STUDIU Organizaţiile nu asigură măsuri suficiente pentru protejarea confidenţialităţii datelor
0În societatea de astăzi, bazată pe date, concepte precum confidenţialitatea, securitatea şi încrederea sunt vitale şi mai interconectate ca oricând. Cu toate acestea, multe organizaţii nu iau toate măsurile necesare pentru a proteja confidenţialitatea datelor, potrivit celor mai recente concluzii publicate în studiul PwC Global State of Security Survey (GSISS) pe anul 2018.
Mai puţin de jumătate dintre respondenţi (49%) declară că organizaţia lor limitează colectarea, păstrarea şi accesarea informaţiilor personale la minimul necesar pentru a îndeplini scopul legitim pentru care sunt colectate. Doar 51% dintre respondenţi au un inventar precis cu privire la modul în care datele personale ale angajaţilor şi clienţilor sunt colectate, transmise şi stocate. Şi doar 53% solicită angajaţilor să urmeze o instruire în domeniul politicii şi practicilor de protecţie a datelor personale.
În ceea ce priveşte terţele părţi care gestionează datele personale ale clienţilor şi angajaţilor, mai puţin de jumătate (46%) dintre aceştia efectuează audituri de conformitate pentru a se asigura că au capacitatea de a proteja astfel de informaţii. Un număr similar (46%) declară că organizaţia lor le cere terţilor să respecte politicile de confidenţialitate.
Sondajul se bazează pe răspunsurile a 9.500 de oameni de afaceri şi directori de tehnologie din 122 de ţări.
„Noile modalităţi în care datele personale, şi nu doar acestea, pot fi folosite, deschid calea către mai multe oportunităţi, dar şi mai multe riscuri. Sunt puţine companii care integrează managementul riscurilor cibernetice şi de confidenţialitate în strategia lor de transformare digitală. Înţelegerea celor mai frecvente riscuri, inclusiv lipsa conştientizării în privinţa activităţilor de colectare şi de păstrare a datelor, reprezintă un punct de pornire pentru dezvoltarea unui cadru de guvernanţă a utilizării datelor”, a declarat Mircea Bozga, Partener, Liderul Echipei de Servicii de Risk Assurance, PwC România.
Companiile din Europa şi Orientul Mijlociu sunt în general în urma celor din Asia, America de Nord şi America de Sud în elaborarea unei strategii globale de securitate a informaţiilor şi în implementarea practicilor de guvernanţă a utilizării datelor, conform rezultatelor GSISS pe anul 2018 (vezi tabelul de mai jos).
Miza
este mare - şi există loc pentru îmbunătăţire
Directorii generali sunt conştienţi de mizele tot mai mari ale insecurităţii cibernetice. În cadrul celui de-al XXI-lea raport global PwC CEO Survey, ameninţările cibernetice au intrat în top cinci ameninţări la adresa dezvoltării pentru al treilea an la rând. 40% dintre directorii executivi recunosc că sunt extrem de îngrijoraţi de acest lucru, faţă de 25% anul trecut.
Există totuşi motive să fim optimişti. 87% dintre executivii la nivel global declară că investesc în securitatea informatică pentru a construi încrederea în relaţiile cu clienţii. Aproape la fel de mulţi (81%) spun că iau măsuri pentru a creşte transparenţa privind utilizarea şi stocarea datelor. Dar mai puţin de jumătate spun că iau aceste acţiuni „pe o scară largă”. Şi mai îngrijorător este faptul că mai puţin de o treime dintre executivii din Africa şi aproape un sfert dintre cei din America de Nord (22%) declară că nu iau nicio măsură pentru a creşte transparenţa privind utilizarea şi stocarea datelor.
Importanţa construirii încrederii
Consumatorii au o încredere relativ scăzută în companii că acestea vor utiliza datele cu caracter personal într-o manieră responsabilă. În SUA, de exemplu, numai 25% dintre consumatori sunt de părere că majoritatea companiilor gestionează datele personale sensibile în mod responsabil (conform sondajului PwC din 2017 US Consumer Intelligence Series).
PwC se aşteaptă ca îmbunătăţirile la nivelul tehnologiilor de autentificare, printre care identificarea biometrică şi criptarea datelor, vor ajuta din ce în ce mai mult companiile să construiască reţele de încredere.
Jumătate dintre respondenţi declară că utilizarea autentificării avansate a îmbunătăţit încrederea clienţilor şi a partenerilor de afaceri în capacitatea organizaţiei de a asigura securitate şi confidenţialitate datelor. De asemenea, 48% spun că autentificarea avansată a contribuit la reducerea fraudei şi 41% spun că a îmbunătăţit experienţa clienţilor. În plus, 46% declară că intenţionează să stimuleze investiţiile în tehnologiile biometrice şi de autentificare avansată în acest an.
Cu toate acestea, utilizarea tehnologiilor biometrice este vulnerabilă în faţa reglementărilor în materie de confidenţialitate şi nivelului de încredere general, deoarece este strâns corelată cu nevoia organizaţiilor de a urmări informaţiile biometrice. Având în vedere că autentificarea se bazează pe obţinerea unor informaţii - atunci când utilizatorii furnizează, de exemplu, numele de domnişoară al mamei - o organizaţie ar putea deveni vulnerabilă la atac dacă această informaţie este furată printr-o breşă de securitate.
De asemenea, experţii PwC se aşteaptă la o presiune sporită asupra metodelor de criptare a datelor în vederea asigurării securităţii acestora, ceea ce va conduce la investiţii conexe în domeniu. Printre respondenţii din sectorul financiar, 46% declară că intenţionează să majoreze investiţiile în criptare în acest an.
Securitatea datelor: o problemă pe agenda consiliul director
Mai puţin de o treime (31%) dintre respondenţii sondajului GSISS 2018 declară că consiliul director se implică direct în analiza riscurilor curente privind securitatea şi confidenţialitatea. Pentru organizaţiile cu o valoare de peste 25 de miliarde de dolari, cifra este doar puţin mai mare (36%).
„Organizaţiile de toate dimensiunile ar trebui să stimuleze implicarea consiliilor de administraţie în supravegherea gestionării riscurilor cibernetice şi celor asociate informaţiilor confidenţiale. Fără o înţelegere solidă a riscurilor, consiliile nu îşi pot exercita în mod corespunzător responsabilităţile de supraveghere a protecţiei datelor şi asigurarea confidenţialităţii”, a adăugat Mircea Bozga.
Cum să privim GDPR şi NIS ca o oportunitate
Regulamentul UE privind Protecţia Generală a Datelor (GDPR), care se aplică oricărei organizaţii care îşi desfăşoară activitatea în spaţiul UE, va intra în vigoare în mai 2018. O parte dintre respondenţii GISS 2018 din întreaga lume spun că au luat unele măsuri în vederea pregătirii pentru GDPR încă din prima jumătate a anului 2017, cu un an înaintea termenului limită de conformitate. Aproximativ o treime dintre respondenţi (32%) au început de exemplu, evaluarea GDPR, iar acest procent a fost puţin mai mare în Asia (37%) decât în alte părţi.
Directiva UE privind Securitatea Reţelelor şi a Sistemelor Informatice (directiva NIS), care urmăreşte să sporească rezistenţa cibernetică, intră de asemenea în vigoare în mai 2018. Organizaţiile identificate de statele membre ca operatori de servicii esenţiale (infrastructură critică), precum şi furnizorii de servicii digitale (motoare de căutare, servicii de cloud computing şi pieţe online), se confruntă cu noi cerinţe în temeiul directivei în materie de securitate şi de raportare a incidentelor la autorităţile naţionale. Ca şi în cazul GDPR, companiile ar putea suferi consecinţe grave în cazul neconformării.
„Directorii executivi ar trebui să vadă Directiva GDPR şi Directiva NIS nu doar ca exerciţii de asigurare a conformităţii, ci mai degrabă drept oportunităţi strategice de a-şi adapta afacerea pentru succes, într-o lume a datelor. În plus, companiile ar trebui să se adreseze autorităţilor de reglementare pentru a construi relaţii şi linii de comunicare înainte de a ajunge la termenele limită de conformitate”, a declarat Manuela Guia, Partener, D&B David şi Baias, liderul echipei de servicii juridice de conformitate şi protecţie a datelor.
Se încarcă comentariile...
