„EU” în spațiul cibernetic
GDPR – General Data Protection Regulation – este deja în vigoare și se va aplica din Mai 2018, așa cum am încercat să descriu succint în articolul precedent. Impactul GDPR este deja unul fără precedent, însă se pare că micul „EU” este din ce în ce mai fericit pentru că „EU-ul” nostru mai mare, adică „European Union” are gânduri mărețe în a proteja cu adevărat și fără subterfugii politice fiecare mic „EU” ce se numește mândru cetățean al Uniunii Europene.
Astfel, marele „EU”, European Union, ar putea lua o decizie mai mult decât istorică dacă propunerea de lege făcută în acest an de către departamentul pentru justiție al Parlamentului European ar fi adoptată. Vorbim despre o nouă propunere de lege care completează Regulamentul GDPR și ar trebui să oblige la criptarea tuturor comunicațiilor de la utilizator la serverul prin care trec, dar care ar putea interzice existența tuturor portițelor de acces în sistemele în care sunt stocate aceste date. În momentul de față companiile de telecomunicații pot accesa mesajele trimise de către utilizatori. Deși teoretic comunicațiile sunt criptate între persoanele care trimit datele, informațiile ce se salvează în final pe servere pot fi accesate, inclusiv la cererea autorităților, cu mandat judecătoresc. „EU” vrea să asigure dreptul cetățenilor săi la intimitate în spațiul cibernetic, să cripteze toate comunicațiile pentru a ține utilizatorii în siguranță și să legifereze într-un cadru special și dedicat drepturile specificate deja la modul general în Carta Drepturilor Fundamentale a Uniunii Europene la Articolul 7 (Respectarea vieții private și de familie – Orice persoană are dreptul la respectarea vieții private și de familie, a domiciliului și a secretului comunicațiilor), după ce regulamentul GDPR a legiferat deja extrem de detaliat Articolul 8: Protecția datelor cu caracter personal:
1. Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.
2. Asemenea date trebuie tratate în mod corect, în scopurile precizate și pe baza consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege. Orice persoană are dreptul de acces la datele colectate care o privesc, precum și dreptul de a obține rectificarea acestora.
3. Respectarea acestor norme se supune controlului unei autorități independente.
„EU” își dorește practic să împiedice situații frecvent întâlnite în SUA, în care autoritățile au acces la orice tip de date, deseori chiar și fără ca utilizatorii să știe acest lucru. Desigur că de la o propunere legislativă și pană la o nouă lege este o cale destul de complicată, însă Regulamentul GDPR a devenit o realitate într-un timp relativ scurt comparat cu amploarea reglementărilor. Ce este însă foarte interesant şi merită reținut ca o concluzie clară, viziunea „EU” vs. „US” este total opusă. În timp ce Uniunea Europeană face eforturi masive să protejeze cetățeanul și dreptul la o viață privată în spațiul cibernetic, SUA face tot posibilul să monitorizeze complet datele personale ale cetățenilor săi, ignorând total dreptul fundamental la respectarea vieții private și a confidențialității datelor, invocând securitatea națională și protecția împotriva actelor teroriste.
Astfel micul „EU”, la nivel personal, sunt mândru că sunt un cetățean al Uniunii Europene și chiar dacă implementarea tuturor acestor normative GDPR va fi cea mai dură și costisitoare aliniere din istoria existenței spațiului cibernetic pentru toate autoritățile și companiile private, în final vom avea liniștea sufletească că măcar noi cetățenii ne păstram identitatea şi dreptul la o viaţă privată în această lume paralelă a spațiului cibernetic, care a devenit rapid noul și principalul motor al globalizării în fiecare aspect privat sau comercial al vieții noastre pe această planetă. Nu discutăm evident acum decât aspectul legat de protecția datelor cu caracter personal; știu, mulți dintre noi suntem pro sau contra globalizării sau a schimbărilor aduse de mediul cibernetic care devine pe zi ce trece o parte mai mult decât importantă, jucând un rol poate prea definitoriu în viața noastră de zi cu zi.
