GDPR – UN STATUS DUPĂ 100 DE ZILE

Au trecut 100 de zile de la data luată ca reper pentru intrarea efectivă în vigoare a Regulamentului UE 679/ 2016. Pentru cei mai scrupuloși, ei bine, la data publicării acestui articol  sunt exact 110 zile, dar de ce să stricăm frumusețe de titlu… Important este ce s-a mai întâmplat în aceste 100++ zile…

Graba strică treaba și ne canibalizează bazele de date

Ei bine, încercând să păstrăm o ordine cronologică, primul fenomen cu care ne-am confruntat cu toții încă de prin 20 mai a fost abundența de mesaje de opt-in menite să asigure continuitatea livrării unor mesaje sub pălăria consimțământului. Ideea nu a fost rea și laudă celor care s-au gândit la asta. Nefericită a fost de cele mai multe ori forma sub care s-a ajuns să se solicite asta, chiar și în mult situații în care nu era nevoie de consimțământ. În lipsa unor ghidaje clare, bazate pe un desfășurător de acțiuni și a unei agende de derulare în timp, fiecare a făcut ce a știut, ce i s-a spus, sau cum s-a priceput. A fost un test dur, care dacă ar fi să presupunem că se urmează în continuare regulile, ar trebui să conducă la canibalizarea bazelor de date cu prospecți. Regula zice clar că dacă nu ți se răspunde la solicitarea de confirmare a consimțământului, persoana vizată trebuie trecută pe lista celor care nu sunt de acord cu aceasta.

Am păstrat câteva mesaje din acea perioadă, ca exemplu viu pentru cursurile de GDPR pentru oamenii de marketing. Evident, fără menționarea surselor… Din curiozitate, am făcut și câteva teste interactive, doar cu operatorii din România. La unele mesaje am răspuns, la altele am cerut unsubscribe, iar la altele nu am dat nici-un răspuns, propunându-mi să urmăresc comportamentul în timp. Spre lauda operatorilor, 98% din teste au fost reușite, demonstrând că există oameni care chiar se preocupă de răspunsurile persoanelor vizate. Recunosc, nu am făcut încă nicio solicitare de acces la date, deși aș fi avut motive să testez și viteza de răspuns la solicitările persoanei vizate. Nu mă grăbesc cu asta. Oamenii au nevoie de timp, și acolo unde s-a început un proiect de aliniere GDPR lucrurile nu pot fi făcute peste noapte…

Spre deosebire de multe atitudini din social – media, eu nu mă grăbesc să dau cu barda și acolo unde este nevoie intervin cu blândețea sfatului. Sunt de părere că oamenii care chiar încearcă să schimbe lucrurile trebuie lăsați să lucreze și nu să ii arătăm cu degetul că au făcut totul intern sau că au apelat la unul și la altul. Fiecare a acționat cum a crezut de cuviință, atunci când a avut un management care a fost sensibilizat în legătură cu subiectul. Chiar și cu lipsuri sau mici greșeli, orice pas înainte este un plus și este destul vreme pentru subtilități teoretice. Importantă este reacția oamenilor, a celor care trebuie să asimileze și să pună în aplicare politicile GDPR.

Ghidul GDPR pe verticale

Pentru a face ca mesajele esențiale să ajungă la cât mai mulți oameni, inițiativa GDPR Ready a publicat seria de Ghiduri reunite sub forma Cataloagelor GDPR, apărute în noiembrie 2017 și martie 2018 ca rod al colaborării cu Agora Group. la începutul lunii Iunie a apărut cea de-a treia ediție a Catalogului GDPR – dedicată unor probleme mai specifice ridicate de GDPR pentru micile companii sau diferitele departamente cu rol de operator de date personale. Prin ”GHIDUL GDPR PE VERTICALE” am adus în discuție câteva elemente generale și particulare despre provocările cu care se confruntă departamente cheie dintr-o companie, precum resursele umane, marketingul și vânzările sau echipa IT,  de la maparea proceselor de business și a datelor, la analiza de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație. Ca și la edițiile anterioare, Ghidul este însoțit de recomandările unor specialiști din diferite domenii, ale căror opinii ați avut ocazia să le citiți sau  le veți citi în următoarele zile, sub forma unor articole dedicate.

>> CITIȚI AICI CATALOGUL GDPR ONLINE!

Cu ocazia anunțării apariției Catalogului, la aproape o lună după data de 25 mai, am făcut și o primă analiză bazată pe situațiile întâlnite în piață, din care reieșea că organizațiile din România nu erau încă pregătite pentru importanța momentului. Principalele constatări de la acea vreme se refereau

la cele mai des întâlnite situații posibil generatoare de riscuri pentru datele personale:
1. Inexistenta unei Politici elementare de IT la nivelul unor organizații mijlocii si mari. Chiar si acolo unde există niște norme și politici interne, acestea nu se aplică.
2. Harababura privind procesarea, păstrarea si transferul datelor la nivelul departamentelor de resurse umane și a ecosistemului de parteneri care procesează datele angajaților.
3. Lipsa unei strategii clare privitoare la transparență în echipele de marketing. Se copiază si se aplică șabloane culese de pe Internet, fără a se înțelege esența principiilor GDPR.
4. Inexistenta unei percepții reale privitoare la rolul pozitiv al GDPR pentru schimbarea si transformarea în bine a unei organizații. Oamenii nu au viziune de ansamblu pentru șansele lor în business, închistați fiind de necunoaștere, neînțelegere și preluare inadecvată a unor “sfaturi” oferite de binevoitori.
5. Lipsa de interes a unor manageri de departamente – altele decât HR, FINANCIAR, Juridic, IT – care cred ca ei nu au nicio responsabilitate, e treaba altora să își bată capul cu problemele astea birocratice…

Legea 190

În data de 17 iulie, Președintele României a aprobat prin Decretul 557/ 2018 Propunerea legislativă privind măsuri de punere în aplicare a regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/EC (Regulamentul general privind protecţia datelor). Aceste măsuri de punere în aplicare, cunoscute de acum ca Legea 190/ 2018 au dat naștere la multe controverse și discuții în social media. În fine, Legea a fost publifată în Monitorul Oficial nr. 651 din 26 iulie 2018, adică la 2 luni după data oficială a intrării în vigoare a GDPR.

