Potrivit unui raport PwC, aproximativ 60% din cele 56 de companii care au participat la sondajului Impactul noilor reguli privind protecția datelor realizat de PwC România au declarat că, imediat după data aplicării Regulamentului General de Protecție a Datelor (GDPR), la 25 mai, erau în plin proces de implementare a cerințelor acestuia.
Raportul PwC România a dorit să măsoare nivelul de implementare a cerințelor GDPR la nivelul companiilor din țară.
Documentul relevă faptul că 12% dintre companiile participante la sondaj au declarat că au finalizat procesul de implementare a cerințelor Regulamentului, până la intrarea în vigoare a acestuia. Cele mai multe dintre acestea au un număr de până în 200 de angajați (57%) și activează în domeniul farmaceutic, cel al serviciilor financiare, auto și energie.
Companiile consideră că cele mai afectate departamente de aplicarea Regulamentului sunt cele de resurse umane (25%) și de relații cu clienții (25%). În acest clasament urmează departamentul IT (21%) iar pe locul al treilea se află departamentul de vânzări (18%). Alte departamente care au mai fost menționate, cu procente mai mici, sunt departamentul Financiar, cel de Marketing, Juridic și Risc.
În ceea ce privește obstacolele întâlnite în aplicarea cerințelor Regulamentului, datele studiului arată că puțin mai mult de jumătate dintre participanți (52%) consideră că cea mai mare dificultate în aplicarea cerințelor acestuia o constituie lipsa legislației specifice sau a unor norme de aplicare. Pe locul al doilea în acest top se situează lipsa resurselor umane (27%), urmată de lipsa resurselor financiare (8%). Alte elemente de dificultate menționate sunt: complexitatea ridicată a proiectului, costurile mari de implementare și lipsa unei abordări unitare la nivelul acționarilor.
„Intrarea în vigoare a Regulamentului a determinat o schimbare de paradigmă în ceea ce privește gestiunea bazelor de date. Am observat faptul că unele domenii de activitate obișnuite cu reglementări specifice securității informației (de exemplu domeniul financiar și cel al telecomunicațiilor) au parcurs mai ușor procesul de evaluare a impactului GDPR și au început mai devreme să implementeze cerințele acestuia. În alte industrii, lucrurile au evoluat oarecum diferit, în principal datorită specificului fiecăreia dintre ele. Este deosebit de important de menționat faptul că procesul de conformare nu s-a încheiat odată cu intrarea în vigoare a Regulamentului. Este nevoie de o analiză corectă și completă a proceselor interne și a felului în care informații considerate, până nu de mult, uzuale, sunt accesate sau procesate de o companie”, declară Manuela Guia, Partener, Liderul echipei de servicii juridice de conformitate și protecție a datelor, D&B David și Baias.
Participanții la sondaj au declarat că cele mai des întâlnite măsuri de implementare a Regulamentului constau în adoptarea unei strategii sau proceduri interne specifice de protecție a datelor (19%) sau revizuirea și adaptarea procedurilor interne, ca un tot unitar, în sensul respectării cerințelor GDPR (19%). Aceste soluții sunt preferate în special de companiile din domeniul serviciilor financiare, retail și producție industrială. Alte măsuri menționate includ îmbunătățirea securității sistemelor IT (16%), evaluarea partenerilor contractuali către care se transferă date cu caracter personal (14%), numirea internă a unui responsabil cu protecția datelor (14%), implementarea unor tehnologii specifice (8%), implementarea unor schimbări structurale la nivelul organizației și numirea unui responsabil cu protecția datelor trimise în extern (5%).
Companiile chestionate au identificat mai multe arii în care au nevoie, cu prioritate, de consultarea unui specialist extern. Cea mai importantă zonă este aceea de pregătire a personalului propriu, atât pentru echipa responsabilă cu protecția datelor cât și pentru responsabilul cu protecția datelor (19%). Această cerință am observat-o venind cu precădere de la companiile care activează în sectorul serviciilor financiare și cel al producției industriale. O altă zonă în care companiile consideră necesară asistența unor specialiști externi se referă la revizuirea și adaptarea procedurilor interne (16%), același procent are nevoie de servicii de consultanță privind îmbunătățirea securității sistemelor IT utilizate.
În ceea ce privește conformarea cu cerințele Regulamentului, 32% dintre companii declară că folosesc sau intenționează să folosească soluții automate pentru a căuta și identifica datele cu caracter personal în companie. Același procent folosește soluții automate pentru detectarea și monitorizarea incidentelor și a evenimentelor cu impact asupra securității datelor cu caracter personal. Topul tehnologiilor folosite este încheiat de soluții automate pentru detectarea și prevenirea pierderii datelor cu caracter personal (28%). Companiile care activează în domeniile serviciilor financiare, auto, energie și cel farmaceutic declară că folosesc astfel de tehnologii cel mai des.
Dacă ne referim la tehnologii de prevenție, aproape două treimi (61%) dintre companiile participante folosesc instrumente de protecție împotriva scurgerii de date sau de monitorizare a incidentelor de securitate, iar 21% intenționează implementarea acestora în viitor. Aproape două din zece companii (18%) nu folosesc și nu intenționează să utilizeze astfel de instrumente. O parte importantă (71%) folosește instrumente care permit managementul centralizat al drepturilor de acces la bazele de date, iar 16% intenționează să o facă în viitor, în timp ce 13% spun că nu folosesc un sistem de management centralizat al drepturilor de acces.
„Analiza pe care am făcut-o relevă faptul că tot mai multe companii consideră importantă nu doar conformarea cu Regulamentul, ci și întărirea, cu această ocazie, a protecției propriilor date împotriva unor eventuale atacuri informatice. Numai că existența unei tehnologii și instalarea acesteia nu asigură întotdeauna și protecția necesară. Este nevoie de construirea unui sistem care să integreze proceduri și tehnologii care trebuie să lucreze împreună pentru a face procesul de conformare eficient. Dintre toate aceste elemente cel mai important și totodată cel mai ușor de fraudat este utilizatorul, resursa umană. Formarea continuă, testarea și pregătirea utilizatorului pentru diverse scenarii este cel mai important aspect în cadrul unei strategii de securitate cibernetică. Chiar și cea mai avansată tehnologie de prevenție este complet ineficientă atunci când este utilizată de un factor uman neinstruit sau neinformat cu privire la potențialele atacuri cibernetice”, spune Mircea Bozga, Partener, Liderul departamentului de Risk Assurance, PwC România.
În ceea ce privește intervenția în caz de incidente informatice, majoritatea participanților (68%) beneficiază de o echipă dedicată acestor tipuri de situații. Dintre aceștia, 90% dispun intern de o astfel de echipă și 10% beneficiază de asistența externă. Rămân totuși 22% care nu dispun de o echipă dedicată gestionării incidentelor de securitate a datelor, iar 5% folosesc sisteme MMS (Managed Security Services) complexe.
Mai mult de trei sferturi (76%) dintre participanți dispun de o strategie formală de securitate, iar 20% intenționează dezvoltarea în viitor a unei astfel de strategii. Doar 4% dintre participanți apreciază că nu este nevoie de o astfel de strategie. Dintre cei 76% care dispun de o strategie formală de securitate, 27% au implementat deja strategia, iar același procent de participanți declară că au implementat și optimizat acest document.
Despre raport
În cadrul acestui sondaj au participat 56 de companii care desfășoară activități în domenii diverse, principalele fiind: servicii financiare (20%), retail (14%), producție industrială (13%), industrie farmaceutică (11%), industrie auto (7%), IT și energie (fiecare cu 5%), telecomunicații și imobiliare (fiecare cu 2%). Alte domenii sunt servicii de consultanță (juridice, audit, resurse umane), transporturi și piața de capital.
