GDPR în distribuția IT: Calamitate sau Oportunitate?

Noul Regulament european privitor la protecția datelor poate avea un efect de bumerang. A apărut din nevoia de aliniere a drepturilor cetățeanului european la evoluția tehnologică a mijloacelor de recoltare, comunicare, procesare și stocare a datelor personale.

Deși cauza poate fi privită ca tehnologică prin excelență, punerea în aplicare a GDPR este un proces esențialmente de business, care prin implicații poate fi asimilat cu un mare pas înainte în procesul ireversibil de transformare digitală. Poate avea tandemul business-tehnologie un rol de perpetuum mobile? Cu siguranță, atâta timp cât în centrul oricărei politici de dezvoltare stă individul și drepturile sale fundamentale.

Care sunt problemele specifice GDPR în distribuția IT?

Revenind cu picioarele pe Pământ, ne aflăm încă într-o fază în care, din lipsa unor bune practici,  analizăm GDPR din toate perspectivele în scopul identificării celor mai eficiente și sigure proceduri de obținere a conformității. Și pentru că industria IT este oarecum în miezul acestei vâltori stârnită de iminenta apropiere a datei de 25 Mai 2018, haideți să vedem care sunt implicațiile GDPR pentru una dintre cele mai dinamice zone: distribuția IT.

Canalele și politicile de distribuție ale vendorilor reprezintă o încrengătură foarte încurcată dar sunt totuși rădăcinile care alimentează esența pieței IT. Tipologia ecosistemului ce caracterizează o rețea de distribuție e foarte complexă: distribuitori, wholeselleri, reselleri, VAR-i, integratori de sistem, firme de servicii și consultanță, retaileri, showroom-uri, magazine online, precum și o complicată subrețea de furnizori de servicii de logistică, depozite, curierat, transporturi, case de credite și de asigurări, și altele. Schema fluxului de informații dintr-un astfel de ecosistem  nu poate fi decât super complexă. De aici și dificultatea oricărui demers de identificare și mapare a fluxurilor de date existente la nivelul unei rețele.

Dar cum regulile GDPR nu se aplică unei structuri de parteneriate, ci unor operatori de date individuali, orice proces de implementare a noului regulament trebuie pornit de la entitățile individuale. Dar nici aici lucrurile nu sunt simple. Să luăm de exemplu un distribuitor de dimensiuni medii, care are contracte teritoriale de distribuție pentru 15-20 de branduri, cu proveniență din diferite zone ale lumii. Într-un proces clasic de distribuție rolul unui astfel de distribuitor este cel de procesator – sau intermediar, verigă într-un flux de date care vine dinspre cei care lucrează direct cu utilizatorul final, și merge către un vendor, care în majoritatea cazurilor are și rolul de operator de date.

Colectarea datelor personală este paralelă cu procesul de vânzare, multe dintre soluțiile distribuite având asociată obligativitatea furnizării de date despre utilizatorul final, fie elemente de identificare asociate cu licențele software perpetue, fie identificatori de logare – în cazul soluțiilor Cloud, fie date asociate documentelor de garanție și mentenanță specifice echipamentelor hardware. Din punctul de vedere al atribuțiilor  GDPR, un distribuitor este în marea majoritate a cazurilor procesator de date, cu subordonare de business în relație cu vendorii, care au rolul de operatori. Păstrând această perspectivă, un reseller va avea întotdeauna o poziție de sub-procesor față de fiecare dintre distribuitorii cu care lucrează.

De multe ori vendorii nu sunt nici ei beneficiari direcți ai datelor personale, având tot o poziționare de procesator în relațiile de distribuție cu alte entități. Pe de altă parte, apare des situația în care un distribuitor sau un reseller poate fi chiar el operator de date. Să ne gândim doar la departamentele de resurse umane care gestionează relațiile cu angajații sau la cele de marketing, unde sunt generate campanii direct către clienții finali sau către rețelele de parteneri. Identificarea tuturor acestor scenarii e deosebit de importantă, pentru ca de aici pornește orice proiect de evaluare a fluxurilor de informații în vederea studierii implementării conformității cu GDPR.