Fără să intru în alte comentarii, voi prezenta pe scurt cele mai importante articole ale legii 190/ 2018. După cum se arată în Articolul 1, Scopul Legii nr. 190/2018 este de a reglementa măsurile necesare punerii în aplicare la nivel național, în principal, a următoarelor prevederi GDPR :

  • Art. 6 (Legalitatea prelucrării), alin. (2) – ” Statele membre pot menţine sau introduce dispoziţii mai specifice de adaptare a aplicării normelor prezentului regulament în ceea ce priveşte prelucrarea în vederea respectării alineatului (1) literele (c – obligații legale) şi (e – interes public) prin definirea unor cerinţe specifice mai precise cu privire la prelucrare şi a altor măsuri de asigurare a unei prelucrări legale şi echitabile, inclusiv pentru alte situaţii concrete de prelucrare, astfel cum este prevăzut în capitolul IX”;
  • Art. 9 (Prelucrarea de categorii speciale de date cu caracter personal) alin. (4) – Statele membre pot menţine sau introduce condiţii suplimentare, inclusiv restricţii, în ceea ce priveşte prelucrarea de date genetice, date biometrice sau date privind sănătatea”;
  • Art. 37-39 (Desemnarea, funcșia și sarcinile responsabilului cu protecția datelor
  • Art. 42 (Certificarea);
  • Art. 43 (Organisme de certificare);
  • Art. 83 (Condiţii generale pentru impunerea amenzilor administrative), alin. (7) – ” Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv”;
  • Art. 85 (Prelucrarea şi libertatea de exprimare şi de informare);
  • Art. 87 (Prelucrarea unui număr de identitate național);
  • Art. 88 (Prelucrarea în contextul ocupării unui loc de muncă);
  • Art. 89 (Garanții şi derogări privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice

De departe, Articolul 4 – Prelucrarea unui număr de identificare național, este cel mai important articol din legea 190/ 2018, statuând condițiile de prelucrare a unui număr de identificare național prin oricare dintre temeiurile legale stabilite de GDPR în Art.1, alin (1).

Dar asta nu e suficient. Cei care au ca temei legal interesele legitime urmărite de operator pot prelucra date personale ce conțin numere de identificare naționale doar în condițiile în care pot oferi o serie de garanții, precum:

  1. punerea în aplicare de măsuri tehnice și organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum și pentru asigurarea securității și confidențialității prelucrărilor de date cu caracter personal, conform dispozițiilor Art. 32 GDPR (Securitatea prelucrării);
  2. numirea unui responsabil pentru protecția datelor, în conformitate cu prevederile art. 10 din Legea 190/ 2018 – Desemnarea și sarcinile responsabilului cu protecția datelor;
  3. stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, precum și de termene specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii;
  4. instruirea periodică cu privire la obligațiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.

În fine, la fel de important poate fi considerat și Articolul 5 din Legea 190/ 2018 care stabilește câteva reguli cu privire la prelucrarea datelor cu caracter personal în contextul relațiilor de muncă, care sunt supuse unei forme de monitorizare. Dacă angajatorul folosește sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

  1. interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
  2. angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
  3. angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
  4. alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și
  5. durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Am spus ca prefer să nu comentez, dar pot măcar să menționez că printre controversele iscate de legea 190/ 2018 se numără aparenta libertate acordată partidelor și organizațiilor politice care pot prelucra date cu caracter personal fără a avea nevoie de consimțământ și disproporția aplicării de sancțiuni cu dublă măsură pentru firmele de stat și cele private. Legea 190/ 2018 poate fi descărcată în format pdf de pe siteul ANSPDCP 

Ce se întâmplă acum?

La trei luni și ceva după momentul 25 mai 2018, s-a așternut liniștea peste piață. Cine a avut ce face și cu cine face și-a rezolvat problemele esențiale. Așa cum s-a putut, cu cine s-a putut. Nimeni nu se mai agită. S-au rărit și postările, apărând între timp alte subiecte de interes. Cei care nu s-au agitat în mai, stau liniștiți și acum, mizând pe șansa de a fi prea mic pentru a se întâmpla ceva.

Liniște – prea multă liniște și din partea Autorității de supraveghere. Oamenii așteptau o creștere a fluxului de informații oferite de singurul organism național abilitat să supravegheze prelucrarea de date personale. Cu excepția publicării unor comunicate legate de adoptarea formularelor oficiale de notificare a breșelor și de numire a unui DPO, activitatea Autorității a fost destul de puțin vizibilă.

Singura știre publică legată de aplicarea efectivă a GDPR în România a venit de pe un site al Uniunii Europene, unde erau analizate dinamica primelor notificări de după 25.mai, în raport cu bugetele alocate în 2017 pentru autoritățile din țările respective…

Principalul rol în mediatizarea și discutarea diferitelor aspecte legate de GDPR a revenit organizațiilor și inițiativelor private. O serie de asociații profesionale au publicat ghiduri de aliniere GDPR specifice unor activități precum cele de contabilitate, cabinet de avocatură, instituții medicale sau școli. Foarte puține resurse sunt însă disponibile public, majoritatea având un rol comercial.

Din fericire, a crescut numărul inițiativelor individuale, care prin intermediul unor site-uri dedicate au amplificat promovarea subiectelor de larg interes privind condițiile de aliniere GDPR specific pentru companiile și organizațiile din România. Merită a fi apreciate toate aceste inițiative care presupun un mare volum de muncă din partea celor implicați public și social. O simplă căutare pe ”GDPR România” vă va conduce la cele mai populare site-uri sau pagini de profil.

Cât privește activitatea GDPR Ready, în perioada mai-septembrie a avut în vedere cu precădere proiectele de implementare și serviciile de instruire. Ghidurile aferente celor trei Cataloage GDPR și articolele publicate au avut cu certitudine un impact important în creșterea aportului de cunoaștere și în explicarea principalelor provocări GDPR pe înțelesul tuturor. Nu întâmplător, pe 25 mai, secțiunea GDPR Ready a site-ului cloudmania a înregistrat un număr record de vizitatori.

