Analiza GDPR (2): 10 SFATURI PENTRU MANAGERI – NU LĂSAȚI PE MÂINE…

Au trecut 6 luni de la intrarea în vigoare a noului Regulament UE 679 și aproximativ un an de când alinierea GDPR a devenit un subiect extrem de discutat. După o perioadă extrem de agitată, care a culminat cu avalanșa de declarații și solicitări de consimțământ de la sfârșitul lunii mai, lucrurile au intrat treptat, într-o stare de acalmie. Asta poate fi BINE, dacă presupunem că oamenii au înțeles despre ce e vorba și au început demersurile de aliniere. Dar realitatea ne arată că presupunerea este FALSA. Realitatea este alta și ASTA NU E BINE.   

Totul pleacă de la manageri

Demararea unor proiecte de aliniere este legată ombilical de o decizie managerială. Nimic nu se poate face dacă managementul nu este convins de importanța subiectului. Dar înțelegerea importanței nu este totul. Managementul trebuie să gestioneze demararea activităților, să stabilească o echipă, să delege un responsabil și, mai ales să planifice resursele. Adică să se implice.

Orice analiză sau audit de business care constituie prima fază în derularea unui proiect de asigurare a conformității are în vedere nivelul de implicare managerial. Sunt managerii implicați direct, participă la discuții sau au delegat o persoană de încredere care să se ocupe de tot?

Ce situații am întâlnit în realitate? Toate demersurile de implementare realizate până acum, în majoritatea cazurilor,  au fost impulsul unei presiuni externe și destul de puțin și de rar rezultatul unei convingeri reale. Din păcate, încă sunt mulți manageri care consideră GDPR:

  • o mare prostie,
  • un simplu exercițiu birocratic,
  • o amenințare cu penalități uriașe care nu vor periclita niciodată propria organizație,
  • mulți bani aruncați degeaba.
  • o bătaie de cap în plus, care mai poate să aștepte
  • o mare cacealma, nimeni nu a fost amendat pana acum
  • niciunul dintre amici sau parteneri nu a făcut nimic pentru asta și nu li s-a întâmplat nimic
  • cei care au angajat o firmă de consultanță a dat banii degeaba pentru că au fost nevoiți să facă totul singuri…
  • ceva inutil. Eu nu lucrez decât cu date de business. Astea sunt date publice, nu personale

Și lista ar putea continua…

Ce putem face

Oameni buni, niciodată nu e prea târziu. Oricând puteți începe exercițiile de aliniere. Iată câteva sfaturi:

  1. GDPR NE PRIVEȘTE PE TOȚI. Nu e o prostie, o găselniță a politicienilor sau avocaților ca să ne mai ia niște bani. Orice organizație, asociație, sau persoană fizică autorizată exercită o activitate în care ajunge să dețină niște date personale ale clienților, partenerilor sau angajaților E OBLIGATĂ să se supună GDPR.
  2. MĂRIMEA NU CONTEAZĂ. Fie că avem o companie cu 10, 50 sau peste 250 de angajați, fie că suntem o microîntreprindere, un ONG sau o asociație profesională, fie că administrăm o asociație de locatari sau că suntem un consultant independent, avocat, stomatolog sau blogger specializat, AVEM NEVOIE DE GDPR. Desigur că nu toți avem nevoie de toate procedurile și politicile. Dar există un nucleu de activități și măsuri care sunt absolut obligatorii pentru orice fel de organizație. Nu avem cum să evităm asta. TREBUIE SĂ FIM PREGĂTIȚI.
  3. GDPR ÎNSEAMNĂ ASUMAREA RĂSPUNDERII. Suntem răspunzători pentru datele noastre personale. Pentru angajații noștri. Pentru clienții noștri. Pentru partenerii noștri. Nu facem asta cu gândul la inspecțiile Autorității și nici ca pe o simplă formalitate birocratică. O facem pentru binele nostru și al comunității în care trăim și activăm. O FACEM CA RESPONSABILI PENTRU RESPONSABILITATEA NOASTRĂ.
  4. GDPR ESTE MAI MULT DECÂT UN SIMPLU PROIECT. Mai mult decât o implementare de soluții IT. Mai mult decât o revizuire birocratică a documentelor dintr-o altă perspectivă birocratică. Este o acțiune asumată, documentată și permanentă care presupune luarea de decizii, elaborarea de politici, adoptarea de proceduri, dar mai ales o acțiune de echipă, în care avem o triplă implicare: OAMENI, TEHNOLOGIE, PROCESE.
  5. GDPR ESTE O CERINȚĂ PERMANENTĂ. Nu este un simplu hei-rup, o activitate punctuală sau o implementare de proceduri după care cineva îți dă o diplomă. Este un exercițiu permanent, o cerință obligatorie de business pentru întregul ciclu de viață al uni afaceri. Ca să păstrăm un nivel optim de conformitate trebuie să acționăm continuu, să rămânem între anumiți parametri.

Iată un exemplu pe care îl folosesc des în discuțiile din proiecte sau de la ședințele de instruire: Obținerea conformității GDPR poate fi comparată cu pregătirile de decolare pe care le face echipajul unei aeronave. Pregătim instrucțiunile de zbor, verificăm echipajul, consultăm aparatura de bord și demarăm procedurile de decolare. Dar menținerea conformității GDPR pe termen lung trebuie comparată cu zborul propriu-zis. Cu activitățile absolut necesare pentru menținerea la un plafon de 11000 de metri. Nu ne permitem sa greșim. Chiar dacă se setează pilotul automat, cineva tot trebuie să vegheze și să știe în permanență ce este de făcut.

  1. GDPR ESTE O INVESTIȚIE ÎN EFICIENȚĂ. Nu sunt bani aruncați. Nimeni nu ne obligă să facem toate achizițiile dintr-o dată. O analiză de risc poate ajuta la crearea unor planuri de remediere gradată a eventualelor surse de incidente legate de pierderea de date personale. Ne concentrăm pe ce e mai important acum și facem un efort. Un buget alocat pentru viitorul exercițiu financiar ne va ajuta la păstrarea echilibrului balanței. Sunt multe posibilități de realocare a unor bugete în momentul în care am devenit conștienți că E MUSAI NEVOIE DE ASTA.
  2. INSTRUIȚI-VĂ OAMENII. Instruirea nu este o rușine. Este o nevoie permanentă. Nu înțelegeți exact despre ce e vorba și nu aveți timp să vă bateți capul. Participați la o ședință de instruire GDPR de una sau două zile. Sunt deja zeci de cursuri care oferă asta. O puteți face și online, de la birou sau din fotoliul de acasă. Veți vedea despre ce e vorba. Veți înțelege de ce e important. VEȚI REALIZA CE RESPONSABILITĂȚI AVEȚI.
  3. PREGĂTIȚI-VĂ UN SPECIALIST ÎN PROTECȚIA DATELOR. Chiar dacă legea nu vă obligă să angajați sau să numiți un DPO, multe aspecte legate de adoptarea GDPR reclamă competențele unui om care a parcurs o instruire de DPO. Nu așteptați ca să se rezolve problema certificării. Nu mai este timp pentru așteptare. Nu aveți nevoie de diplome, ci de (cel puțin) un om care să știe de unde să înceapă, cu cine să înceapă și ce e de făcut.
  4. AVEM NEVOIE DE CULTURĂ GDPR. Asta înseamnă respectul pentru date. Instruirea permanentă a angajaților. Testarea eficienței sau efectivității procedurilor existente. Adaptarea la schimbare. GDPR va suferi modificări în timp. Verificarea conformității cu normativele conexe precum e Privacy sau NIS. Conformitatea GDPR devine o permanență, la fel ca regulamentele de ordine interioară, protecție împotriva incendiilor sau măsurile de evacuare în caz de calamități naturale. Protejați-vă datele! Scrieți un postit-ul lipit pe ușă unde scrie: ”stinge lumina!”, ”verifică gazele!” sau ”activează alarma!”
  5. GDPR ESTE O OPORTUNITATE, NU O CALAMITATE. Priviți eforturile de aliniere ca pe o investiție în eficientizarea activităților. Ca pe un prim demers în transformarea digitală a organizației. Ca pe o etichetă de încredere față de angajați, clienți și parteneri.

Depinde doar de noi. Este responsabilitatea noastră ca manageri. Conformitatea GDPR nu se poate asigura fără implicarea noastră și a  întregii organizații. De noi depinde cum aplicăm procedurile recomandate de un consultant. De noi depinde cum asimilăm politicile și cum ne asigurăm că oamenii le și respectă. De noi depinde sănătatea și eficiența afacerii noastre. De noi depinde cum putem transforma conformitatea într-un avantaj competitiv.

 

Advertisements

Protecția și libera circulație a datelor personale într-o lume tot mai conectată

Avem nevoie de o cultură în protecția informațiilor, fie că este vorba de securitate cibernetică ca termen general sau de datele personale în perspectiva GDPR.  Acesta a fost principala concluzie a conferinței de Securitate cibernetică din 2018, organizată de iBusiness România și Agora Group pe 22 martie cu sprijinul Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor, Asociației Naționale pentru Securitatea Sistemelor Informatice (ANSSI) și DB Connect.