Primul panel de GDPR organizat de o firmă de distribuție

După mai mult de 10 ani de experiență directă în business development și gestionarea canalelor de distribuție, am avut recent un bun prilej de a reintra în atmosfera rețelelor de distribuție și a discuta despre importanța înțelegerii corecte a cerințelor GDPR pentru aceste procese de business. Prilejul a fost oferit de ALEF Distribution, care după câte știu eu, este prima mare companie de distribuție care a organizat o discuție pe tema GDPR în cadrul evenimentului anual pentru parteneri, desfășurat între 5 și 7 octombrie.

Ca moderator al acestui panel dedicat soluțiilor de securitate și GDPR, pentru care am ales ca titlu generic ”GDPR, calamitate sau oportunitate?”, am focalizat de la început întrebările pe câteva direcții majore: cele mai mari provocări pe care eforturile de aliniere la cerințele GDPR le aduce la nivelul unui canal de distribuție, cum abordează vendorii această problemă și ce avantaje și instrumente oferă aceștia partenerilor din lanțul de distribuitori. Mesajul general transmis celor peste 150 de parteneri ai companiei ALEF care au participat la dezbaterile panelului a fost că adopția normelor GDPR nu trebuie să fie o piedică pentru orice companie, atâta vreme cât își face o autoevaluare obiectivă, stabilește riscurile și prioritățile, și parcurge riguros toate procedurile necesare.

Mai mult de atât, orice membru al unui ecosistem de distribuție trebuie să își ajute clienții să parcurgă aceiași pași importanți, oferindu-le cele mai adecvate soluții pentru asigurarea conformității GDPR și protecția datelor personale. Cu alte cuvinte, toți partenerii, de la vendori, la distribuitori și până la reseleri, au o imensă oportunitate de a face recomandări și a vinde cele mai avansate soluții.

Panelul de discuții  s-a bucurat de prezența unor reprezentanți ai unor importanți vendori, care derulează relații de distribuție cu compnia ALEF. Participanții la panel au fost: Florin ROȘIE – Territory Channel Manager SMB Microsoft Romania, Dan Găvojdea – Cyber Security Specialist Cisco Systems, Gabriel PAVEL – Balkan Sales Director Fujitsu, Iulian HARS – Pre-sale Engineer Kaspersky Lab Romania precum și un reprezentant al autorității publice, Nelu MUNTEANU, Director Tehnic CERT.RO.

Este pregătită România pentru GDPR?

A fost prima întrebare generală adresată peneliștilor, din dorința de a discuta percepția asupra nivelului național de conștientizare al importanței GDPR în rândul operatorilor de date. Nu întâmplător, primele comentarii legate de această întrebare au venit de la reprezentantul CERT.RO. Și am spus că nu întâmplător, datorită faptului că Centrul Național de Răspuns la Incidente de Securitate Cibernetică a avut o implicare majoră în campaniile de conștientizare, oferirea de ghiduri și recomandări,  divulgarea coordonată și responsabilă a vulnerabilităților și, nu în ultimul rând, asigurarea cadrului necesar schimbului de informații între producătorii de echipamente și soluții de securitate, autorități și utilizatori. De menționat că Octombrie este Luna europeană a securității cibernetice, iar CERT.RO este direct implicată într-o multitudine de activități de conștientizare a pericolelor care pândesc în mediile online.

Sunt pregătiți vendorii și partenerii lor de canal? 

A fost următoarea întrebare, absolut firească, adresată vendorilor. Și absolut firesc, toți vendorii reprezentați  în panel au confirmat comitmentul companiei de a fi GDPR compliant, dar și de a ajuta partenerii și clienții în acest proces cu informații și resurse.

Microsoft a fost unul dintre primii vendorii care și-a anunțat compatibilitatea GDPR pentru toată gama de produse, inclusiv tot ce ține de Azure și suita de Office în Cloud. Mai mult de atât, compania a făcut un pas înainte pentru parteneri, deschizând siteul dedicat GDPR, www.microsoft.com/gdpr unde orice partener are posibilitatea să acceseze un pachet de utilitare menit să îl asiste în evaluarea compatibilității  www.gdprbenchmark.com. Cum folosesc partenerii Microsoft din România aceste resurse? Asta rămâne de văzut.