Iată cele mai accesate articole GDPR Ready din această perioadă:

Cum pot obține certificarea DPO în România

Un personaj important: Data Protection Officer

A apărut Catalogul GDPR Practic – premieră pentru România

Dreptul de acces, rectificare, ștergere sau restricționare

Avem un DPO: cum îl certificăm?

Importanța evaluărilor de impact DPIA

GDPR Q&A: Cele mai frecvente întrebări și răspunsuri

Notificarea breșelor de Securitate

Inițiativa GDPR Ready

Avem ISO 27001. Ce ne mai trebuie pentru alinierea GDPR

 

Ca o concluzie a experienței acumulate din proiecte și inițiativele de instruire, aș puncta faptul ca dincolo de inexistenta unor tehnologii adecvate care pot rezolva buna parte din vulnerabilitățile de prelucrare și stocare a datelor cu caracter personal, principala frană în larga adopție a GDPR sunt oamenii, care nu sunt învățați să respecte niste norme și proceduri elementare. Problema principală în orice companie este legată nu de nu atingerea unor condiții de conformitate GDPR, ci de păstrarea acestora pe termen lung prin asimilarea Culturii GDPR.

Advertisements

FENOMENUL GDPR

Yugo NEUMORNI

Yugo Neumorni, CISA, EMBA este membru în Boardul asociației paneuropene EuroCIO și Chairman al Cybersecurity Council al EuroCIO. Este de asemenea președintele asociației CIO Council Romania, membru în British Computer Society Elite și Director IT al Hidroelectrica. A contribuit din poziția de CIO la ieșirea din insolvență a companiei Hidroelectrica și la transformarea în cea mai profitabilă companie din România. A coordonat cu succes implementarea unui proiect ERP complex pentru Hidroelectrica (300 utilizatori, 12 module) care a fost premiat cu Gold Winner in competiția SAP Quality Awards 2017 în categoria Fast Delivery. Anterior, Yugo a fost peste 10 ani Head of IT pentru Vimetco, cel mai mare producător de aluminiu din Europa de Sud-Est și peste 6 ani IT Manager în cadrul Deloitte Central Europe. Cu peste 24 de ani de experiență în industria IT, Yugo Neumorni este specializat în reorganizarea și dezvoltarea ecosistemelor IT din zona industrială și de manufacturing. Aria sa de expertiză include implementarea și dezvoltarea de proiecte ERP complexe, securitate IT și cybersecurity, sisteme SCADA și industrial control systems, IT audit și IT governance, modelare de procese în energie și manufacturing, COBIT framework. Este absolvent al Facultății de Automatizări și Calculatoare al Universităţii Politehnice Bucureşti și al programului EMBA de doi ani derulat în parteneriat de Asebuss și Kennesaw State University.

Practic de acum încolo toţi oamenii trebuie să gândească și să opereze zilnic în termenii GDPR, atât din perspectiva responsabilităţii ca angajat, dar și ca beneficiar în viaţa privată. Fenomenul GDPR apare într-un moment în care societatea s-a săturat de nenumăratele „accidente” prin care baze de date cu informații confidențiale ajung să circule liber în Internet, eliberate în mod voit, accidental sau sustrase prin atacuri de natura cibernetică.

Companii multinaționale de renume din toate sectoarele economice, alături de structuri din sectorul public sau de apărare, și-au văzut penetrate sistemele de securitate IT, având ca rezultat pierderea a sute de milioane de date medicale, financiare și alte informații cu caracter personal. Profilarea automată a persoanelor direct din instrumentele online sau prin rețelele sociale, agresivitatea vânzătorilor online și a departamentelor de marketing au devenit intens abuzive și constituie deja o intruziune nepermisă în viața privată a cetățeanului. Toate acestea au făcut ca societatea să ceară imperativ un control solid al operatorilor de date cu caracter personal și o schimbare de mentalitate asupra protecției datelor.

Interesant este că, deși legislațiile naționale dar și cea europeană aflate în vigoare acoperă de ani buni protecția datelor cu caracter personal, ele nu au fost popularizate și promovate până acum, rămânând practic necunoscute marelui public. Comasarea majorității actelor normative într-un singur regulament, optimizarea acestuia și promovarea ca directive europeană, dar mai ales creșterea considerabilă a cuantumului penalităților au făcut ca acest regulament GDPR să ajungă acum prioritate zero pentru companii.

Aplicarea regulamentului GDPR presupune schimbarea mentalității asupra protecției datelor, atât în companii, cât și în societate, în general. Ea implică cel puțin o procedurizare serioasă a proceselor de afaceri iar în multe situații o modificare substanțială a acestora. GDPR nu este un proces care se închide la 25 Mai ci, din contra, este un demers continuu care va modifica procesele operaționale ale companiilor. Practic de acum încolo toți oamenii trebuie să gândească și să opereze zilnic în termenii GDPR, atât din perspectiva responsabilității ca angajat, dar și ca beneficiar în viața privată.

În organizațiile insuficient de mature aplicarea GDPR este percepută în mod eronat ca fiind o responsabilitate a CIO când aceasta aparține, în realitate, Board-ului. La întreținerea acestei false percepții au contribuit din păcate și firmele de IT, care au văzut fenomenul GDPR ca o oportunitate de a vinde soluții de securitate IT.

Din perspectiva CIO, fenomenul GDPR aduce o mare provocare profesională și mult stres, dar și un sprijin și o argumentație în plus la constituirea bugetelor IT. Se știe de ani de zile despre dificultatea de „a vinde” securitatea IT către Board, mai ales în contextual în care operațiunile IT au fost mai mereu „pe verde”. Executivii nu acceptă cu ușurință nevoia de securitate IT în principal, pentru că este un element oarecum intangibil, și cu impact negativ în P&L. Regulamentul GDPR pune în mâna CIO, prin intermediul DPO, suficiente argumente pentru o bugetare corectă în domeniul securității IT și a protecției datelor personale.

