Protecția și libera circulație a datelor personale într-o lume tot mai conectată

Avem nevoie de o cultură în protecția informațiilor, fie că este vorba de securitate cibernetică ca termen general sau de datele personale în perspectiva GDPR.  Acesta a fost principala concluzie a conferinței de Securitate cibernetică din 2018, organizată de iBusiness România și Agora Group pe 22 martie cu sprijinul Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor, Asociației Naționale pentru Securitatea Sistemelor Informatice (ANSSI) și DB Connect.

Cea de-a 4-a ediție a conferinței ”Provocările securității cibernetice într-o lume interconectată: politici, business-uri, strategii” s-a derulat de altfel sub semnul marelui eveniment din acest an: începerea aplicării prevederilor Regulamentului european pentru protecție datelor personale. Nu a fost prezentare pe toată durata conferinței fără să nu aibă măcar un slide despre GDPR…

Ediția din acest an a Forumului economic mondial de la Davos a acordat o atenție specială tehnologiilor emergente și pe impactul pe care acestea îl au asupra societăților, modelelor economice și sociale și în cele din urmă asupra “viitorului comun” într-o piață globală. Pe măsură ce tehnologiile evoluează, problemele de securitate cibernetică sunt deja parte din fiecare segment al vieților noastre, al activității noastre, a ambientului nostru social.

Ca răspuns la această formidabilă dinamică a adoptării inovației tehnologice s-a simțit nevoia unei armonizări și în zona legislativă, unde protecția și mai ales confidențialitatea datelor personale se lovește de la o zi la alta de noi provocări, generate pe de o parte de tehnologie, și pe de altă parte de lipsa de pregătire a oamenilor în asimilare acestor tehnologii.

Evenimentul a fost structurat în două sesiuni care au abordat:

  • Politicile de securitate cibernetică în contextul alianțelor internaționale din care România face parte – un panel de discuții la care au participat importanți reprezentanți ai sectorului public, apărare, SRI, entități guvernamentale răspunzătoare cu politicile de securitate cibernetică, precum și specialiști din sectorul privat.
  • Securitate cibernetică, cele mai bune practici și soluții în contextul mai amplu al adoptării GDPR și al implementării tehnologiilor emergente – secțiune unde am discutat nu numai despre valențele de Securitate a datelor din GDPR dar și despre importanța factorului uman și a existenței unui cadru legal care să ne ajute să asimilăm protecția datelor personale ca pe orice normă de muncă, spre binele organizației.

Datorită formidabilului impact pe care GDPR îl generează nu numai în mediile de business, cam toate prezentările din prima sesiune au făcut referire la necesitatea ca eforturile de aliniere la GDPR și portofoliul de norme generate și adoptate să contribuie la o reală educație în protecția tuturor datelor și reducerea vulnerabilităților datorate lipsei de pregătire a personalului. Astfel, Alexandru Groșeanu, președinte al Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor s-a referit la vulnerabilitățile de securitate cibernetică specifice sectorului public, unde se impune mai mult ca oriunde crearea unei culturi la nivelul utilizatorilor.

În prezentarea Human Point System, Nick Nicolaescu – country manager la Forcepoint s-a referit la cel mai recent concept al companiei, în care component umană este cheia securității cibernetice, fiind zona de intersecție dintre utilizatori, date și rețele, prin intermediul sistemelor IT, în Cloud și pe fiecare dispozitiv. Pentru a înțelege ritmul oamenilor și al fluxurilor de date, este nevoie de informații în timp real care să analizeze comportamentele riscante ale utilizatorilor neinstruiți sau rău-intenționați. Adică un sistem care permite luarea rapidă și eficientă a deciziilor de comportament și remedierea amenințărilor.

Unul dintre domeniile în care protecția datelor personale este deosebit de senzitivă este cel al sănătății. Daniel Nistor – CEO al companiei Info World a abordat câteva dintre provocările pe care GDPR le pune în fața instituțiilor publice și private din sectorul medical, unde compania are peste 15 ani de experiență.  Aplicațiile Info Word furnizează informații și instrumente de analiză atât către managementul unităților medicale, personalul administrativ și specialiștii în servicii de sănătate, cât și pacientului, autorității de sănătate publică sau finanțatorilor sistemelor medicale.

Tot în secțiunea dedicată GDPR, Dragoș Bâlcu – Business Development Manager la Intrarom/ Intracom Telecom a discutat despre necesitatea asigurării protecției datelor în orice locație. Indiferent de natura și dotările oricărei rețele securitatea este una dintre cele mai critice entități ce trebuie administrate. Sistemul de management al securității informației dezvoltat de Intracom Telecom are ca principal obiectiv asistarea clienților pentru o cât mai bună înțelegere a poziționării în fluxul de circulație a informației și stabilirea celor mai adecvate măsuri de limitare a riscurilor specifice organizației.

O prezentare deosebit de interesantă a fost susținută de Magda Popescu, ca reprezentantă Cyber Smart Defence, care s-a referit la activitățile de hacking din perspectiva GDPR. În eforturile de aliniere la noul regulament European, orice companie trebuie să își stabilească propria politică de protejare  datelor personale, precum și un plan de administrare a riscurilor care să include și măsurile ce trebuie respectate în cazul semnalării unor breșe de Securitate. Un astfel de plan pe termen lung trebuie să includă și o serie de simulări care generează breșe și urmăresc modul de reacție al celor care răspund de luarea primelor măsuri, care includ și anunțarea Autorității de supraveghere în maximul 72 de ore de la constatare și, în cazul unor breșe grave, chiar anunțarea persoanelor vizate.  Compania Cyber Smart Defence este printre puținele specializate în teste de penetrare a sistemelor informatice care ajută clienții să descopere care sunt zonele vulnerabile din cadrul sistemelor informatice sau care sunt credențialele utilizatorilor autorizați. În plus, se poate  identifica nivelul de acces al utilizatorilor înregistrați ca anonimi, utilizatorilor regulați și al administratorilor de sistem.

O modalitate pragmatică de abordare a unui proiect de implementare GDPR a fost oferită de Răzvan Cioc – Information Security Specialist în cadrul DB Global Technology.  Centrul tehnologic al DB din România dezvoltă soluții software de cel mai înalt nivel pentru operațiunile globale ale Deutsche Bank şi reprezintă o platformă pentru ingineri software cu nivel înalt de pregătire, fiind operațional din 2014. Deutsche Bank este prezentă pe piața din România din anul 1998, oferind produse şi soluții personalizate pentru Corporate, Investment şi Transaction Banking, pentru clienţi corporativi şi instituţionali, precum şi servicii de Private Wealth Management pentru clienţii persoane fizice.

Una dintre cele mai importante componente a oricărui sistem de protecție a datelor personale este zona de stocare a acestora. De felul în care sunt salvate și stocate datele depinde în mare măsură un proiect de implementare GDPR. În deschiderea secțiunii dedicate GDPR am avut prilejul de a vedea cum ne putem crea propriul Server virtual Cloud SSD în doar 29 de secunde.  Serviciile oferite de compania Combridge, componentă a Deutche Telekom Group, fac această operațiune extrem de simplă. Prin accesarea site-ului www.cloude.ro se poate crea un cont de utilizator. Infrastructura de tip Cloud este construită pe cea mai recentă tehnologie Octa Core (8 Core) CPU, ECC RAM și servere SSD Raid, în timp ce virtualizarea KVM oferă capacități extinse de scalabilitate, performanță Enterprise Class și securitate. Panoul de control foarte ușor e utilizat, rețeaua internațională rapidă și infrastructura elastic, fac din tehnologia de virtualizare oferită de Combridge una dintre soluțiile cu cele mai dezvoltate caracteristici, preferată de majoritatea organizațiilor.

Așa cum arătam și în prezentarea mea ”Cultura GDPR ca motor al conformității pe termen lung” din cadrul sesiunii dedicate, pentru crearea unei culturi GDPR companiile trebuie să adopte o abordare proactivă, metodică și responsabilă cu privire la conformitate, o cultură de confidențialitate și de protecție a datelor personale. Dacă vrem ca oamenii să-și schimbe comportamentul, trebuie să-i motivăm să-și dorească să facă acest lucru. Oamenii  trebuie să înțeleagă de ce este important. Pentru că implementarea GDPR nu este un simplu proiect IT. Este un proces complex care implică oameni, proceduri și tehnologii. Din punctul de vedere al factorului uman, alinierea la GDPR este în primul rând un proces de schimbare. Această schimbare este o mare provocare pentru oameni, dacă nu pot să conecteze riscurile de confidențialitate a datelor la propriile roluri și vieți private.

Crearea politicilor necesare pentru implementarea unei culturi GDPR la nivel de organizație constituie unul dintre serviciile oferite în mod curent cliențiilor de către GDPR Ready Services. Pentru a educa eficient personalul și a construi o cultură de GDPR stabilă, trebuie stabilită o politică clară prin care trebuie să:

  • Definim atribuții periodice și punctuale clare pentru toți cei implicați în prelucrarea datelor personale.
  • Realizăm campanii periodice de sensibilizare și cunoaștere
  • Asigurăm conștientizarea confidențialității în noile medii de business sau cu noi angajați.

Organizațiile trebuie să-și schimbe mentalitatea și oamenii de decizie trebuie să fie un exemplu. Succesul unui proiect GDPR pe termen lung se bazează pe crearea unei culturi la nivel de organizație, în care oamenii se gândesc în primul rând la modul în care ar dori ca informațiile lor personale să fie procesate. Companiile trebuie să adopte această atitudine atunci când manipulează datele personale ale clienților, ale angajaților și ale altor subiecți. Nu este vorba doar despre amenințarea cu sancțiuni financiare. Este vorba de continuitate în business și de construirea unei atitudini de încredere.

Advertisements

About Radu Crahmaliuc
Independent IT&C analyst, GDPR advisor, digital transformation & Cloud computing evangelist, start-ups developer, eBooks author, freelancer, storyteller, events moderator & keynote speaker

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s

%d bloggers like this: