GDPR

Cum poate organizația dumneavoastră să beneficieze de pe urma GDPR?

Autor: Scott REGISTER, Vice President of Product Management for Security and Cloud, Ixia Solutions Group, a Keysight business

GDPR (Regulamentul general privind protecția datelor) va intra în vigoare în spațiul Uniunii Europene în data de 25 mai 2018. Scopul principal al acestei reglementări este protecția datelor utilizatorului și acordarea controlului efectiv al utilizatorilor asupra acestor date.

Unul dintre principalele ingrediente ale GDPR este „pseudonimizarea” datelor, ceea ce înseamnă că, dacă cineva obține date aparținând unui utilizator, acestea nu trebuie să aibă capacitatea de a conecta acele date cu un anumit utilizator. Aceasta se poate realiza prin criptarea sau mascarea datelor și ar trebui efectuată cât mai curând posibil pentru a asigura protecția maximă. Companiile care încalcă GDPR prin protecția necorespunzătoare a datelor utilizatorului riscă amenzi mari, care pot merge până la 4% din venitul anual.

Deși acest lucru poate constitui o problemă pentru organizații în procesul de recuperare și reconstituire a datelor, acest proces nu este in mod necesar negativ, şi aceasta din mai multe motive. În primul rând, acesta înlocuiește un mozaic de reglementări naționale cu un singur set de reguli la nivelul UE, ceea ce face conformitatea mult mai facilă și mai puțin costisitoare pentru corporațiile multinaționale. În al doilea rând, poate fi folosit ca o oportunitate de a reglementa procesele interne și de a îmbunătăți securitatea, ceea ce are beneficii atât pe termen scurt, cât și pe termen mediu și lung.

Datele care au trecut prin procesul de „pseudonimizare”, criptarea acestora și constrângerile de audit (și de trasabilitate) sunt mai mult decât provocări tehnologice, întrucât tehnologia adecvată este disponibilă pe scară largă în produsele off-the-shelf. Acestea ar trebui văzute de drept ca provocări legate de gestionarea datelor. Pentru a asigura protecția și evidența datelor personale ale utilizatorilor în toate etapele procesării, trebuie stabilit un singur flux de proces pentru achiziționarea, manipularea, prelucrarea, stocarea și dispunerea datelor respective într-un singur flux de lucru.

Specialiștii IT știu că integrarea datelor – combinarea și compararea datelor din mai multe surse, cum ar fi bazele de date disparate – este una dintre cele mai dificile provocări operaționale cu care se confruntă și implică adesea multă muncă. Multe organizații ar putea fi chiar puse în încurcătura dacă ar trebui să dezvăluie că gestionarea și prelucrarea datelor cheie se realizează prin completarea manuală a unei foi de calcul, care nu este automatizată, eficientă, foarte sigură sau ușor de auditat.

GDPR oferă un catalizator extern prin care IT-ul poate avea un avantaj pentru a forța îmbunătățirile procesului de gestionare a datelor. Începând din luna mai a anului următor, organizațiile vor fi obligate să localizeze datele utilizatorilor într-un spațiu protejat și să monitorizeze cu atenție accesul la acesta – care este scopul final al personalului IT de securitate. Aceasta nu mai este o dezbatere cu privire la probabilitatea sau costul unei breșe reale. Simpla eșuare de a proteja datele în mod corespunzător va fi pedepsită și va fi costisitoare. Mai mult decât atât, spre deosebire de un atac de scurtă durată sau unul de tip DDoS, GDPR este larg mediatizat, ușor de înțeles în esența lui și foarte clar în privința faptului că fiecare organizație care operează în UE este supusă acestuia.