GDPR este un fenomen eminamente pozitiv pentru societate, care deschide noi oportunități pentru „data protection officers”. Simultan directorii și departamentele IT se repoziționează și primesc un mare balon de oxigen în evanghelizarea nevoii de securitate IT și de protecție a datelor. Privită din anumite unghiuri însă, o interpretare excesivă și abuzivă a GDPR, în lipsa unor norme de aplicare clare, poate conduce la dereglarea mediului economic.

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. a 8-a, București, martie 2018, pag. 54-55. 

Cu ocazia celei de-a șasea Conferințe Naționale CIO Council Romania care va avea loc pe 16 mai, Yugo Neumorni va modera atît sesiunea principală din deschiderea evenimentului, cât și alte sesiuni cu subiecte deosebit de importante. 

A ȘASEA CONFERINȚĂ NAȚIONALĂ CIO COUNCIL ROMANIA

Cea de-a VI-a ediție a Conferinței Naționale a Managerilor de IT din România, organizată de către CIO Council și Revista CARIERE, va avea loc pe 16 mai 2018 la Hotel Radisson Blu din București.

Conferința CIO Council este concepută ca un forum care oferă o platformă de rețea pentru CIO-uri și CxO din cadrul organizațiilor de vârf. Participanții vor fi angajați în dezbateri provocatoare și schimburi inovatoare de cunoștințe cu membrii CIO Council și lideri din industrie cu privire la oportunitățile oferite de transformarea digitală și noile trenduri în industria IT.

Evenimentul va reuni peste 250 de profesioniști și manageri din domeniul tehnologiei (CIOs și COOs), oferindu-le acestora o excelentă ocazie de a discuta despre noile tendințe IT: inteligența artificială, automatizare, robotizare, machine learning. Pe măsură ce tehnologia digitală își continuă avansul, noile reglementări GDPR și amenințările de securitate informatică pun o presiune extraordinară pe umerii CIOs și a decidenților din industria IT.

CIO Council este Asociația Directorilor de Tehnologia Informațiilor și Comunicații din România și reunește peste 80 de membrii ce dețin sau au deținut funcția de Chief Information Officer/Director IT în mari corporații românești sau multinaționale din domenii diverse de activitate.

Principalele teme de discuție ale ediției din acest an:

  • Top 10 tendințe digitale pentru anul 2019
  • Creșterea afacerilor prin IoT, AI, machine learning, robotizare și imprimare 3D
  • Viitorul aplicațiilor de business intelligence se bazează pe AI și machine learning
  • Secretul tehnologiei blockchain
  • Data privacy și GDPR – o schimbare culturală majoră în societate.
  • Construirea unei culturi de cybersecurity
  • Cybersecurity pentru automatizarea industrială și sistemele de control
  • Viitorul orașelor inteligente
  • Forța de muncă digitală / Locul de muncă al viitorului. Inteligența artificială poate fi înlocuirea potrivită pentru oameni?
  • Atragerea și menținerea talentului într-un ecosistem digital
  • Sistemul educațional este pregătit să susțină tehnologia inovativă?
  • Agenda digitală europeană

Conferința este sprijinită de către asociația paneuropeană EuroCIO prin prezența dlui Emmanuel Gaudin, Chairman al asociației și CIO Lagardere; CIO Council România reprezintă România în cadrul asociației EuroCIO începând din 2018. Conferința va fi moderată de către Yugo Neumorni, Președinte CIO Council România și Director IT&C, Hidroelectrica.

Ca principali speakeri în siunile dedicate vor fi: Cătălina Dodu, Managing Atos Cybersecurity Business in CEE, Atos; Carmen Adamescu, Partner, Head of IT Advisory Services, EY Romania; Marius Iordache, IP Network Architect, Orange România; Roxana Ionescu, Partner, Head of Data Protection practice, NNDKP; Vlad Tănase, Partner, NNDKP; Vladan Pekovic, Chief Technology and Information Officer, Telekom Romania; Cătălin Popescu, CIO Council Member; Radu Brașoveanu, CIO Council Member; Liviu Buligan, Executive Director SoftOne România și alții.

  • Supporting Partners: DELLEMC, Atos, Orange România;
  • Parteneri: NNDKP, SoftOne, EY România, Softline, Bitdefender, Telekom România, Relational și Informatica;
  • Networking Partners: SoftwareONE; Koding, Crescendo, ASBIS România;
  • Parteneri media: Revista HR Manager, HR Club, Biz, Wall-Street, Portal HR, Jurnalul de Afaceri, Repatriot, Elite Business Women, Business Review, ISACA, Agora, Market Watch, ANIS, ARASEC, CloudMania, RisCo.

Mai multe informații despre speakeri, agenda și înregistrare puteți găsi pe site-ul evenimentului:  www.cioconference.roPentru înregistrarea la eveniment accesați http://www.cioconference.ro/register

Provocările securității cibernetice într-o lume interconectată


 

 

22 martie, DB Connect, Bd. Dimitrie Pompeiu 6A, București

Vă invităm la prima mare conferință de Securitate cibernetică din 2018. Nu întâmplător, anul în care va intra în vigoare noul Regulament European pentru protecția datelor personale (GDPR). Această conferință este organizată de iBusiness România împreună cu Agora Group, cu sprijinul Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor, Asociației Naționale pentru Securitatea Sistemelor Informatice (ANSSI) și DB Connect.

Cea de-a 4-a ediție a conferinței ”Provocările securității cibernetice într-o lume interconectată: politici, business-uri, strategii” se desfășoară Joi 22 Martie la sediul DB Connect din bd. Dimitrie Pompeiu 6A, din București.

Ediția din acest an a Forumului economic mondial de la Davos a acordat o atenție specială tehnologiilor emergente și pe impactul pe care acestea îl au asupra societăților, modelelor economice și sociale și în cele din urmă asupra “viitorului comun” într-o piață globală. Pe măsură ce tehnologiile evoluează, problemele de securitate cibernetică sunt deja parte din fiecare segment al vieților noastre, al activității noastre, a ambientului nostru social.