Cisco a optat pentru altă strategie: puterea exemplului. Ce garanție mai bună de compatibilitate pentru soluțiile oferite, decât faptul că sunt folosite pentru implementarea propriei conformități? În fine, plecând de la acest proces de best practices, Cisco vine pentru partenerii săi cu o serie de recomandări, care încep cu consolidarea unei echipe multidisciplinare, alegerea unui program cadru care să funcționeze pentru organizație, stabilirea obiectivelor și priorităților, inventarierea datelor și analiza de risc, evaluarea nivelului de maturitate al sistemelor de protecție a datelor, utilizarea facilităților existente și rezolvarea rapidă a lacunelor.

La rândul său, Fujitsu a preferat să demareze procesul GDPR la nivelul propriei organizații, dorind să confere astfel partenerilor și clienților un nivel de încredere sporit în soluțiile companiei. Strategia Kaspersky este axată pe ideea de bază că GDPR trebuie abordat ca pe o oportunitate pentru ștergerea, administrarea și protejarea datelor personale. Acțiunea este comparată cu un proces de detoxfiere a datelor, ce va ajuta businessul să economisească, să devină mai competitive și să fie gata pentru provocările viitoare. Pe lângă propriile soluții de securitate a datelor oferite de Kaspersky Lab, compania mai recomandă ședințe de instruire pentru angajații din toate departamentele, pentru a controla și preveni incidentele și amenințările de securitate de natură internă. Pentru parteneri și clienți Kaspersky a postat online un chestionar de autoevaluare ”Ești pregătit pentru GDPR?” https://www.gdprkaspersky.com/

Transformarea GDPR într-o oportunitate

Iată câteva considerente care ar trebui să stea la baza unei strategii de ofertare a celor mai adecvate soluții de securitate a datelor, fără a mai include aici și alte tipuri de soluții precum cele de procesare, stocare și arhivare :

O mai mare libertate tehnologică – Un avantaj important al GDPR este că nu prescrie tehnologii specifice de protecție a datelor – cum ar fi un anumit algoritm de criptare, de exemplu – și, prin urmare, nu le exclude automat pe altele. În schimb, sunt prescrie procese, ceea ce înseamnă că partenerii ar avea mai multă libertate de a alege dintr-o paletă de soluții provenite de la o vareitate de furnizori.

Scenarii de pierdere a datelor și soluții recomandate – într-o viziune generală, există un număr relativ limitat de scenarii interne și de pericole externe de amenințare care pot conduce la apariția unui caz de pierdere a datelor personale :

  • Pierderi de date fără valoare, dacă sunt găsite – cu alte cuvinte, aplicarea metodele de criptare care păstrează datele în siguranță dacă un dispozitiv cu informații personale sau profesionale de identificare a acestuia este pierdut sau furat.
  • Distrugerea și ștergerea de la distanță – există soluții care elimină cu ușurință datele de pe dispozitivele pierdute sau furate și le fac inutilizabile.
  • Prevenirea pierderilor de date – Soluțiile DLP pot controla tipul și sensibilitatea datelor pe care utilizatorii le transferă în interiorul sau în afara organizației.
  • Blocarea aplicațiilor – soluții de control a tipurilor de aplicații care pot sau nu rula pe un computer terminal.
  • Virtual patching – ajută la stoparea exploatării de la distanță a vulnerabilităților
  • Detectarea încălcării – semnalarea rețelelor compromise permite utilizatorilor să blocheze tentativa de furt de date.

O piață în plină evoluție – un sondaj recent arată că 69% dintre companiile europene  nu numai că vor investi în tehnologii de securitate ca rezultat al GDPR, ci și în domenii precum partajarea fișierelor. Estimările IDC indică o oportunitate de piață de 3,5 miliarde de dolari pentru furnizorii de securitate și stocare și pentru partenerii lor.

Vom reveni în articolele viitoare cu discutarea oportunităților oferite de GDPR în activitatea de distribuție IT.

Advertisements
%d bloggers like this: