Vineri 22 Noiembrie am avut onoarea de a participa la evenimentul ”ESET Security Days”, organizat de ESET Romania, prilej cu care am susținut o prezentare cu tema: ”Regândirea strategiei de protecție a datelor, ca principal motor în adoptarea Culturii GDPR pe termen lung”.

Obiectivul principal al temei alese a fost sensibilizarea celor aproximativ 100 de participanți, în marea lor majoritate manageri și specialiști IT, în legătură cu necesitatea clară a regândirii strategiei de protecție a datelor, în contextul în care avalanșa noilor tehnologii vine cu o serie de noi provocări, dar și cu noi tipuri de amenințări de securitate, din ce în ce mai sofisticate.

Menținerea unei stări de echilibru pentru conformitatea GDPR pe termen lung este destul de anevoioasă. După cum am mai scris, păstrarea unui nivel acceptabil de conformitate e ca mersul pe sârmă, în condițiile în care obiectivul propus este un ideal, o limită fictivă, un efort continuu de a ajunge la o ștachetă efemeră, fără repere clare, în condițiile unui echilibru precar.

Întotdeauna mi-a plăcut să compar un proiect de obținere a conformității GDPR cu eforturile unui echipaj de a aduce o aeronavă la altitudinea de croazieră, etapele proiectului putând fi asemănate cu rutinele și procedurile urmate de echipaj la decolare. Conformitatea pe termen lung nu poate fi asigurată în lipsa unei culturi GDPR, care, păstrând terminologia de navigare, poate fi comparată cu arta de a menține nava pe ruta de zbor.

Vorbind despre protecția datelor, apariția GDPR a generat o serie de paradoxuri și de false mituri. Primul este acela că GDPR s-ar ocupa de protecția datelor. Nimic mai greșit. După cum îi arată și numele Regulamentul 679 vizează ”protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date”.  Cu ale cuvinte, GDPR vizează analiza fluxurilor de date personale pe tot parcursul ciclului lor de viață, de la generare și achiziție, la prelucrarea și stocarea primară, transferul către alte departamente sau terți, arhivarea și în final ștergerea datelor. Fiecare dintre aceste etape nu poate fi parcursă decât dacă dovedim că respectăm principiile GDPR și că suntem capabili să ne asumăm responsabilitatea pentru răspunderea pe care o avem prelucrând aceste date.

În perioada scursă de la intrarea în vigoare a noului Regulament s-a dovedit că prelucrarea datelor personale se confruntă, încă, cu o serie de provocări. Cele mai multe plecând chiar de la înțelegerea incorectă a definiției de date personale, de la neînțelegerea faptului că GDPR vizează și prelucrarea documentelor pe suport de hârtie, de la definirea corectă a proceselor, de la analiza temeiului legal, și definirea rolurilor. Concluzia proiectelor parcurse în ultimii doi ani este că oamenii nu au încă și nici nu sunt învățați să aibă respect pentru date…

Statisticile arată că doar 51% dintre breșele de date sunt datorate atacurilor cibernetice, în timp ce restul sunt generate din cauze interne, dintre care 24% erori de operare umană și 25% de folosirea inadecvată a tehnologiei. De aici trebuie să reiasă foarte clar că, orice nouă strategie de protecție a datelor trebuie să înceapă cu oamenii, cu instruirea lor, cu educarea lor în spiritual respectului pentru date, pentru politici, pentru proceduri, pe tot fluxul de prelucrare a datelor personale.

Printre cele mai frecvente erori de natură umană sunt trimiterea datelor către recipient incorecte, manipularea defectuoasă a documentelor tipărite, înstrăinarea intenționată a bazelor de date cu clienții, folosirea improprie a aplicațiilor software, neglijența față de securitatea echipamentelor mobile și deschiderea de e-mailuri necunoscute care conțin surse malițioase.

Plecând de la toate aceste aspecte, iată un set de întrebări adresate managerilor din orice domeniu de activitate:

1. Pot fi oamenii educați în spiritul respectului pentru date?
2. Pot fi ei sensibilizați pentru a putea percepe riscurile reale?
3. Vor fi ei capabili să își asume responsabilitatea?
4. Putem reduce acea cotă de 24%-25% vulnerabilități datorate erorilor umane de operare?
5. Putem elimina riscul unor penalități atrase de lipsa aplicării unor măsuri tehnice și organizaționale adecvate?

La toate astea nu se poate răspunde decât într-un singur fel: Cu siguranță, DA! Cum putem face asta? Gândiți-vă la un Audit GDPR. Indiferent în ce stadiu de aliniere GDPR sunteți, ați făcut o implementare ”in house”, ați cumpărat un pachet de formulare, ați apelat la o firmă de consultanță, nu uitați că menținerea conformității este ca mersul pe sârmă… O radiografie ”la rece” a stadiului în care vă aflați nu strică niciodată.