Atunci când vorbim despre tehnologiile emergente, luăm în considerare unele dintre cele mai populare și răspândite trenduri: IoT, sistemele autonome, industria digitală, Realitatea Virtuală & Augmentată, AI & Robotică, generația viitoare de infrastructuri virtualizate (inclusiv SDN și 5G), tehnologii Cloud și Blockchain, Machine Learning. Un alt factor disruptiv, în tot acest context, îl reprezintă iminenta adopție a Regulamentului General pentru Protecția Datelor (GDPR), care vine cu o serie de provocări majore pentru organizațiile care operează date cu caracter personal.

La conferință vor participa importanți factori de decizie și pe reprezentanții instituțiilor și agențiilor guvernamentale, care vor comenta împreună cu noi provocările, pașii de urmat și soluțiile pentru o lume mai sigură. Evenimentul este dedicat importanței deosebite pe care securitatea cibernetică o joacă în plan politic, economic și social, de la sectorul public (administrații centrale și locale), la organismele guvernamentale, Parlament, organizații de apărare și de informații (ministere, universități etc.), diverse verticale economice (utilități, manufacturare, telco, transport și logistică, energie, sănătate etc.) și până la sectorul privat. Toate aceste entități funcționează pe infrastructuri IT&C ce folosesc aplicații și tehnologii de protecție, politici de Securitate a datelor și de recuperare în caz de dezastru.

Evenimentul este structurat în două sesiuni care vor aborda:

Politicile de securitate cibernetică în contextul alianțelor internaționale din care România face parte – un panel de discuții cu cei mai importanți reprezentanți ai sectorului public, apărare, SRI, entități guvernamentale răspunzătoare cu politicile de securitate cibernetică, precum și reprezentanți ai sectorului privat.

Securitate cibernetică, cele mai bune practici și soluții în contextul mai amplu al adoptării GDPR și al implementării tehnologiilor emergente – secțiune unde vom discuta nu numai despre valențele de Securitate a datelor din GDPR dar și despre importanța factorului uman și a existenței unui cadru leal care să ne ajute să asimilăm protecția datelor personale ca pe orice normă de muncă, spre binele organizației.

Nu uitați să vă înregistrați pe pagina Web a conferinței: https://ibusinessevents.ro/provocarile-securitatii-cibernetice-intr-o-lume-interconectata-politici-business-uri-strategii/

Veniți la Conferință și vom putea discuta despre GDPR și impactul noilor reglementări la nivelul fiecărei organizații!

ÎNREGISTRAȚI-VĂ AICI!

 

Star Storage’s annual B2B event: a real Digital Innovation Fest

The autumn events season started last week with a true technology innovation festival organized by Star Storage, the global provider of modern information protection and management solutions for top public and private organizations.

 Organised in the very inspirational location from Stejarii Country Club, the Digital Innovation Fest event brought together technology professionals, various business lines specialists and international analysts interested in the most relevant topics of the moment, like digital transformation, regulation compliance – including GDPR, and associated risk management.

Addressing company’s customers from the most powerful industries like financial services, utilities, telecoms, manufacturing, and also the public sector, Digital Innovation Fest 2017 was a well-received event, changing the perspective we are looking to innovative technologies and putting us in the position of the main engine of the digital transformation process.

Digital Innovation Fest participants had the opportunity to meet and discuss with global leaders in information management, enriching their knowledge and experience, and exploring new digital ways to make the difference in their industry. International speakers delivered key answers to hottest topics of the moment, showing most efficient ways to solve the specific problems.

The DIF opening keynote was sustained by Catalin Paunescu, CEO Star Storage, which presented company’s credentials, based on a continuous innovative process in business solutions design. Star Storage’s solution and services portfolio is creating value for individuals, using digital technologies with a positive impact on their work and private lives.

The company’s key achievements are related to top technologies adoption, providing to the clients:

  • increased compliance & risk reduction through unified information governance;
  • appreciable cost savings and time to market acceleration by rethinking operations and processes;
  • customer loyalty increasing and revenue growth through improved customer experience;
  • new revenue streams and new business models to reach new markets;
  • the art to do more with less.

All these achievements was sustained by an ambitious Go To Market Strategy in the international markets with most dynamic average growth like Enterprise Information Archiving (EIA) with US$ 3 billion Market size 2018, Enterprise Document and Data Capture (US$2.6 billion in 2018), or  Electronic Medical Records (EMR  – US$17.43 billion in 2018 market size). Star Storage international expansion is based on more than 100 global alliance partners, powerful system integrators, consulting and regional partners.

“We have now a solutions portfolio that meets the real challenges of the business environment and can make a difference both at the level of organizations and at the level of each individual and society, said Catalin Paunescu, CEO Star Storage during his opening keynote. “ We strongly believe that technology is not only aimed at increasing business efficiency, the technology is designed to help people – from work efficiency to office to contributing to a healthier life through effective healthcare management and effective communication with healthcare staff through telemedicine”.

One of the most appreciated presentation from opening session was keynote intervention sustained by Atle Skjekkeland, Senior Vice President at AIIM (The Association for Information and Image Management). Atle is an experienced technologist, educator, and innovator. His interest in the future of information management with social, mobile, Cloud and big data has made him a frequent keynoter and workshop facilitator at events across the world. Atle is also the architect behind AIIM’s training programs with close to 30,000 students.

During his presentation in Bucharest, Atle discussed the main issues opened by digital transformation to enterprise-sized organizations, presenting the most important 4 ways to improve productivity and ensure compliance in the new digital era.

According to a Forrester survey of business executives, the very significant business problems impact on Enterprise IT level is related to:

  • High Cost of Ownership (91% of survey participants)
  • Difficult Upgrades (87%)
  • Poor Cross-Functional Processes (86%)
  • What the Apps Deliver Doesn’t Match Business Requirements (80%)
  • Inflexibility Limits Process Change (75%).

The 4 ways enterprises could improve productivity and ensure compliance in the new digital era are related to:

  • Enterprise level engagement – opening mobile access to ECM systems, facilitating the mobile capture, content creation and commenting, and adoption of mobile interaction processes.
  • Automating business processes – increasing business productivity by removing paper-based
  • Facilitating insight actions – by process optimization, access improvement to vital data and applications, and a radical change in employees’ behaviour.
  • Adopting effective control policies, based on assumed risks, and GDPR compliance.

Another very interesting and well-documented keynote was the presentation of The top 10 strategic technologies, trends & predictions for 2017-2018, sustained by Lukas Erben, Vendor Executive Manager at KPC – a Gartner Group covering Czech Republic’s, Slovakian, and Romanian territory.  Lukas is a Gartner specialist with more than 20 years of professional IT and tech writing, consulting and publishing background. As Vendor Executive Manager, Lukas is helping CEOs, CTOs and other executives to maximize the value of their investment in Gartner, in key areas like strategic development or product and service innovation.

According to Gartner’s research, the top technologies trends are related to three essential fields which involve specific technologies like:

  • Intelligent: Advanced Machine Learning & AI, Intelligent Apps, and Intelligent Things;
  • Digital: Augmented & Virtual Reality, Digital Twin, and Blockchain & Distributed Ledger
  • Mesh: Mesh App & Service Architecture, Digital Technology Platforms, and Adaptive Security Architecture.

Let’s summarize few of the Intelligent Digital Mesh trends until 2020:

  • AI (Artificial Intelligence) will be a primary battleground for service providers;
  • 20% of enterprises will employ dedicated people to train neural networks;
  • 46% of the customer-perceived value proposition of products and services will be digital;
  • 30% of Web browsing sessions will be without a screen;
  • Algorithms will positively alter the behaviour of Billions of global workers;
  • IoT Will Increase Data Center Storage Demand by Less Than 3%;
  • Most IoT-generated data will not be stored or retained.

 

According to a Gartner survey named “The 2017 CIO Agenda: Seize the Digital Ecosystem Opportunity”, the key technologies having the most potential to change the organization over the next five years are:

  • 81% Advanced Analytics
  • 48% Internet of Things
  • 43% Digital Security
  • 40% Business Algorithms
  • 22% Machine Learning
  • 19% Virtual Customer Assistants
  • 13% Augmented Reality
  • 10% Blockchain
  • 7% Autonomous Vehicles
  • 6% Smart Robots

 

A very good example of digital adoption in real life was the story presented by Alex Padureanu, CEO of Hospices of Hope, showing how innovative technologies could contribute with a very high impact on patients in the field of palliative care. The Hospices of Hope is a project that aims to radically improve patient services through patient-to-patient communication with mobile devices and advanced technologies like virtual reality.

Hospices of Hope is one of the most important networks developing palliative care in Eastern Europe. Based in the United Kingdom, Alex is responsible to coordinate the activity of the local team and the organization in the US, having a non-executive role in the country partner organizations (Romania, Serbia, and Moldova). To ensure that as many patients as possible receive palliative care Hospices of Hope concentrate on two areas of work:

  • direct support and treatment for patients and their families;
  • increasing the awareness and availability of palliative care through training.

 

One of the most important healthcare project from Romania in the last period is the implementation of STATUS Healthcare Hub to Casa Sperantei, a communication platform developed by Star Storage that enables doctors and medical services providers to interact with their patients and exchange information in a secure and friendly environment. Main STATUS ability is to provide efficient management of EMR (Electronic Medical Records) offering data mobility and accessibility to complete medical files based on data coming from medical systems, from field doctors, and from patients. The files are containing a recording of medication and assistance for correct drug administration, being able to provide easy and instant access from anywhere and anytime to complete patient records.

STATUS Healthcare Hub is offering also the transparent promotion of medical services by keeping up to date doctor profile relating healthcare specialities training and medical expertise. The solution is based on a safe environment for storage and transfer of medical data. Once fully implemented at Casa Sperantei, STATUS can increase the number of consultations with up to 50% offering better communication and interactivity. As recognition of the value of STATUS Healthcare Hub implementation, Star Storage’s solution received “Best Cloud services for vertical market” award during EuroCloud Awards 2015 contest.

About Star Storage 

Star Storage is a global technology provider developing and delivering state-of-the-art information protection and management solutions for top private and public organizations. With more than 17 years of experience, own Intellectual Property and a portfolio of 500 customers on 4 continents, with strong expertise in top industries such as banking, insurance, telecom, manufacturing, utilities and public administration, the company play a key role in the digital transformation, mobile and cloud journey of any size organization.

Images Source: Star Storage

The Disruptive Effect of GDPR

The entry into force of the new Personal Data Protection Regulation on May 25th, 2018 is already perceived as one of the major critical events of the next year. It will be “Day – O”, with apocalyptic effects for many companies that will not have the resources and time to become GDPR compliant?

Do you remember “2000 Year Virus” or “Millennium Problem”? It was a tremendous strategic move to upgrade infrastructure and computer equipment based on a technological challenge of expanding the number of digits. In January 2000 1st, there was very few downtime in some legacy computing systems with minor losses, but everyone gained through the boom of investments in new equipment and infrastructure…

For many organisations, the new EU regulation 2016/679 comes with the force of an unprecedented change. It seems to have a much greater disturbing effect than the digital wave. GDPR genesis was not easy. Considered as an absolutely necessary update of Directive 95/46 / EC, GDPR consolidated after 4 years of debate and 3000 amendments. Over 80 new requirements have emerged from the old directive. Many companies will have to make radical changes in business models. Some analysts say we will have to radically rethink the current marketing processes. According to the Digital Clarity GroupThe GDPR could be a mortal threat to your company’s existence — and it makes fundamental decisions about data collection, processing, and storage into key strategic business issues.”

An essential vector of the new regulation is the worldwide applicability area. Previously there were regional treaties such as “Safe Harbour” that offered US companies the necessary comfort to process customer data in Europe. Safe Harbour’s privacy principles were abolished by the European Court of Justice on October 24, 2015, after a customer complained that their Facebook data was insufficiently protected. GDPR has suddenly become a major challenge for all multinationals.

Other major provisions of the new regulation with possible disruptive effects would be:

Fines – Penalties are overwhelmingly high, with a maximum of 4% of annual global turnover. Note that these provisions apply to both data handlers and processors – which extend the GDPR requirement to hosting companies or Cloud providers as well.

Consent – Companies will no longer be able to use GDPR incompatible contractual terms or hard-to-get clauses. Consent must be clear and free from any taxation, and intelligent request and a solid argumentation of the purpose of the data processing.

Notification of security breaches – becomes mandatory for all member countries of the community. Any incident must be communicated to the reporting authorities within 72 hours of the occurrence of the breach. Processors will also have to notify their customers as soon as it turns out that the security incident has affected their personal data.

Right to access – part of the extended rights of citizens in the new GDPR format refers to their right to require processors or data controllers to confirm the way personal data is processed, where and for what purpose.

Right to be forgotten – also known as “the right to be deleted“, ensures full confidentiality by deleting all personal records, even in situations of data dissemination or potential use by third parties.

Data portability – refers to the right of any citizen to receive personal data in a readable, readable format by any device that can be transmitted at the request of the owner of another data processor.

Privacy by Design – is a long-standing concept that is just now part of the GDPR requirements package. Essentially, it consists of including data protection tools from the very beginning, from designing a computer system.

Data Protection Officers (DPO) – An IAPP study estimates a need of more than 28,000 DP officers across Europe. The holder of this position will be the GDPR compliance trustee and will accumulate legal, operational and IT expertise.

There are also analysts who see GDPR as a business-friendly test. Any company that has made efforts and invested in compliance measures has gone a long way in its digital transformation.

GDPR Ready? AMR 1 AN!

 

Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?

Nisipul din clepsidră se efilează ireversibil. Fix peste un an (fără câteva zile deja), pe 25 mai 2018, va intra in vigoare noul regulament privitor la protecția datelor personale propus de Uniunea Europeană. Votat de Parlamentul European în aprilie anul trecut, Regulamentul 679/ 2016 privind protecția datelor personale și libera circulație a acestor date este cunoscut sub denumirea generică de GDPR, adică mai pe înțelesul nostru Regulamentul General privind protecția Datelor Personale.

Parlamentul European a acordat procesatorilor de date personale un răgaz de 2 ani, suficient pentru a se pune la punct cu noile reglementări. Pentru a sublinia importanța acestui demers, au fost anunțate penalități usturătoare pentru cei care nu vor putea deveni compatibili. Mulți analiști spun că cifrele vehiculate ”sunt așa, doar de înfricoșare”, dar cine își poate permite să riște o amendă de 10 milioane de euro sau minim 2% din cifra de afaceri pe un an?

De ce este atât de important Regulamentul 679/2016?

În primul rând pentru că reprezintă o inițiativă europeană la care vor trebui să se alinieze atât operatorii de date personale din Uniunea Europeană, cât și toți ceilalți care sunt implicați în schimburi de date cu aceștia.

Regulamentul a apărut ca o reacție firească la stabilirea unor noi cadre de reglementare unitară, nu numai pentru viitorul digital al Europei, ci și pentru a corespunde unor modele de business online, proliferării serviciilor Cloud și rețelelor sociale. Toată această cavalcadă de digitalizare, globalizare și migrare în Cloud pune într-o nouă perspectivă siguranța datelor personale.

Apariția Directivei NIS (Rețeaua și Securitatea Informației) și noul GDPR, oferă noi perspective, dar și o foarte mare responsabilitate, tuturor organizațiilor procesatoare de date personale din UE, precum și întregului ecosistem de afaceri în care acestea sunt angrenate.

Care sunt obiectivele noului regulament?

Prin date cu caracter personal se înțeleg  orice informații privind o persoană fizică identificată sau identificabilă. O persoană fizică identificabilă este aceea care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume,un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice,culturale sau sociale.

În România, noul regulament înlocuiește Legea 667/ 2001. GDPR reprezintă o schimbare fundamentală în legislația UE în ceea ce privește datele și intimitatea personală. Regulamentul are doua obiective majore:

  • Actualizarea legislației privind protecția datelor pentru a reflecta noile comportamentele digitale și valorile societății;
  • Armonizarea regulilor privind protecția datelor la nivelul UE, deoarece vechea Directivă privind Protecția Datelor a fost abordată și implementată în maniere diferite de statele membre, adaptată la propriile culturi, nevoi și preferințe. Asta a influențat o inhibare a comerțului și activităților cross-border, acționând ca o frână în calea unei viitoare piețe unice digitale.

Care sunt activitățile asupra cărora GDPR va avea un impact major?

În primul rând sunt vizați toți operatorii de date. Mulți procesatori de date existenți vor trebui să își schimbe radical procedurile și garanțiile de prelucrare a datelor.

Apoi, orice organizație, indiferent de mărime și domeniu de activitate, care execută activități de procesare a datelor, pentru că noul regulament se aplică datelor personale ale cetățenilor UE, indiferent dacă cel care controlează sau datele are prezență fizică în UE sau nu.

Cine este vizat de noul regulament?

Iată doar câteva exemple de domenii unde există operatori de date personale:

  • financiar bancar: bănci, asiguratori, administratori ai fondurilor de pensii, companii de servicii financiare, societăți de leasing, etc.;
  • utilități: energie, gaze, apă, salubritate, transport public;
  • furnizori de produse și servicii IT: producători de software, furnizori de servicii de telecomunicații, Internet, cablu TV, rețele și servicii de hosting și Cloud, operatori de data centers, operatori de plăți online, magazine online, furnizori de soluții de Securitate HW și SW
  • organizații din sănătate: spitale, policlinici, case de asigurări, instituții de studii clinice, medici de familie, farmacii, etc.;
  • companii comerciale de retail, distribuție, magazine online;
  • organizații media, agenții de marketing și PR, agenții de publicitate, cabinete de consultanță tehnică, economică sau juridică, agenții de jocuri și concursuri, companii de training și cursuri de perfecționare;
  • autorități și instituții publice.

Care sunt direcțiile de acțiune ale operatorilor pentru a asigura implementarea noului regulament?

  • În primul rând elaborarea unui plan de asigurare a tuturor măsurilor necesare pentru îndeplinirea compatibilității;
  • pregătirea aplicării efective a Regulamentului;
  • obținerea resurselor financiare și umane adecvate pentru realizarea efectivă a competențelor solicitate;
  • elaborarea unui Studiu de impact – în cazul procesărilor de date care presupun un risc ridicat pentru viața privată a persoanelor, cum ar fi cele din sănătate;
  • înființarea funcției Data Protection Officer (DPO), ca persoană care răspunde de/ coordonează siguranța datelor personale la nivelul operatorului de date;
  • conștientizarea riscurilor asociate cu penalitățile extrem de severe anunțate pentru neconformare – 10 – 20 milioane de euro sau între 2% şi 4% din cifra de afaceri la nivel internațional.