Cea de-a 4-a ediție a conferinței ”Provocările securității cibernetice într-o lume interconectată: politici, business-uri, strategii” s-a derulat de altfel sub semnul marelui eveniment din acest an: începerea aplicării prevederilor Regulamentului european pentru protecție datelor personale. Nu a fost prezentare pe toată durata conferinței fără să nu aibă măcar un slide despre GDPR…

Ediția din acest an a Forumului economic mondial de la Davos a acordat o atenție specială tehnologiilor emergente și pe impactul pe care acestea îl au asupra societăților, modelelor economice și sociale și în cele din urmă asupra “viitorului comun” într-o piață globală. Pe măsură ce tehnologiile evoluează, problemele de securitate cibernetică sunt deja parte din fiecare segment al vieților noastre, al activității noastre, a ambientului nostru social.

Ca răspuns la această formidabilă dinamică a adoptării inovației tehnologice s-a simțit nevoia unei armonizări și în zona legislativă, unde protecția și mai ales confidențialitatea datelor personale se lovește de la o zi la alta de noi provocări, generate pe de o parte de tehnologie, și pe de altă parte de lipsa de pregătire a oamenilor în asimilare acestor tehnologii.

Evenimentul a fost structurat în două sesiuni care au abordat:

  • Politicile de securitate cibernetică în contextul alianțelor internaționale din care România face parte – un panel de discuții la care au participat importanți reprezentanți ai sectorului public, apărare, SRI, entități guvernamentale răspunzătoare cu politicile de securitate cibernetică, precum și specialiști din sectorul privat.
  • Securitate cibernetică, cele mai bune practici și soluții în contextul mai amplu al adoptării GDPR și al implementării tehnologiilor emergente – secțiune unde am discutat nu numai despre valențele de Securitate a datelor din GDPR dar și despre importanța factorului uman și a existenței unui cadru legal care să ne ajute să asimilăm protecția datelor personale ca pe orice normă de muncă, spre binele organizației.

Datorită formidabilului impact pe care GDPR îl generează nu numai în mediile de business, cam toate prezentările din prima sesiune au făcut referire la necesitatea ca eforturile de aliniere la GDPR și portofoliul de norme generate și adoptate să contribuie la o reală educație în protecția tuturor datelor și reducerea vulnerabilităților datorate lipsei de pregătire a personalului. Astfel, Alexandru Groșeanu, președinte al Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor s-a referit la vulnerabilitățile de securitate cibernetică specifice sectorului public, unde se impune mai mult ca oriunde crearea unei culturi la nivelul utilizatorilor.

În prezentarea Human Point System, Nick Nicolaescu – country manager la Forcepoint s-a referit la cel mai recent concept al companiei, în care component umană este cheia securității cibernetice, fiind zona de intersecție dintre utilizatori, date și rețele, prin intermediul sistemelor IT, în Cloud și pe fiecare dispozitiv. Pentru a înțelege ritmul oamenilor și al fluxurilor de date, este nevoie de informații în timp real care să analizeze comportamentele riscante ale utilizatorilor neinstruiți sau rău-intenționați. Adică un sistem care permite luarea rapidă și eficientă a deciziilor de comportament și remedierea amenințărilor.

Unul dintre domeniile în care protecția datelor personale este deosebit de senzitivă este cel al sănătății. Daniel Nistor – CEO al companiei Info World a abordat câteva dintre provocările pe care GDPR le pune în fața instituțiilor publice și private din sectorul medical, unde compania are peste 15 ani de experiență.  Aplicațiile Info Word furnizează informații și instrumente de analiză atât către managementul unităților medicale, personalul administrativ și specialiștii în servicii de sănătate, cât și pacientului, autorității de sănătate publică sau finanțatorilor sistemelor medicale.

Tot în secțiunea dedicată GDPR, Dragoș Bâlcu – Business Development Manager la Intrarom/ Intracom Telecom a discutat despre necesitatea asigurării protecției datelor în orice locație. Indiferent de natura și dotările oricărei rețele securitatea este una dintre cele mai critice entități ce trebuie administrate. Sistemul de management al securității informației dezvoltat de Intracom Telecom are ca principal obiectiv asistarea clienților pentru o cât mai bună înțelegere a poziționării în fluxul de circulație a informației și stabilirea celor mai adecvate măsuri de limitare a riscurilor specifice organizației.

