GDPR: de la teorie la solutii concrete

Sub presiunea timpului scurt ramas, GDPR tinde sa se transforme intr-un adevarat „drob de sare”. Exista insa solutii practice de aliniere la cerintele noului regulament UE, accesibile si care pot fi implementate rapid cu ajutorul companiilor cu experienta in domeniul tehnologiilor de securitate.

Din perspectiva organizatiilor, alinierea la cerintele GDPR este dificila mai ales din cauza faptului ca noul regulament nu face nicio recomandare concreta a unei anume tehnologii de securizare sau management al datelor cu caracter personal. Articolele regulamentului stipuleaza doar o serie de actiuni si controale tehnice de securitate pe care organizatiile trebuie sa le realizeze pentru a fi conforme cu cerintele GDPR.

Este o abordare justa avand in vedere ca subiectul regulamentului european este prea vast si complex, acoperind de la zona de guvernanta a datelor, pana la cea a obligatiilor contractuale. Asa ca, in acest context, vendorii de solutii de securitate si implementatorii de sisteme trebuie sa isi asume si rolul de furnizorii de servicii de consultanta pentru a-si ajuta potentialii beneficiarii sa:

  • Inteleaga cerintele noului cadru legislativ impus de catre UE;
  • Identifice si documenteze riscurile aferente proceselor de colectare, operare, procesare, transferare si arhivare a datelor;
  • Defineasca un set de prioritati strategice, operationale si tehnologice care sa acopere aceste riscuri;
  • Evalueze eficienta masurilor luate, sa aduca imbunatatirile necesare si sa stabileasca urmatoarele prioritati.

O astfel de abordare „ca la carte” este pe deplin justificata, insa timpul ramas este din ce in ce mai scurt, asa ca multe dintre etapele enumerate trebuie abordate din mers, cvasi-simultan, iar vendorii trebuie sa isi concentreze eforturile pe transpunerea principiilor GDPR in solutii tehnice, masuri organizationale si politici de securitate adaptate modelului de business al organizatiilor.

 

Ce tehnologii sunt necesare?

Avantajul este ca, la momentul actual, exista deja mai multe metodologii de abordare verificate in implementari si care prevad o serie de recomandari tehnologice clare. Care, odata implementate, permit organizatiilor sa asigure nivelul de securitate cerut de GDPR si capacitatea de a proba acest fapt in cazul viitoarelor controale si audituri.

Sintetizand cateva dintre aceste abordari se poate vedea ca orice organizatie care opereaza date cu caracter personal are nevoie de:

  • Solutii de identificare, descriere, catalogare si clasificare a tipurilor de date;
  • Solutii de criptare a datelor;
  • Solutii de prevenire a pierderilor de date (Data Loss Protection – DLP);
  • Solutii de criptare a mijloacelor de comunicare (cu precadere a e-mail-urilor);
  • Solutii de pseudonimizare si anonimizare a datelor;
  • Solutii de identificare si blocare a breselor de date;
  • Solutii de securitate a statiilor de lucru si de management al echipamentelor mobile;
  • Solutii anti-malware;
  • Solutii de autentificare si management al accesului;
  • Solutii de protectie a retelei (securitate perimetrala);
  • Solutii de securizare a datelor stocate in Cloud si a serviciilor partajate.

 

Care sunt punctele de importanta?

Cerintele GDPR numeroase fac ca lista sa fie destul de lunga, dar multe companii care opereaza date cu caracter personal detin deja o parte din aceste solutii de protectie. Pentru „restul” trebuie insa realizata o ierarhizare a prioritatilor tehnologice in functie de „punctele slabe” depistate in infrastructura de securitate existenta.

De exemplu, studiile dedicate analizei impactului tehnologic al noului regulament UE evidentiaza faptul ca in topul prioritatilor companiilor care vor sa fie conforme cu cerintele GDPR se afla: • solutiile DLP, • solutiile de protectie a statiilor de lucru, • solutiile de criptare si • sistemele de depistare si blocare a breselor de securitate.

Daca privim indeaproape fiecare din aceste optiuni ea este justificata nu doar din perspectiva necesitatii stricte impuse de GDPR, ci si a faptului ca noile generatii de solutii livreaza o gama de functionalitati extinse. De exemplu, solutiile DLP de noua generatie asigura vizibilitate si control extins asupra datelor stocate nu doar in infrastructurile on-premises, ci si in mediile Cloud, permitand detectarea si blocarea automata a oricarei tentative de accesare si/sau utilizare neautorizata a datelor. Mai mult, solutiile de acest tip sunt livrate atat in versiuni stand-alone, cat si in variante multi-layer care integreaza solutii de protectie a statiilor de lucru, solutii anti-malware si de criptare a schimburilor de date si comunicare. Avantajul imediat al optiunilor multi-layer este dat atat de capabilitatile extinse, cat si de faptul ca beneficiaza de instrumente de management centralizat, ceea ce reduce efortul operational de integrare, mentenanta si administrare si simplifica procedurile de raportare in cazul auditurilor de securitate.

La randul lor, noile solutii de criptare a datelor ofera functionalitati avansate de anonimizare si pseudonimizare, control al accesului, precum si capabilitati avansate de management si protectie a cheilor de criptare. „Data encryption” este un subiect de interes pentru foarte multe organizatii pentru ca GDPR prevede ca, in cazul unei brese de securitate in urma caruia datele cu caracter personal sunt accesate neautorizat, organizatia-victima nu mai are obligatia de a raporta incidentul daca poate demonstra ca atacatorul cibernetic nu ar putea sa decripteze datele si sa acceseze informatiile reale.

Solutiile de depistare si blocare a breselor de securitate au urcat in topul preferintelor organizatiilor odata cu introducerea in noua versiune a regulamentului a obligativitatii raportarii acestui tip de incidente in maximum 72 de ore de la depistarea lor. GDPR stipuleaza insa nu doar simpla raportare, ci si luarea unor masuri efective de blocare si remediere a vulnerabilitatilor, cerinta care pune inca in dificultate numeroase companii. Noua generatie de sisteme de detectie si blocare a breselor asigura protectia intregii infrastructuri informatice a unei companii, prin integrarea cu terte solutii de securitate – rentabilizand astfel investitiile deja facute –, depistarea si automatizarea masurilor proactive de protectie.

Exemplele sunt numeroase, insa, pentru a identifica solutia optima de care au nevoie – cea care raspunde atat cerintelor imediate, dar ofera si alte functionalitati care pot fi valorificate in contextul GDPR – organizatiile au nevoie de un partener cu competente solide in zona sistemelor de securitate. Veracomp vine in intampinarea acestora cu o abordare pragmatica, livrand solutii cu aplicabilitate extinsa prin intermediul unui ecosistem de parteneri cu experienta, certificari si competente probate in proiecte de implementare. Intre acesti furnizori se evidentiaza Gemalto, lider mondial in securitate digitala, care livreaza tehnologii si servicii in vederea asigurarii compliantei la GDPR, usor de utilizat si implementat, autentificand identitatile si protejand datele, ele ramanand in siguranta. Totodata isi extinde protectia asupra serviciilor functionale la nivel de device-uri personale, obiecte inteligente interconectate, pana la cloud si inapoi.

Doriti mai multe informatii despre solutii
La cerere, va putem trimite informatii suplimentare despre aceasta solutie. Pentru a obtine informatii suplimentare, va rugam, completati formularul de contact

Contactati-ne

  • As dori sa aflu mai multe informatii si sunt interesat de?


Adresa firma
Persoana de contact

Prin trimiterea acestui formular, sunteti de acord cu termenii si conditiile