Un beneficiu suplimentar la această cerință îl reprezintă reducerea IT-ului din umbră, deoarece datele stocate în depozitele disparate nu pot fi ușor pseudonimizate sau auditate. Organizația inteligentă nu va utiliza GDPR ca pe un mijloc (sau a unui pretext) pentru a iniția cheltuieli majore de noi soluții de securitate, ci ca pe un laser pentru a re-imagina conductele lor de prelucrare a datelor având securitatea ca punct central, cu multe avantaje convingătoare:

1 Achiziționarea de date – în cadrul GDPR, va fi esențial ca datele utilizatorilor care stau în jurul punctelor de colectare (cum ar fi terminalele Point of Sale) să nu fie lăsate mai mult decât este necesar și ca acestea să fie criptate cât mai curând posibil. Acest lucru va reduce cerințele distribuite de stocare, va îmbunătăți securitatea și va facilita transferuri mai rapide de date de la punctele de colectare către miezul afacerii – fapt ce are avantajul de a permite o înțelegere mai rapidă a afacerilor în timp real. Într-o organizație de retail, de exemplu, nu ar fi mai bine să se știe în câteva minute că magazinele văd o creștere a vânzărilor unui anumit pulover, mai degrabă decât în câteva zile?

2 Transferul de date – până în prezent, majoritatea organizațiilor au implementat tehnologia VPN, însă pentru cei ramași în urmă acest lucru va alimenta IT-ul pentru a forța actualizarea.

3 Prelucrarea și stocarea datelor – GDPR cere ca datele să fie pseudonimizate cât mai curând posibil, ceea ce înseamnă că nu trebuie să fie posibilă corelarea unui anumit utilizator cu un set de date; de exemplu, datele ar putea arăta că 180 de cumpărători se aflau într-o anumită sucursală a unei bănci într-o zi, dar nu și cine erau acei utilizatori. Acest lucru poate determina o reconsiderare atentă a datelor colectate, modul în care acestea sunt stocate și asigurarea faptului că deciziile critice bazate pe utilizatori (cum ar fi direcționarea anunțurilor către un anumit client pe baza comportamentului acestuia) se fac cât mai repede posibil – cu rezultate de afaceri foarte benefice. Și prin automatizarea acestei procesări vs. Cea manuală se realizează o protecție mult mai ușoară și mai controlată a datelor.

4 Stocarea și dispunerea datelor – orice date stocate de utilizator prezintă un risc de compromis. Îndepărtarea mai agresivă a datelor utilizatorilor, în special a celor detaliate și non-pseudonimizate, va reduce atât costurile de stocare, cât și dictarea unor controale mai stricte privind gestionarea datelor (cum ar fi dispunerea copiilor de rezervă). În special, acești pași trebuie să fie clar documentați și auditați în mod regulat, fapt ce va intra adesea în sarcina responsabilului cu protecția datelor Data Protection Officer (DPO). Traseul de audit va deveni deosebit de important dacă practica unei organizații este contestată în instanță, deoarece un jurnal de audit clar și consecvent va oferi o apărare robustă a protecției datelor organizației și respectării GDPR.

Bazându-se pe publicitatea din jurul inițiativei de a face ca organizația să răspundă și cu deadline-ul apropiindu-se rapid, magazinele IT trebuie să facă din GDPR o prioritate urgentă. Piatra de temelie a unei abordări eficiente și productive în cadrul strategiei GDPR nu este de a descompune procesul actual în pași discreți și de a implementa soluții de securitate punct pentru a face ajustări de securitate necoordonate pe parcursul acestor pași. Cea mai bună abordare este de a lua în considerare și de a răspunde la următoarele întrebări:

  • Ce date colectăm despre utilizatorii noștri?
  • Cum le colectăm?
  • Cât de rapid le putem muta din punctul de colectare către centrul de date pentru procesare?
  • Cum procesăm acele date și cât timp trebuie ca elementele de date să fie identificabile
  • personal?
  • Cât de repede putem renunța la toate sau la o parte din ceea ce am colectat?
  • Cum putem proteja și pseudonimiza acele date într-un mod holistic și ușor de verificat?

Organizația care abordează GDPR ca pe o re-imaginare a proceselor de afaceri, mai degrabă decât ca pe o erupție a cheltuielilor noi de securitate, va constata că beneficiile pe termen lung depășesc cu mult securitatea și că atitudinea lor generală in privința securității este mult îmbunătățită.

Articol publicat de compania IXIA în Catalogul GDPR Ready, Octombrie 2017.

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.