Cybersecurity, GDPR

ANSSI implicată activ în conștientizarea și promovarea conformității GDPR

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației.

ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului.

ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

Toma Cîmpeanu, CEO ANSSI

 

„În ultima perioadă ANSSI a avut o implicare activă în evenimentele și inițiativele legate de noul Regulament European de Protecție a Datelor Personale. Participarea la acest proiect de realizare a primului Catalog dedicat ofertelor GDPR din România prin materiale pregătite de câțiva dintre membrii noștri este un exemplu elocvent al implicării noastre în inițiativele comunității profesionale din România,” Toma Cîmpeanu, Director Executiv Asociația Națională pentru Securitatea Sistemelor Informatice.

 

 

În continuare prezentăm opiniile și recomandările făcute de câțiva dintre membrii ANSSI.

 Cât de pregătiți sunteți pentru RGPD?

de Diana Comanici

Sunteți operator de date/persoană împuternicită de operator care procesează date ale cetățenilor din UE? Aveți un program implementat pentru protecția datelor și puteți dovedi alinierea la cerințele RGPD? Integrați cerințele privind protecția datelor și a confidențialității în crearea proceselor de business noi sau în dezvoltarea de sisteme/ aplicații noi? Realizați o monitorizare sistematică pe scară largă (inclusiv a datelor angajaților)? Procesați volume mari de date personale sensibile?

Cum veți trata „dreptul de a fi uitat”, dreptul la portabilitatea datelor și dreptul de opoziție la crearea de profiluri ale persoanelor vizate? Sunteți în măsură să notificați ANSPDCP în cel mult 72 de ore de la producerea unei potențiale încălcări a securității datelor cu caracter personal?

Indiferent în ce stadiu vă aflați, există câțiva pași de urmat pentru conformitatea cu GDPR. Pentru a putea fi aliniați la cerințele GDPR este vital să identificați care sunt toate datele cu caracter personal pe care le procesați în cadrul organizației, unde se află acestea, de unde şi până unde circulă şi care sunt dispozitivele de Securitate care controlează/ filtrează accesul la aceste date, pe toata durata lor de viață. Ca principale etape în procesul de aliniere la RGPD vă recomandăm:

  • GDPR Quick Scan – este o evaluare rapidă/ workshop cu părțile cheie interesate de identificarea diferențelor fluxurilor principale, estimării de efort și durata de implementare;
  • Analiză – Evaluarea completa a conformității cu cerințele GDPR – este o evaluare detaliată a conformității și maturității;
  • Implementare – Implementarea Programului de Protecție a Datelor – este un program holistic pentru realizarea conformității cu GDPR.

Între activitățile principale ale acestor etape se numără și realizarea Evaluării Impactului asupra Securității Datelor (DPIA) si Inventarul Datelor cu Caracter Personal (un inventar al datelor si fluxurilor de date din cadrul organizației).

Diana COMANICI este Director Executiv la compania Smart Factor. diana.comanici@smartfactor.ro

 

GDPR o bună ocazie pentru eficientizarea activității, nu o presiune în plus

de Maria-Cristina Murgoci

25 mai 2018 este termenul-limită pentru intrarea în vigoare a noilor reglementări din Regulamentul General al Uniunii Europene cu privire la Protecția Datelor. În această perioadă premergătoare, companiile care știu să-și valorifice resursele și competențele, vor pune mai mult și mai pregnant accentul pe modalitățile de colectare, gestionare și asigurare a confidențialității pentru datele personale de pe platformele informatice deținute.

Dacă în trecut acest aspect a fost tratat cu superficialitate de către unele companii sau instituții, acum este momentul ca fiecare deținător de date cu caracter sensibil, de la mic la mare, să pună în funcțiune un mecanism intern de bună practică și conformitate cu reglementările GDPR. Practic, tot ceea ce nu s-a putut realiza din lipsă de informații, resurse sau termene-limită, are acum oportunitatea celor mai bune implementări, nu atât sub imperiul amenzilor ce se vehiculează în caz de non-conformitate, ci mai ales din dorința firească de a pune lupa pe limitări și de a găsi soluții salvatoare, de care să beneficieze întreaga organizație, nu doar departamentele care sunt direct implicate în operațiunile cu date ce au caracter sensibil.

Companiile care vor reuși să privească reglementările GDPR drept un prilej pentru eficientizarea activităților, nu doar ca pe o presiune în plus, se vor putea deschide și la întâmpinarea oportunităților care derivă din buna lor implementare. Într-adevăr sunt prevederi cu caracter obligatoriu, care presupun resurse și investiții bănești consistente. Însă, acestea vin și cu beneficii pentru mediul de afaceri, printre care amintim simplificarea și armonizarea la nivel juridic și administrativ a protecției datelor în Uniunea Europeană, precum și stimularea inovației pentru tehnologiile care asigură stocarea și protecția datelor.

Departe de a fi doar un proces costisitor, asigurarea conformității cu noile măsuri GDPR este o etapă esențială de creștere și inovație pentru companiile care pot fructifica la maximum era digitală de astăzi.

Maria-Cristina MURGOCI este Marketing Manager la compania Q-East Software. Prin soluțiile de management și Securitate a sistemelor informatice furnizate, experții Q-East Software asigură companiilor și instituțiilor competențele necesare unor implementări eficiente pentru procesele de conformitate cu reglementările GDPR.

Noul regulament va face companiile mai responsabile pentru datele din posesia lor

de Florin Răducu

Florin RĂDUCU, director SmartFeel Solutions

Informația a devenit accesibilă oricui. Vrei să o cauți pe Internet? E gratis… Vrei cont de e-mail? Gratis… Instant messaging? Gratis. Rețele de socializare? Gratis. Puține lucruri mai costă bani pe Internet. Și totuși companiile care oferă aceste servicii sunt printre cele mai bogate de pe pământ… Cum își fac banii? Cu noi sau, mai degrabă, cu datele noastre… E mai rentabil să colecteze și să furnizeze terților informații despre tine, decât să îți vândă servicii.

Multe companii au profitat de lejeritatea cu care ne oferim datele personale pentru a câștiga bani, cote de piață și a construi noi modele de business. Ne expunem viața din ce în ce mai mult online și asta ne face vulnerabili. Astăzi criminalitatea cibernetică crește cu 38% în fiecare an, devenind a 2-a cea mai răspândită infracțiune economică.

Noua legislație GDPR și, în special cuantumul amenzilor stabilite prin acest regulament vor face companiile să fie mai responsabile cu datele personale din posesia lor. Un milion de conturi hackuite nu vor mai reprezenta o simplă statistică, atât timp cât pierderea sau folosirea abuzivă a datelor unei singure persoane pot duce la închiderea businessului. Consecința: tehnologiile moderne de cyber security nu vor mai fi un „nice to have” ci un „must have”.

Statistic, se dezvoltă un milion de noi feluri de malware în fiecare zi. Astăzi, timpul mediu în care un malware stă nedetectat într-o organizație este de 201 zile. Totuși, cu tehnologii moderne de EDR îl putem detecta în câteva secunde. În acest context, apare necesitatea unei schimbări a mentalității în privința modalității de apărare la un atac cibernetic. Organizațiile vor fi nevoite să facă trecerea de la o apărare cibernetică statică – de așteptare, la una dinamică – de prevenție, cu soluții de cyber security și cyber threat intelligence care le vor spune dacă sunt vizate de hackeri, modul în care vor fi atacate, momentul și durata atacului.

Florin RĂDUCU este Director General în cadrul companiei SmartFeel Solutions ce oferă soluții de securitate cibernetică și cyber threat intelligence sub brandul Cyberus. florin.raducu@cyberus.ro

Aceste materiale au fost puse la dispoziție de ANSSI și partenerii săi pentru Catalogul GDPR Ready, aparut în Octombrie 2017.

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.