الشركة تدعو قيادات المؤسسات لتحديد هيكليات الحوكمة المناسبة والتركيز على تخصيص الميزانية للتخفيف من مخاطر الأعمال
سميرة القطان- بث:
29 أغسطس 2023: كشفت شركة "بروتيفيتي ممبر فيرم" (الشرق الأوسط) خلال استطلاع أجرته مؤخراً أن 21% فقط من مؤسسات منطقة دول مجلس التعاون الخليجي أنشأت برنامجاً فعالاً لدعم خصوصية البيانات. ويركز تقرير الاستطلاع على الصعوبات التي تواجهها المؤسسات للانتقال من مرحلة التصميم إلى مرحلة التنفيذ عند تفعيل برامج حماية خصوصية البيانات، مثل معالجة المتطلبات التنظيمية بالإضافة إلى المخاطر القانونية المحتملة المرتبطة بعدم الامتثال.
وفي إطار تعليقه على إطلاق التقرير، قال رانجان سينها، مدير عام استشارات التكنولوجيا والشؤون الرقمية في "بروتيفيتي": "تشكل خصوصية البيانات مصدر قلق بالغ للمؤسسات في جميع أنحاء العالم، وليست منطقة الخليج بمنأى عن ذلك. ويستعرض الاستطلاع الذي أجريناه الحالة الراهنة لبرامج خصوصية البيانات في المنطقة، وخارطة الطريق التي تتبعها المؤسسات لتعزيز ممارسات الخصوصية، والامتثال للوائح التنظيمية، وحماية المعلومات الحساسة لعملائها".
ووفقاً للتقرير، ثمة إقبال متزايد على تفعيل برامج الخصوصية في دول مجلس التعاون الخليجي، حيث ركز 56% من المشاركين في الاستطلاع على المتطلبات التنظيمية باعتبارها المحرك الرئيسي، إلى جانب الحاجة إلى الحفاظ على ثقة المستهلك والالتزامات التعاقدية كمحرك آخر بالغ الأهمية.
من ناحية أخرى؛ تشير النتائج إلى وجود بعض الثغرات في مبادرات تفعيل حماية خصوصية البيانات، ومن بينها تشتت مسؤولية وملكية البرنامج عبر أرجاء المؤسسة. إذ تخصص 27% فقط من المؤسسات أقساماً لخصوصية البيانات، في حين يعتبر 40% منها أن الأمر يقع بشكل أساسي على عاتق قسم أمن المعلومات. ويحثّ التقرير قيادات المؤسسات على إرساء أدوار ومسؤوليات وهياكل حوكمة واضحة مكرسة لدعم برامج خصوصية البيانات، والتركيز على تخصيص الميزانية لهذه البرامج.
من جانبه قال نيراج ماثور، مدير عام ممارسات الأمن والخصوصية في "بروتيفيتي": "نظراً لخبرتنا الواسعة في التعاون مع العملاء في مختلف أنحاء العالم، وخاصة في دول مجلس التعاون الخليجي؛ ندرك أن اتباع نهج عام لحماية الخصوصية ليس بالأمر المجدي. إذ يتعين على المؤسسات مراعاة ظروف أعمالها ووضعها الراهن وقدراتها الحالية ورغبتها في المخاطرة عند وضع استراتيجية مناسبة لبرامج حماية خصوصية البيانات لديها. ويمكن لوجود أي ثغرات أثناء تفعيل البرنامج أن يكون له تأثير دائم بسبب العقوبات القانونية الصارمة ومخاطر السمعة الناجمة عن فقدان ثقة العملاء".
وتعد معرفة مواقع البيانات الشخصية أمراً بالغ الأهمية لحماية الانتهاكات والاستجابة لها. وتجدر الإشارة إلى أن 76% من المشاركين في الاستطلاع ركزوا على وضوح البيانات باعتباره العقبة الرئيسية للحفاظ على فاعلية برامج حماية الخصوصية. ويعتبر نحو 75٪ من المشاركين تعزيز متطلبات الحوكمة وإدارة المخاطر والامتثال (GRC) لبرامج الخصوصية لديهم، مجال استثمار مهماً هذا العام؛ حيث يتوقعون أن تقوم الهيئات التنظيمية بإجراء عمليات تدقيق وتفتيش روتينية لضمان التزام المؤسسة بلوائح الخصوصية، على غرار طرح لوائح الأمن السيبراني في وقت سابق. ومع ذلك، فإن 43% من المؤسسات لم تخصص بعد ميزانية لبرامج حماية الخصوصية.