O prezentare deosebit de interesantă a fost susținută de Magda Popescu, ca reprezentantă Cyber Smart Defence, care s-a referit la activitățile de hacking din perspectiva GDPR. În eforturile de aliniere la noul regulament European, orice companie trebuie să își stabilească propria politică de protejare  datelor personale, precum și un plan de administrare a riscurilor care să include și măsurile ce trebuie respectate în cazul semnalării unor breșe de Securitate. Un astfel de plan pe termen lung trebuie să includă și o serie de simulări care generează breșe și urmăresc modul de reacție al celor care răspund de luarea primelor măsuri, care includ și anunțarea Autorității de supraveghere în maximul 72 de ore de la constatare și, în cazul unor breșe grave, chiar anunțarea persoanelor vizate.  Compania Cyber Smart Defence este printre puținele specializate în teste de penetrare a sistemelor informatice care ajută clienții să descopere care sunt zonele vulnerabile din cadrul sistemelor informatice sau care sunt credențialele utilizatorilor autorizați. În plus, se poate  identifica nivelul de acces al utilizatorilor înregistrați ca anonimi, utilizatorilor regulați și al administratorilor de sistem.

O modalitate pragmatică de abordare a unui proiect de implementare GDPR a fost oferită de Răzvan Cioc – Information Security Specialist în cadrul DB Global Technology.  Centrul tehnologic al DB din România dezvoltă soluții software de cel mai înalt nivel pentru operațiunile globale ale Deutsche Bank şi reprezintă o platformă pentru ingineri software cu nivel înalt de pregătire, fiind operațional din 2014. Deutsche Bank este prezentă pe piața din România din anul 1998, oferind produse şi soluții personalizate pentru Corporate, Investment şi Transaction Banking, pentru clienţi corporativi şi instituţionali, precum şi servicii de Private Wealth Management pentru clienţii persoane fizice.

Una dintre cele mai importante componente a oricărui sistem de protecție a datelor personale este zona de stocare a acestora. De felul în care sunt salvate și stocate datele depinde în mare măsură un proiect de implementare GDPR. În deschiderea secțiunii dedicate GDPR am avut prilejul de a vedea cum ne putem crea propriul Server virtual Cloud SSD în doar 29 de secunde.  Serviciile oferite de compania Combridge, componentă a Deutche Telekom Group, fac această operațiune extrem de simplă. Prin accesarea site-ului www.cloude.ro se poate crea un cont de utilizator. Infrastructura de tip Cloud este construită pe cea mai recentă tehnologie Octa Core (8 Core) CPU, ECC RAM și servere SSD Raid, în timp ce virtualizarea KVM oferă capacități extinse de scalabilitate, performanță Enterprise Class și securitate. Panoul de control foarte ușor e utilizat, rețeaua internațională rapidă și infrastructura elastic, fac din tehnologia de virtualizare oferită de Combridge una dintre soluțiile cu cele mai dezvoltate caracteristici, preferată de majoritatea organizațiilor.

Așa cum arătam și în prezentarea mea ”Cultura GDPR ca motor al conformității pe termen lung” din cadrul sesiunii dedicate, pentru crearea unei culturi GDPR companiile trebuie să adopte o abordare proactivă, metodică și responsabilă cu privire la conformitate, o cultură de confidențialitate și de protecție a datelor personale. Dacă vrem ca oamenii să-și schimbe comportamentul, trebuie să-i motivăm să-și dorească să facă acest lucru. Oamenii  trebuie să înțeleagă de ce este important. Pentru că implementarea GDPR nu este un simplu proiect IT. Este un proces complex care implică oameni, proceduri și tehnologii. Din punctul de vedere al factorului uman, alinierea la GDPR este în primul rând un proces de schimbare. Această schimbare este o mare provocare pentru oameni, dacă nu pot să conecteze riscurile de confidențialitate a datelor la propriile roluri și vieți private.

Crearea politicilor necesare pentru implementarea unei culturi GDPR la nivel de organizație constituie unul dintre serviciile oferite în mod curent cliențiilor de către GDPR Ready Services. Pentru a educa eficient personalul și a construi o cultură de GDPR stabilă, trebuie stabilită o politică clară prin care trebuie să:

  • Definim atribuții periodice și punctuale clare pentru toți cei implicați în prelucrarea datelor personale.
  • Realizăm campanii periodice de sensibilizare și cunoaștere
  • Asigurăm conștientizarea confidențialității în noile medii de business sau cu noi angajați.

Organizațiile trebuie să-și schimbe mentalitatea și oamenii de decizie trebuie să fie un exemplu. Succesul unui proiect GDPR pe termen lung se bazează pe crearea unei culturi la nivel de organizație, în care oamenii se gândesc în primul rând la modul în care ar dori ca informațiile lor personale să fie procesate. Companiile trebuie să adopte această atitudine atunci când manipulează datele personale ale clienților, ale angajaților și ale altor subiecți. Nu este vorba doar despre amenințarea cu sancțiuni financiare. Este vorba de continuitate în business și de construirea unei atitudini de încredere.

%d bloggers like this: