Elira Cukalla
Historia e një institucioni publik apo privat, ecuria dhe zhvillimi i mëtejshëm i tij realizohet nëpërmjet të dhënave që disponon. Objektivi kryesor i investimit në Teknologjinë e Informacionit (TI), është disponueshmëria e të dhënave si dhe eliminimi i burokracive pa cenuar integritetin dhe konfidencialitetin. Në vite, kompanitë në çdo sektor të industrisë në botë, kanë provuar humbjen, vjedhjen apo shitjen e të dhënave të tyre sensitive.
Incidentet që kanë ndodhur, jo rrallë herë me pasojë humbjen e të dhënave edhe në profil të lartë, i kanë kushtuar organizatave miliona dollarë në kostot direkt dhe dëmtim të reputacionit në mënyrë indirekte. Në disa raste, shkak për humbjen e të dhënave është bërë: shitja e detajeve të llogarisë së klientit, humbja e labtopëve, USB, CD, kaseta dhe celulare. Të dhënat janë rriskuar jo vetëm nga humbja e pasurive fizike, por dhe nga zbulimi i transmetimeve elektronike, për arsye se përdoruesit fundorë nuk i kuptojnë rreziqet që lidhen me dërgimin e të dhënave personale apo sensitive përmes postës elektronike, mesazheve dhe mjeteve të transferimit të skedarëve, apo përdorimit të rrjeteve sociale. Pjesa më e madhe e tyre është konsideruar e paqëllimshme dhe rezulton të ketë ardhur si rezultat i veprimeve të përdoruesve të brendshëm, palëve të treta dhe përdoruesve të jashtëm. Rritja e investimeve në teknologji, në mënyrë të pashmangshme shoqërohet me rritjen e kërcënimeve të brendshme dhe të jashtme, çfarë e bën mbrojtjen e të dhënave më të vështirë se kurrë!
Kuptimi i problemit
Për të siguruar të dhënat, konfidencialitetin, integritetin dhe disponibilitetin e tyre, duhet në mënyrë të domosdoshme të implementohen kontrolle operacionale dhe strategjike. Që kontrollet të jenë sa më efektive, fillimisht duhet të marrin përgjigje këto pyetje themelore:
1. Cilat janë të dhënat personale që dispononi?
2. Ku gjenden këto të dhëna, si brenda organizatës ashtu edhe në palët e treta?
3. Në ç ‘mënyrë transmetohen e ku shkojnë këto të dhëna?
Përgjigja e këtyre pyetjeve është sfida me të cilat përballen institucionet në zbatim të detyrimeve ligjore/rregullatorë për mbrojtjen e të dhënave kudo në botë. Nga ana tjetër, çdo institucion do të mund të realizojë në mënyrë efektive vazhdimësinë e biznesit apo ofrimit të shërbimeve vetëm nëse ka qartësuar rëndësinë e pyetjeve dhe të përgjigjeve. Zhvillimi teknologjik ka bërë që sasia e të dhënave të rritet me shpejtësi e po ashtu dhe përdorimi i pajisjeve mobile, por kjo rritje shoqërohet me risk të lartë lidhur me aksesimin në të dhëna sensitive nga palë të paautorizuara. Vlera materiale e të dhënave, të cilat disponohen ose aksesohen nga punonjësit e autorizuar, mundëson krijimin e një mjedisi informal, ku të dhënat përdoren për përfitime personale. Punonjësit gjithashtu nga të drejtat e përdorimit të sistemit dhe mungesës së rregullave e politikave të një vendi pune të modernizuar nga teknologjia, mund të shkaktojnë me ose pa qëllim humbjen e të dhënave apo tjetërsimin e tyre. Edhe nëse sistemet janë ndërtuar dhe operojnë në mënyrë të sigurt, dhe IT dhe politikat e kërkojnë ndjekjen e parimit të nevojshëm të funksionimit me role dhe menaxhim të rreptë të përdoruesve, përsëri mbetet rreziku që lidhet me të dhënat, për arsye se rrënja e problemit është përdoruesi. Njëkohësisht punonjësit në palët e treta, që për arsye kontraktuale kanë të drejta në zhvillimin, testimin apo prodhimin e një aplikacioni që përmban të dhëna, përbën një numër të konsiderueshëm të personave që mund ti keqpërdorin ato.
Mbrojtja e të dhënave
Institucionet publike, që përballen me kosto të larta të mirëmbajtjes së sistemeve teknologjike, nuk e kanë vlerësuar të nevojshme në pothuajse asnjë rast trajnimin dhe inkurajimin, përsosjen profesionale të specialistëve IT. Oficer sigurie ose ekspert për mbrojtjen e të dhënave, nuk ekziston në strukturat e institucioneve publike edhe në rastet kur kanë sisteme komplekse me të dhëna të rëndësishme. Hyrja në fuqi në Maj të vitit 2018 e rregullores GDPR (General Data Protection Regulation) të BE-së, kërkon kapacitete njerëzore, të përgatitur për ta implementuar me sukses, trajnime dhe ndërgjegjësim në lidhje me rëndësinë e saj. Qëllimi i rregullores së re GDPR është që të mbrojë privatësinë dhe shkeljet e së drejtës për mbrojtjen e të dhënave personale, kur zhvillimet dhe përfshirja teknologjike sa vjen dhe po bëhet me e madhe edhe në vendin tonë. Nga ana tjetër, edukimi i brezave që vijnë me kulturën digjitale dhe mbrojtjen e të dhënave personale është me rëndësi të veçantë!
Auditimi i Teknologjisë nga KLSH
Auditimi IT ka një rëndësi të veçantë në institucionet që gjenerojnë/ruajnë të dhëna, ku fokusin qëndron në mënyrën se si këto të dhëna përdoren e jo në madhësinë e tyre. KLSH zhvillon prej më shumë se 3 vitesh, bazuar në ligjin nr.154/2014 ”Për Organizimin dhe Funksionimin e Kontrollit të Lartë të Shtetit”, auditime të teknologjisë së informacionit duke ndikuar në: përmirësimin e qeverisjes IT, rritjen e sigurisë së të dhënave dhe analizimin e tyre, përmirësimin e aplikacioneve si dhe monitorimin e shërbimit të mirëmbajtjes që në pothuajse të gjitha rastet është shërbim i dhënë tek palët e treta. Bazuar në përvojën audituese të teknologjisë së informacionit, KLSH konstaton se institucionet edhe pse investojnë në aplikacione të ndryshme me një përfshirje të gjithanshme teknologjike, nuk i kushtojnë rëndësi mbrojtjes së të dhënave që disponojnë duke ndërtuar rregullore të qarta, qoftë për punonjësit e brendshëm ashtu dhe nga palët e treta që kanë akses në këto të dhëna, të cilat në disa raste janë me rëndësi kombëtare. KLSH, si institucion suprem auditimi, po luan një rol të rëndësishëm në evidentimin e këtyre problematikave dhe ndërgjegjësimin e opinionit publik si dhe palëve të interesuara për rëndësinë që ka kontrolli dhe ruajtja e të dhënave personale pavarësisht klasifikimit për nga rëndësia që këto të dhëna kanë. Vazhdimisht KLSH, rekomandon rritjen e kapaciteteve njerëzore në teknologjinë e informacionit, si një mënyrë e domosdoshme për të qenë jo vetëm sinkron me investimet në këtë drejtim të cilat duhen monitoruar, por edhe në ndryshimin e një kulture se nuk ka specialistë të përgatitur për teknologjitë reja dhe askush nuk i monitoron ato.
* Audituese e lartë, KLSH
