Este timpul să ne gândim la GDPR

Advertoriale (de , March 20, 2018)

Cum puteți integra USB-urile criptate în strategia GDPR.

Un scenariu de zi cu zi

Un angajat descarcă documente de pe calculatorul de la locul de muncă pe un stick USB, pentru backup, pentru a lucra de acasă sau pentru a trimite o prezentare. Angajatul părăsește biroul, iar în drum spre casă, stick-ul USB îi cade din buzunar. Datele de pe dispozitiv nu sunt criptate și, prin urmare, sunt accesibile oricui conectează stick-ul la un calculator. Conform unui studiu recent, jumătate dintre cei care găsesc, din întâmplare, un stick USB îl conectează la un calculator. În cel mai bun caz, pierderea unui dispozitiv USB reprezintă doar o situație nefericită. Pierderea unui USB cu date confidențiale sau personale reprezintă, însă, o poveste diferită.

Pe 24 mai 2018, actuala legislație din 1995 privind protecția datelor va fi înlocuită de Regulamentul UE privind protecția generală a datelor (EU GDPR).

Regulamentul GDPR UE vizează consolidarea protecției datelor cu caracter personal pentru cetățenii din Uniunea Europeană, prin „dreptul de a fi uitat”, precum și prin viitoarea legislație privind protecția datelor în UE. Este, de asemenea, o încercare de a unifica diferitele legislații naționale, ce pot crea confuzie prin suprapunerile și diferențele prezente la nivelul fiecăreia dintre ele. Amenzile pentru datele cu caracter personal, cum ar fi numele, data nașterii, detaliile bancare sau dosarele medicale care sunt divulgate pot ajunge până la 4% din veniturile globale ale unei organizații sau 20 de milioane de euro (cea mai mare valoare dintre acestea). În plus, persoanele în cauză vor trebui să fie informate dacă datele cu caracter personal au fost compromise, iar notificări vor trebui trimise inclusiv unei autorități de supraveghere. Acest lucru înseamnă că o încălcare a securității datelor cu caracter personal – pe lângă costurile directe, cum ar fi, de exemplu, amenzi sau taxe legale – va genera automat și costuri indirecte prin publicitate negativă, pierderea încrederii clienților și, în cele din urmă, a afacerii. Prin urmare, organizațiile ar trebui să înceapă revizuirea și verificarea proceselor și politicilor IT interne și să le modifice în mod corespunzător.

Unul dintre cele mai neglijate riscuri îl reprezintă necriptarea dispozitivelor USB din companie. Dacă aveți impresia că gradul de utilizare a stick-urilor USB este în scădere, un studiu recent a arătat că aproximativ 90% dintre respondenți folosesc cel puțin un stick USB în interes de serviciu. Dintre acești utilizatori, un procent alarmant de 44% au raportat că unul sau mai multe dispozitive au dispărut în timpul utilizării în companie (50% dintre acestea au fost raportate pierdute, 11% au fost furate și în 39% din cazuri nu a fost clar ce s-a întâmplat cu dispozitivul). Un alt rezultat îngrijorător este că aproape jumătate dintre angajații intervievați au declarat că stochează pe stick-urile USB atât date personale, cât și de serviciu.

Rezultatele studiului au mai relevat că, în aproximativ o cincime din companiile chestionate, angajații salvează date sensibile pe dispozitivele USB. Cu toate acestea, 93% au raportat că nu folosesc dispozitve USB criptate pentru a stoca aceste date. Prin urmare, se poate trage concluzia că neglijența organizațiilor și a angajaților în utilizarea dispozitivelor USB reprezintă un risc semnificativ pentru companii. Îmbunătățirea rețelei sau a securității informatice reprezintă o activitate continuă pentru departamentele IT, deoarece hacking-ul sau atacurile ransomware sunt o problemă tot mai răspândită. Într-o lume din ce în ce mai mobilă, în care angajații lucrează frecvent de acasă sau într-un mediu BYOD, companiile vor trebui să răspundă mult mai bine problemelor de securitate care apar odată cu “datele mobile”.

Pentru a deveni conforme cu regulamentul GDPR UE privind datele mobile, le recomandăm organizațiilor să ia în considerare următorii cinci pași. În primul rând, este esențial ca organizațiile să înțeleagă noul regulament și implicațiile acestuia. În al doilea rând, trebuie să evalueze datele personale și sensibile prelucrate la nivel de organizație, să stabilească cine are acces la ele și ce date părăsesc organizația. Al treilea pas ar trebui să fie definirea unei strategii pentru date, precum și a politicilor cu privire la cine primește acces la anumite date și pe ce dispozitiv. Următorul pas se referă la tehnologia utilizată, o alternativă fiind stick-urile USB criptate. Regulamentul UE GDPR nu impune o anume tehnologie care trebuie utilizată pentru a proteja datele personale, dar menționează criptarea ca o opțiune ce trebuie luată în considerare. Dispozitivele USB criptate sunt adesea opțiunea cea mai sensibilă și eficientă din punct de vedere al costurilor pentru protejarea “datelor mobile”. În cele din urmă, organizațiile trebuie să se asigure că angajații cunosc noua legislație, că sunt respectate politicile de protecție a datelor și este utilizată tehnologia potrivită. În acest stadiu, este important să rețineți că acest lucru nu se aplică numai datelor pe care trebuie să le protejați din punct de vedere juridic, ci și datelor sensibile pe care doriți să le protejați din punct de vedere economic.

Pentru a veni în sprijinul organizațiilor care trebuie să devină conforme cu EU GDPR, Kingston Technology oferă servicii accesibile criptate (DTVP 3.0), de înaltă securitate (DT4000 G2), precum și dispozitive USB cu taste (DT2000). În plus, prin intermediul liniei de produse IronKey achiziționate recent, Kingston furnizează soluții de certificare FIPS 140-2 Level 3 pentru organizațiile care au nevoie de cel mai înalt nivel de criptare și securitate. De asemenea, partenerul software al Kingston, DataLocker® Inc., oferă platformele SafeConsole® și Enterprise Management Services (EMS) pe care atât Kingston, cât și IronKey, le utilizează în administrarea dispozitivelor criptate. Ambele permit administratorilor IT să gestioneze dispozitivele USB criptate într-un mod centralizat, astfel încât să îndeplinească cerințele de conformitate și să ofere un nivel de suport superior. Funcționalitățile includ setarea parolelor de la distanță, configurarea parolei și a politicilor de securitate ale dispozitivului, activarea programului de auditul pentru procesul de conformitate, distrugerea unității de la distanță și multe altele.

După cum am menționat deja, criptarea datelor cu caracter personal este în prezent una dintre cele mai moderne modalități de protecție a datelor. Criptarea datelor personale nu trebuie să fie complicată, deoarece un dispozitiv USB criptat face acest lucru automat în fundal. Utilizatorii se întâlnesc cu acest proces de criptare doar în momentul în care dispozitivul este conectat la un calculator, fiind necesară o parolă. Nu e nevoie de cunoștințe tehnice, ceea ce înseamnă că o astfel de soluție este foarte ușor de implementat și utilizat. Simplitatea în utilizare este esențială, o soluție extrem de greoaie crescând riscul ca angajații să renunțe să o folosească.

Prin investiția în dispozitive USB criptate cu un algortim de criptare pe 256 de biți, organizațiile pot bifa unul din obiectivele GDPR de pe lista obligatorie. E un obiectiv mic, dar foarte important. Pentru unele organizații, acesta poate fi un teritoriu nefamiliar, dar suntem convinși că le putem sprijini în procesul de conformare la cerințele GDPR și în asigurarea unei tranziții ușoare de la o legislație privind protecția datelor la alta.

 

 

 


Tags: , ,

Trackbacks

Leave a Trackback