GDPR – General Data Protection Regulation – Status Report
Cum stăm la nu mai puțin de 9 luni până la intrarea în vigoare a regulamentului, 25 Mai 2018? Voi începe prin a reaminti ultimul și cel mai dureros aspect al acestui regulament:
Consecințe pentru nerespectarea GDPR: proceduri administrative complexe și amenzi mari. Mai mult decât orice drept de fond nou sau procedură complexă, noua măsură GDPR care va atrage atenția C-Level-ului din orice organizație este dispoziția privind sancțiunile și amenzile. Într-o abatere strictă față de legislația anterioară privind confidențialitatea în Europa sau în altă parte, GDPR permite și încurajează autoritățile de reglementare să perceapă amenzi remarcabil de mari. Aceste amenzi pot să depășească 20 de milioane de Euro sau 4% din cifra de afaceri globală anuală.
Pentru a putea prezenta o radiografie cât mai clară a situației la nivelul Uniunii Europene vă invit să consultați ultimul Raport al DLA Piper (foto pg 3 din pdf) realizat pe o perioadă de un an, începând cu Ianuarie 2016, care surprinde foarte detaliat nivelul de „compliance” existent și prezintă segmentat pe industrii situația sistemelor informatice ce interacționează direct cu normele privind Protecția Datelor cu Caracter Personal şi direcțiile care ar trebui acoperite și pot să ajute companiile să se alinieze complet la normele GDPR.
Statistic se pare că organizațiile au atins până în acest moment praguri foarte mici de aliniere la normele GDPR în vigoare la nivel Global:
a. Conform unui studiu DELL realizat la finele anului 2016, 97% din responsabilii IT participanți nu știu să existe un plan al companiei în care lucrează pentru a se alinia la standardele GDPR, iar peste 80% dintre respondenți nu ajunseseră la un nivel fie el minimal de conștientizare și informare privind obligațiile ce le revin;
b. Între timp, după 6 luni, gradul de aliniere la normativul GDPR este în acest moment între 30 și 48%, iar acest procent este atins evident datorită faptului că aproximativ 50% din reglementările GDPR sunt de un nivel basic și mediu de securitate pe care majoritatea organizațiilor mature le au implementate deja conform altor standarde de securitate existente înainte de apariția GDPR, deci matematic după mai bine de un an de la lansarea normelor, punctele cu adevărat noi și importate din GDPR sunt în continuare neimplementate de majoritatea companiilor;
c. Privind „timeline-ul” rămas pentru aliniere specialiștii din domeniu preconizează pentru o organizație medie un interval de cel puțin 6 luni pentru a atinge un nivel de „compliance” de 80-90% cu standardul GDPR, deci ne rămân maxim 3 luni pentru a începe implementarea acestor proiecte de aliniere la normativ.
GDPR – Cum ne aliniem la standarde?
Statistic vorbind, dacă organizațiile din Uniune stau destul de prost la acest capitol, România, evident, are și mai mult de recuperat, astfel că voi reitera în concluzie cei 4 pași esențiali spre succes și voi încerca să explic extrem de simplu și punctual ce recomand tuturor pentru a trece de acest hop ce va redefini complet viziunea fiecărei organizații europene în următorii ani:
Pasul 1 – Informare, conștientizare şi formarea unei echipe de lucru care va trebui să redefinească colaborarea între departamente și unitatea tuturor datelor dintr-o organizație în 6 pași simpli, avantajul major fiind în sfârșit alinierea tuturor proceselor operaționale dintr-o companie şi forțarea unei colaborări unitare fără precedent intre departamente, alinierea proceselor informaționale cu cele informatice devenind acum un Must Have:
1.1. Formarea unei echipe şi înțelegerea scopului – vom avea nevoie de un Arhitect IT, un Responsabil de Business care are viziunea completă a proceselor, un Jurist, un reprezentat care cunoaște actuala strategie de Sales & Marketing și evident un Decident cu puteri depline, care poate fi promotorul schimbării și armonizării tuturor proceselor la un nou model de Business aliniat standardelor GDPR;
1.2. Definirea unui model unic și centralizat de baze de date – aici lead-ul va fi la Departamentul IT și vorbim de o bază de date unică care să poată să susțină o singură versiune a adevărului; în limbaj tehnic ne îndreptăm către Master Data Management (MDM) și Data Quality, noțiuni dorite de mulți, dar realizate în practică de foarte puțini;
1.3. Definirea unor procese de audit și management al bazelor de date – aici vorbim de securitatea datelor, lead-ul fiind tot la Departamentul IT sau CSO. Prevenirea scurgerilor de informație de tip „Data Loss Prevention” (DLP), accesul monitorizat şi trasabilitatea operațiilor realizate, stocare și criptare date, și multe alte aspecte tehnice vor trebui analizate, redefinite și adaptate la cerințele GDPR.
