Atât la nivel european, cât şi în Statele Unite ale Americii, studiile făcute pe ultimii 15 ani pe tema evenimentelor de securitate a datelor au relevat un lucru pe cât de clar, pe atât de surprinzător: în proporţie de peste 85% pentru spaţiul european şi de peste 80% în Statele Unite, evenimentele de securitate a datelor sunt cauzate din interiorul organizaţiilor (fie ele private, fie publice), de către proprii angajaţi.
Deşi cazurile de atac cibernetic sunt cu mult mai spectaculoase şi produc, prin consecinţă, cu mult mai multă vâlvă în presă, numărul şi impactul "banalelor" evenimente intern-cauzate le sunt mult superioare.
Pagubele produse anual de către angajaţi nespecializaţi, neglijenţi sau de-a dreptul ostili se ridică la nivelul zecilor de miliarde de dolari, respectiv euro. Bunul nume al companiilor şi al produselor acestora au anual de suferit, acţiunile acestora la bursă reflectând prompt modul în care opinia publică sancţionează entităţile care nu se ocupă cu suficientă diligenţă de datele cu caracter personal implicate. Toată lumea are de pierdut în astfel de cazuri, începând cu companiile în sine, care pierd literalmente vânzări şi bun renume, angajaţii acestora care sunt daţi afară sau împovăraţi cu noi reguli de urmat, publicul general, dar şi autorităţile care trebuie să regândească moduri noi de prevenire a fenomenului.
Specialiştii în securitate IT&C spun că acest fenomen nu va ieşi din condiţia de spirală descendentă până când managementul afacerii nu îşi va asuma problematica securităţii datelor ca aparţinându-i total. În era în care informaţia este una dintre cele mai importante resurse ale unei companii, nu mai putem separa modul în care avem grijă de datele unei companii de afacerea în sine.
Din păcate, inclusiv la ora actuală, managementul companiilor reflectă destul de vag incluziunea securităţii datelor prin achiziţii de soluţii tehnice ceva mai sofisticate, însă marea masă a angajaţilor companiei nu au internalizat valorile care vor face diferenţa între o companie care are grijă de propriile date şi una care nu o face încă.
Chiar şi în urma unor evenimente de breşă în securitatea datelor, managementul companiilor afectate demonstrează o relaxare inerţială complet nejustificată şi încă amână includerea măsurilor de securitate a datelor în partea strategică a gândirii lor.
Măsurile prin care entităţile economice va trebui să se alinieze la noile cerinţe europene cu privire la protecţia datelor cu caracter personal fac parte din managementul general. Acestea va trebui să fie incluse în planul anual de afaceri, să primească o alocare bugetară clară şi să fie executate într-un anumit orizont de timp de către oameni dedicaţi subiectului. De asemenea, aceste măsuri va trebui să reziste verificărilor autorităţii de resort, la fel ca orice alt fel de măsuri: financiare, de resurse umane, comerciale.
Argumentul unei consultanţe integrate pe partea de aliniere la noile cerinţe cu privire la protecţia datelor cu caracter personal este extrem de actual, iar experienţa mea de peste 22 de ani în management şi în consultanţă deopotrivă, îl susţine cu tărie. Atenţia cu care proprietarii de afaceri sau managementul companiilor va trebui să abordeze problema GDPR este una care le va aduce beneficii pe termen lung: o mult mai mică expunere la pierdere de date, la oprobriul public, la erodarea sau chiar pierderea reputaţiei companiei, ca să nu mai menţionez pierderile financiare în sine: vânzări ratate, blocare a activităţii în cazurile mai grave, sau chiar amenzi prohibitive, la nivelul de procente din cifra de afaceri.