organizace budou vyhledávat řešení, která jim umožní zvýšit viditelnost provozu v síti a zároveň jim nabídnou takové nástroje, které zaručí splnění veškerých legislativních požadavků nařízení GDPR.
Daniel Hofman, specialista na kybernetickou bezpečnost, PwC ČR:
Vzhledem k tomu, že nově dopadne povinnost řídit svoji bezpečnost na více subjektů, lze očekávat, že tyto firmy budou hledat nová řešení pro automatizovanou a centralizovanou správu. Očekávám proto vyšší poptávku po systémech IDS, SIEM či službách SOC. Pro menší podniky budou tyto směrnice znamenat spíše administrativní činnosti související s přípravou relevantní dokumentace.
Firmám bych do začátku doporučil začít hlavně s inventarizací svých dat, systémů a zařízení v síti a v rámci analýzy rizik si určit potenciální rizika. Poté na definovaná rizika reagovat vhodnými opatřeními. V některých případech bude ale postačovat i omezení ukládání osobních údajů.