ومع وجود الكثير من البيانات، تظل القدرة على تتبع ومراقبة جميع المعلومات التي تجمعها المؤسسة وتعالجها وتخزنها بمثابة تحدٍ كبير أيضاً. وتدرك المؤسسات في المنطقة الدور الحاسم الذي تلعبه السحابة كعامل تمكين للتحول الرقمي. لكن لا تزال هناك مخاوف بشأن أمن السحابة، حيث أعرب 67% من المشاركين عن قلقهم بشأن قدرة مزود الخدمة السحابية على الحفاظ على رؤية واضحة للبيانات الشخصية.
وفي نهاية المطاف، يدعو تقرير الاستطلاع المؤسسات إلى إجراء تدريب شامل لاكتشاف البيانات بغية تحديد وتخطيط عملية جمع البيانات الشخصية وتخزينها ومعالجتها وتناقلها داخل بيئة هذه المؤسسات. ومن المهم أن تخطط المؤسسات رحلة خصوصية البيانات لديها عبر اتباع نهج استراتيجي واستباقي يراعي مختلف الجوانب، مثل المتطلبات القانونية والتنظيمية، وإدارة مخاطر الخصوصية، وتدريب الموظفين وتوعيتهم، وإدارة خرق البيانات.
Only 21% of GCC organizations have operationalized their Data Privacy Program: Protiviti Report
Calls upon organizational leadership to define appropriate governance structures and prioritize budget allocation to mitigate business risk
Beth:
August 29, 2023: According to survey conducted by Protiviti Member Firm for the Middle East Region, a mere 21% of the organizations in the region have effectively established a data privacy program. The report highlights the difficulties organizations face as they transition from design to implementation stage during a data privacy program, such as addressing regulatory requirements as well as potential legal risks associated with non-compliance.
Commenting on the launch of the survey report, Ranjan Sinha, Managing Director, Technology & Digital Consulting, Protiviti, said, "Data privacy has emerged as a critical concern for organizations worldwide, and the GCC region is no exception. The survey presents the current state of data privacy programs in the region and a roadmap for organizations to enhance their privacy practices, comply with regulations, and protect their customer sensitive information."
As per the report there is an increase in privacy program implementations across GCC countries with 56% respondents highlighting regulatory requirements as the primary driver along with the need to maintain consumer trust and contractual obligations as the other important driver.
However, findings indicate a lack of coherence in data privacy implementation initiatives, as the responsibility and ownership for the program are dispersed throughout the organization. Merely 27% of organizations have dedicated data privacy departments, while 40% assign data privacy as the primary responsibility of the information security department. The report urges organizational leadership to establish clear privacy-oriented roles, responsibilities, and governance structures and prioritize budget allocation for data privacy programs.
According to Niraj Mathur Managing Director, Security and Privacy Practice, Protiviti “Given our experience working with clients across the globe and especially in the GCC, a generic approach to privacy does not work. Organizations will need to consider their business context, current state, existing capabilities, and risk appetites while strategizing their data privacy program. Any gaps during implementing can have lasting impact due to stringent legal penalties and reputational risk from loss of customer trust.”
Comprehending personal data's locations is crucial for safeguarding and responding to breaches. Notably, 76% of survey participants highlighted data visibility as the main hurdle in maintaining effective privacy programs. Approximately 75% foresee enhancing the Governance, Risk Management, and Compliance (GRC) requirements of their privacy programs as a significant area of investment this year, anticipating that regulatory bodies will conduct routine audits and inspections to oversee organization's adherence to privacy regulations., similar to the roll out of cyber security regulations earlier. However, 43% of the organizations are yet to allocate a budget for privacy programs.
With so much data at play, the ability to track and monitor all the information an organization collects, processes, and stores remains a critical challenge as well. Organizations in the region recognize the critical role of cloud as a digital transformation enabler. Nonetheless, concerns over cloud security remain with 67% respondents expressing concerns about cloud service provider’s ability to maintain clear visibility over personal data.
Ultimately, the survey report calls upon organizations to undertake a comprehensive data discovery exercise to identify and map out the collection, storage, processing, and transfer of personal data within their environment. It’s important that organizations plan their data privacy journey by following a strategic and proactive approach that considers various aspects, such as legal and regulatory requirements, privacy risk management, employee training and awareness, and data breach management.