BYOD este unul din acronimele care a schimbat folosirea tehnologiei în organizații din ultimii 10 ani. Prescurtarea vine de la Bring Your Own Device și reprezintă folosirea unui echipament personal (laptop, smartphone) în interes de serviciu. Dacă pînă în anul 2000, majoritatea organizațiilor foloseau calculatoare de birou, iar activitatea în interes personal și cea profesională avea o demarcație relativ clară în timp și spațiu, în acest moment este des întălnită situația în care pe telefonul mobil se află și aplicații și date de servici iar utilizarea în scop de afaceri sau personal este un tot unitar, și de asemenea devine folosit de alți membri ai familiei.
GDPR este prescurtarea regulamentului UE nr.679/2016 aplicabil din 25 mai 2018 la nivelul întregii uniuni europene precum și în orice alt stat din lume unde se folosesc date personale ale cetățeniilor UE. Interesul acestui subiect a devenit de actualitate deoarece amenzile de care sunt pasibile cei care nu îl vor respecta sunt de până la 20 milioane EURO sau 4% din cifra de afaceri înregistrată în anul precedent. Obiectivul regulamentului GDPR este protejarea cu strictețe a modului în care sunt culese, folosite, transmise și arhivate datele personale care ajung la operatorii economici. Pe scurt, implementarea la toți operatorii de date personale a unui model de clasificare a informațiilor si a unui proces de acces la aceste informații.
Acces la informații clasificate sună milităresc, și într-adevăr ambele concepte se regăsesc în cadrul structurilor cu organizare militară dar și în domeniul financiar, medical, cercetare, unde s-au implementat astfel de procese fie din motive de securitate națională, teama de spionaj industrial sau scurgeri de date.
Subiectul informații clasificate nu este însă străin nimănui. Există chiar și în cele mai mici firme, unde acest concept este atribuit listei cu salarii sau diverselor rapoarte financiare, sau în viața personală, lista de cadouri de crăciun, și așa cum aceste informații ajung numai la destinatarii potriviți, la fel regulamentul GDPR dorește ca datele personale să fie tratate de operatori cu aceiași atenție.
Procesul de clasificare a informațiilor si a accesului la informații este adaptat în funcție de necesitățile rolurilor și nivelului de sensibilitate a informațiilor. Nu se va interzice întregii armate române să dețină telefoane mobile sau să fie permis accesul cu telefoane acolo unde sunt informații foarte sensibile, ci trebuie făcut un plan ca o hartă, care să adapteze cerințele de securizare la fiecare situație în parte.. În definirea acestei hărți se află majoritatea efortului și rezultatelor care să vă facă să conștientizați ce schimbări trebuiesc făcute ca să răspundeți cerințelor noului regulament. Pentru a demara realizarea acestei hărți puteți urma primi pași din planul scris aici.
În paralel cu acest proces, trebuie inventariat și verificat parcul de echipamente care urmează să acceseze aplicațiile de business, deoarece fiecare echipament folosit poate să aibă vulnerabilități de securitate informatică. Instalarea ultimelor versiuni, schimbarea parolei de acces regulat și folosirea numai a site-urilor și aplicațiilor cunoscute pot diminua destul de mult riscurile uzuale ale acestor echipamente.
De asemenea, dacă se folosesc aplicații de business ce au variantă disponibilă pe telefonul mobil, se poate discuta cu furnizorul respectiv despre planurile de modificare a aplicațiilor în vederea respectării regulamentului GDPR.
Ce funcționalități ar trebui să aibe o aplicație care să conțină ”Privacy by Design”? Un exemplu bun este cel legat de realizarea plăților de pe un telefon mobil sau un laptop. Pentru a asigura o securizare a autorizării tranzacțiilor aplicațiile de plăți electronice au nevoie de o autorizare pentru accesul în aplicație și o altă autorizare pentru realizarea unei plăți. Deasemenea, în funcție de rolul utilizatorului, acesta poate să acceseze doar istoricul de tranzacții, să creeze plăți, să le autorizeze, sau oricare combinație în funcție de drepturile acordate. O aplicație care are genul acesta de facilități de securitate oferă mai mult control unei organizații care se pregătește pentru respectarea GDPR.
Ca ultimă variantă, dar în același timp sigură prin prisma conceptului Privacy by Default, se poate bloca accesul aplicațiilor de pe echipamentele personale. Probabil că prima reacție a celor care se obișnuiseră cu confortul accesului la îndemână va fi negativă dar este normal pentru un proces de schimbare de acest gen.