1.4. Analiza riscurilor și Strategia de Complianță – aici vorbim de „Compliance Risk Management” – proces ce va trebui să acopere toate departamentele și procesele existente și viitoare, ideal coordonat de Departamentul Juridic, dacă nu există unul specializat. Aici vor apărea o multitudine de întrebări de tipul: avem nevoie de toate datele clienților sau doar o parte, avem companii terțe cu care schimbăm date cu caracter personal, etc.
1.5. Realizarea unui „Roadmap” strategic – avem deja o multitudine de tehnologii „in place”, unele vor trebui schimbate, altele adaptate, vom avea nevoie de un plan pe măcar următorii 5 ani cu impact major în Bugetul de IT.
1.6. Monitorizare şi raportare continuă – apogeul va fi o structură unică și convergentă de monitorizare, trasabilitate și raportare a tuturor operațiilor realizate asupra datelor cu caracter personal, orice cerință de ștergere, orice campanie de marketing, orice dată personală va trebui să poată fi vizibilă anonimizat și totuși dovada ștergerii sau anonimizării să fie ușor de raportat unitar și integral autorităților competente pentru a evita orice posibilă amendă.
Pasul 2 – Angajarea sau numirea unui responsabil pentru protecția datelor (DPO – Data Protection Officer): aici avem 2 soluții simple: externalizarea către o firmă specializată la pachet cu riscurile și obligațiile, respectând cerințele GDPR, sau crearea unei noi poziții interne în cadrul companiei, care să aibă neutralitatea și expertiza necesară; în acest moment există o certificare globală pe care o puteți obține de la IAPP (The Internaţional Association of Privacy Professionals) pe care o puteți accesa ușor: DPO Certification Bundle. Evident există și companii de training din România care deja oferă certificări adaptate standardului și companii de audit IT care deja își certifică oameni pentru a fi contractați în regim externalizat.
Pasul 3 – Implementarea soluțiilor informatice suport: este evident că vom avea nevoie de automatizare pentru a putea să construim și să respectăm cerințele GDPR, vorbim de un amalgam extrem de stufos de obligații și implicații la toate nivelurile unei organizații. Din experiența mea sunt necesare două direcții majore privind sistemele informatice:
► Soluție de management GDPR – aici includem managementul riscurilor, raportarea, posibilitatea de anonimat, ștergerea datelor la cerere, tot ce ține de complianță sau management de risc, în concluzie o soluție complexă ce va trebui integrată cu toate soluțiile existente sau viitoare de securitate care să fie transpusă într-un Tablou de Bord al organizației în privința operării datelor cu caracter personal.
► Soluții informatice de securitate – noi am identificat minim 11 soluții diferite, pornind de la cele clasice de securitate, pe care majoritatea organizațiilor le au deja, până la soluții de tipul Data Loss Prevention (DLP), criptare, dar și mult mai complexe. Majoritatea jucătorilor globali se aliniază și armonizează propriile soluții pentru a deveni „GDPR Certified”.
Pasul 4 – Armonizarea și Alinierea tuturor proceselor interne ale organizațiilor: acesta va fi „Cuiul lui Pepelea”, însă dacă primii trei pași vor fi implementați cu succes, mai ales soluția de management GDPR, alinierea și respectarea standardelor va fi mult mai lină. De asemenea, va permite, mai ales, o monitorizare a respectării acestor normative în vederea evitării unor măsuri administrative sau amenzi ce pot afecta extrem de puternic imaginea și stabilitatea financiară a oricărei organizații mature.
Smart Alliance – Innovation Technology Cluster a demarat o astfel de inițiativă, pe 24 Mai 2017, cu fix 1 an înainte de intrarea în vigoare a GDPR, organizând un Eveniment De Informare, iar pentru o înțelegere mai exactă a standardului puteți accesa prezentarea GDPR realizată de partenerul nostru specializat în Audit și Consultanta IT – Omega Trust – în cadrul conferinței; mai mult decât atât, Smart Alliance este prima Asociație din industria IT din România care oferă și suita de soluții informatice construite pe cerințele GDPR pentru a veni în întâmpinarea organizațiilor și cu soluția de a armoniza și alinia Departamentul IT la cerințele sufocante ale GDPR.
Articol preluat integral de pe Market Watch http://www.marketwatch.ro/articol/15705/EU_in_spatiul_cibernetic/