Despre normarea GDPR se vorbește intens de câțiva ani și tot mai des în ultima perioadă și pe plan local. Indiferent de volumul informațiilor, este recomandat ca cele mai multe dintre companii să fi stabilit deja bugetele pentru serviciile de securitate dedicate GDPR.
Cum pot fi distribuite costurile?
- Alocarea unui specialist intern – Data Protection Officer (DPO). Din punctul de vedere al fluxurilor de lucru, companiile nu trebuie să aștepte momentul angajării acestuia pentru a începe să investească în procesele de normare, ci acestea este recomandat să înceapă cât mai repede.
- Externalizarea implementării normelor GDPR către companii specializate
- Evaluarea, profilarea si training-ul personalului care va avea sarcini cu rol în securitatea datelor și recunoașterea a tot ceea ce înseamnă GDPR
- Prin stabilirea unui buget dedicat integrării și coordonării soluțiilor software necesare
- Prin stabilirea unui buget dedicat angajării unui arhitect GDPR, care va lucra în echipă cu DPO
Cum se stabilesc bugetele?
Conform unuia dintre consultanții independenți specializați în norme GDPR pentru Uniunea Europeană, o evaluare estimativă ar fi de 1% din cifra de afaceri a unei companii, cu mențiunea că valoarea poate crește sau scădea în funcție de parametri interni stabiliți în raport cu obiectivele fiecărei companii în parte.
Din punctul de vedere al organizării activităților cu rol în normarea GDPR, este recomandat ca anul 2017 să fie cel destinat asumării faptului că sunt întreprinse toate activitățile necesare pentru îndeplinirea cerințelor, în timp ce primele 5 luni ale anului 2018, până la intrarea în vigoare a legilor UE, să mai poată fi folosite pentru ajustări minore.
Există 3 etape dedicate normării GDPR, pe care companiile trebuie să le aibă în vedere:
- Stabilirea și crearea fluxurilor de date create de procesele organizaționale ale fiecărei companii
- Poziționarea în raport cu securitatea datelor la nivel organizațional, având în vedere modelul de business și modul în care acesta interferează cu datele
- Alinierea finală a proceselor interne în vederea identificării, testării sau creării acelor soluții tehnologice potrivite impunerilor GDPR.
Cu siguranță, nu există un model definit și aplicabil pentru orice companie, acesta fiind personalizat pentru fiecare caz în parte.
Conversia investițiilor
Atunci când companiile investesc în securitatea datelor, în general, rezultatele nu se reflectă în rata de profit, ci în anticiparea riscurilor, vulnerabilităților și pierderilor.
ROSI sau Return of Security Investment poate fi calculat în funcție de:
SLE – Single loss expenctancy – ca buget ce poate fi pierdut în situații de risc și poate fi considerat costul total al unui incident aflat la prima apariție
Annual rate of occurence (ARO) – evaluat în funcție de cât de dese sunt estimate a fi aparițiile vulnerabilităților de securitate în decursul unui an si ajustat cu indicele de vulnerabilitate umana identificat prin preventive profiling.
Annualized loss expectancy (ALE) – cuantificarea pierderilor anuale care pot fi anticipate pentru un anumit tip de risc previzionat