Όσο πλησιάζει ο Μάιος του 2018, οι οργανισμοί αναρωτιούνται ποια προσέγγιση θα πρέπει να ακολουθήσουν όσον αφορά στη συμμόρφωσή τους με το Γενικό Κανονισμό για την Προστασία των Δεδομένων (General Data Protection Regulation, GDPR), τη νέα δηλαδή νομοθεσία που θα αρχίσει να εφαρμόζεται τότε και η οποία αποσκοπεί στην εναρμόνιση των διαδικασιών προστασίας των δεδομένων στην Ευρωπαϊκή Ένωση. Αντί να αντιμετωπίζεται ως μια ακόμα υποχρέωση συμμόρφωσης, ο κανονισμός GDPR θα πρέπει να αντιμετωπιστεί ως μία από τις καλύτερες ευκαιρίες για μια μακροπρόθεσμη επένδυση σε τεχνολογία με σκοπό την εξασφάλιση πραγματικού ψηφιακού μετασχηματισμού.
Ενώ ο κανονισμός αυτός καθ’ εαυτός περιορίζεται στην επεξεργασία των προσωπικών δεδομένων, η ΕΕ δίνει σε αυτά μια πολύ ευρεία ερμηνεία. Στην ουσία, οποιαδήποτε δεδομένα σχετίζονται με ένα πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί και στα οποία περιλαμβάνεται ακόμα και κάτι απομονωμένο, όπως μια διεύθυνση IP που μπορεί να αντιστοιχιστεί σε μια συσκευή ενός συγκεκριμένου χρήστη, θεωρείται ότι εμπίπτουν στο πεδίο εφαρμογής.
Η αμφισημία του κανονισμού δεν τελειώνει εδώ. Για παράδειγμα, οι οργανισμοί υποχρεώνονται να λαμβάνουν υπόψη τις «τελευταίες εξελίξεις» όσον αφορά στην ασφάλεια στον κυβερνοχώρο, αλλά δε γίνεται αναφορά σε συγκεκριμένες τεχνολογίες, μέσα ελέγχου ή διαδικασίες πέραν αυτής της φράσης, αφήνοντας σε μεγάλο βαθμό την αξιολόγηση του κινδύνου και τη μετέπειτα κρίση στην πλευρά του ίδιου του οργανισμού.
Επίσης, το χρονοδιάγραμμα για την κάλυψη των απαιτήσεων της συμμόρφωσης είναι αυστηρό, με αποτέλεσμα να προβλέπεται ότι οι οργανισμοί σημαντικού μέγεθους θα δυσκολευτούν ακόμα και να καταλάβουν τι είδους δεδομένα έχουν και πόσο μάλλον να αξιολογήσουν το βαθμό ευαισθησίας τους.
Το κόστος της μη συμμόρφωσης είναι αυτό που έχει φέρει τον κανονισμό GDPR στο επίκεντρο της συζήτησης στις αίθουσες της διοίκησης όχι μόνο στις χώρες της ΕΕ, αλλά και σε παγκόσμιο επίπεδο. Το δυνητικό μέγεθος των προστίμων είναι σημαντικό (4% των παγκόσμιων εσόδων ενός οργανισμού ή 20 εκατομμύρια Ευρώ – όποιο είναι μεγαλύτερο), καθώς και η δυνητική βλάβη για τη φήμη του οργανισμού που μπορεί να προκύψει από τις νέες απαιτήσεις περί υποχρεωτικής γνωστοποίησης περιστατικών παραβίασης.
Ο αναπόφευκτος ρόλος του cloud
Το cloud, είτε δημόσιο είτε ιδιωτικό, παρέχοντας λειτουργίες Λογισμικού, Υποδομής ή Πλατφόρμας με τη μορφή υπηρεσίας, μπορεί να σημαίνει διαφορετικά πράγματα για διαφορετικούς ανθρώπους. Το συνολικό επίπεδο κατανόησης για την πλειοψηφία των κλάδων βρίσκεται σε κάπως ανώριμο επίπεδο, ειδικά όσον αφορά στη συμμόρφωση και στην ασφάλεια. Παρ’ όλα αυτά, η μετάβαση στο cloud συμβαίνει και, αν δεν υπάρχει η κατάλληλη ασφάλεια, αυτή η αναπόφευκτη μεταβολή θα έρθει με τη μορφή του σκιώδους IT (μια κατάσταση υπό την οποία τα τμήματα μιας επιχείρησης αγοράζουν τεχνολογία εν αγνοία του τμήματος IT), φέρνοντας μαζί της την έκθεση σε περιττούς κινδύνους.
Η μετακίνηση στο cloud έχει σημαντικά πλεονεκτήματα, όπως βελτιωμένες δυνατότητες ασφαλείας που ξεπερνούν οτιδήποτε θα μπορούσε, με εύλογο κόστος, να έχει η πλειοψηφία των οργανισμών σε ένα περιβάλλον εσωτερικής εγκατάστασης. Ωστόσο, οποιαδήποτε μετακίνηση στο cloud πρέπει να σχεδιάζεται προσεκτικά και να στηρίζεται σε μια κατάλληλη αρχιτεκτονική, καθώς με την επερχόμενη νέα νομοθεσία οι συνέπειες τυχόν λανθασμένων κινήσεων θα είναι σημαντικά αυξημένες.
Η συμμόρφωση με τον κανονισμό GDPR αποτελεί μακροπρόθεσμη δέσμευση, και η επένδυση στην υλοποίηση μιας οικονομικά αποδοτικής υποδομής υποστήριξης θα αποδειχτεί πολύτιμη για τα επόμενα χρόνια. Μπορεί ακόμα και να αποτελεί μία από τις μεγαλύτερες ευκαιρίες για επιτάχυνση του ψηφιακού μετασχηματισμού των τελευταίων χρόνων.
Δίνει έμφαση στην ορθή διαχείριση των δεδομένων και τα οφέλη για τους οργανισμούς περιλαμβάνουν από αυξημένη ασφάλεια και λειτουργική αποτελεσματικότητα, μέχρι βελτιωμένη εξυπηρέτηση πελατών και εταιρική φήμη. Για παράδειγμα, μία από τις βασικές νομοθετικές απαιτήσεις είναι να υπάρχει η δυνατότητα να δοθούν σε οποιοδήποτε πρόσωπο όλα τα στοιχεία δεδομένων που διατηρεί ένας οργανισμός για το άτομό του, συμπεριλαμβανομένων όλων των εγγραφών δεδομένων και οποιασδήποτε καταγραφής δραστηριοτήτων που μπορεί να φυλάσσονται.
Από την άλλη πλευρά, αυτό φέρνει σημαντικές απαιτήσεις όσον αφορά στην τεχνολογία, που θα ήταν εφικτό να υλοποιηθούν μόνο εφόσον απλοποιηθούν και προτυποποιηθούν τα πολύπλοκα περιβάλλοντα IT. Παράλληλα, όμως, η πιθανότητα ύπαρξης σύγκλισης στα δεδομένα με τέτοιο επίπεδο ποιότητας από την άποψη της επιχειρηματικότητας ή του marketing είναι σημαντική και φέρνει μαζί της πολλές δυνατότητες.
Έκθεση IDC: Το cloud βοηθά ή εμποδίζει τη συμμόρφωση με τον GDPR;
Νωρίτερα φέτος, η IDC συγκέντρωσε διευθυντές πληροφορικής (CIO) και διευθυντές ασφάλειας πληροφοριακών συστημάτων (CISO), διευθυντές στρατηγικών πληροφοριών (CSIO) από εταιρείες στην περιοχή της EMEA, με σκοπό να κατανοήσει το πώς προσεγγίζουν τον κανονισμό GDPR στο πλαίσιο του τρέχοντος επιπέδου υιοθέτησης του cloud και των απαιτήσεων ασφαλείας. Στη σχετική έκθεση με τίτλο «Does Cloud Help or Hinder GDPR Compliance?» συνοψίζονται συζητήσεις από εκδηλώσεις σε Γαλλία, Ιταλία, Μαρόκο, Ισπανία, Νότιο Αφρική, Σουηδία και Ελβετία. Η έκθεση επισημαίνει τα πολλά πιθανά οφέλη της συμμόρφωσης, αλλά επίσης παρουσιάζει το απλό και ταυτόχρονα αποτελεσματικό πλαίσιο τεχνολογίας της IDC με σκοπό να βοηθήσει τους οργανισμούς να εστιάσουν στις συγκεκριμένες απαιτήσεις του κανονισμού GDPR και να επιλέξουν την κατάλληλη τεχνολογία.
Ολόκληρη η έκθεση είναι διαθέσιμη για λήψη εδώ.