Cum au evoluat preocupările legate de GDPR în România?

După febra inițială a anunțului legat de aprobarea Regulamentului 679/ 2016, trebuie să recunoaștem că a fost un prim an destul de liniștit. Ne-am fi așteptat la o mobilizare mai mare, încă din vara lui 2016. Cu puține excepții pe care le vom enumera mai jos, activitățile au fost destul de discrete, fără să se bucure de o reflectare adecvată în presă, pe grupurile de discuții sau în mediile sociale… Am discutat cu diferiți reprezentanți ai organismelor guvernamentale care ar trebui să manifeste o implicare mai activă în asigurarea unui bun climat pentru adoptarea noului regulament. Aproape de fiecare dată mi s-a explicat că problema e conștientizată și că va fi tratată cu toată considerația. Nici implicarea segmentului privat nu a fost prea dinamică în primul an. Puținele dezbateri publice din 2016 au vizat cu precădere discutarea textului de regulament și, foarte puțin, măsurile care s-ar impune.

Avem o Autoritate Națională

În România, organismul care coordonează problemele legate de securitatea datelor personale este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Citând din prezentarea generală a instituției și a obiectivului de activitate publicate pe site-ul Autorității http://www.dataprotection.ro/:

”Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în calitate de autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor personale, reprezintă garantul respectării drepturilor fundamentale la viaţă privată și la protecţia datelor personale, statuate cu precădere de art. 7 și 8 din Carta Drepturilor Fundamentale a Uniunii Europene, de art. 16 din Tratatul privind Funcționarea Uniunii Europene și de art. 8 din Convenția europeană pentru apărarea drepturilor omului și libertăților fundamentale.”

Din aceeași sursă reținem faptul că Autoritatea își asumă rolul extrem de important de catalizator al tuturor eforturilor de aplicare a prevederilor noului Regulament care implică ”o evaluare complexă a instrumentelor specifice asigurării protecției datelor personale, în scopul adaptării cadrului normativ național și pregătirii instituționale pentru aplicarea noilor reglementări europene, inclusiv sub aspectul realizării unei cooperării eficiente cu Comitetul european pentru protecția datelor și cu celelalte autorități în domeniu din Uniunea Europeană.”

Pe pagina de Web dedicată noului Regulament UE 679/ 2016 este publicat un abstract legat de noua legislație, cu referire specială la:

  • Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
  • Directiva (UE) 2016/680 referitoare la protecția datelor personale în cadrul activităţilor specifice desfășurate de autoritățile de aplicare a legii.

precum și linkuri către o serie de documente importante:

Toate documentele la care se face referire sunt redactate în limba română, pot fi consultate și descărcate online.

O altă secțiune importantă a paginii dedicate noilor reglementări europene se referă la activitatea Grupului de Lucru Articol 29. Acest grup de lucru a fost creat în temeiul Articolului 29 din Directiva 95/46/CE și este un organ consultativ european independent care se ocupă cu protecția și confidențialitatea datelor.

Art. 20 din Regulamentul General privind Protecția Datelor (GDPR) introduce un nou drept la portabilitatea datelor. Acest drept permite persoanelor vizate să primească datele cu caracter personal pe care le-au furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și să transmită respectivele date altui operator, fără obstacole.

Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un ofițer de protecție a datelor (DPO). În această situație se află toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate), precum și  celelalte organizații care monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care GDPR nu impune în mod expres numirea unui DPO, organizațiile pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 („WP29”) încurajează aceste eforturi voluntare.

Cele mai importante documente care reprezintă activitățile specifice acestui grup de lucru sunt o serie de Ghiduri destinate asigurării unei aplicări unitare, realizate prin consultări publice care au demarat în luna decembrie a anului trecut și au fost adoptate în cadrul Plenarei din luna aprilie 2017 a Grupului de Lucru Art. 29 :

E important de menționat că în cursul aceleiași Plenare, s-a adoptat Opinia nr. 1/2017 privind propunerea de Regulament a Comisiei Europene referitor la comunicațiile electronice – Regulament ePrivacy. Acest Regulament are menirea de a defini politicile de protecție a comunicațiilor și echipamentele terminale, care au caracteristici particulare care nu sunt adresate de GDPR.

În aceeași Plenară a fost adoptată și o Declarație a Grupului de Lucru Art. 29 pentru revizuirea Regulamentului 45/2001 ce viza protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organismele comunitare și libera circulație a acestor date.

Continuând descrierea conținutului paginii de Internet a ANSPDCP, foarte importantă este prezentarea – sub formă de comunicate de presă, a principalelor activități de popularizare a Regulamentului  la care Autoritatea a participat sau pe care le-a organizat începând cu vara anului 2016.

Dar despre aceste activități de promovare și ce alte tipuri de acțiuni sunt proiectate pentru perioada următoare vom scrie într-un viitor articol.

Ce alte tipuri de acțiuni ar mai fi utile pentru operatorii de date din România?

Mai este un an și sunt încă foarte multe lucruri de făcut. Cu toate eforturile inițiate de ANSPDCP, comunitatea operatorilor de date resimte nevoia acută a unor acțiuni mai ample, care să ofere răspunsuri mai clare privitoare la ceea ce au efectiv de făcut. Din discuțiile avute cu membrii diferitelor comunități din industria IT&C, reiese că în piață există încă multe incertitudini. Mulți operatori de date nu știu încă ce au de făcut, iar furnizorii de servicii Internet și Cloud au și mai multe probleme legate de natura transmiterii, prelucrării, stocării și procesării datelor.

INIȚIATIVA ”GDPR READY”

Pornind de la importanța majoră a asigurării unei tranziții unitare, la scară națională, către îndeplinirea condițiilor de compatibilitate cu Regulamentul 679/ 2016 de către marea majoritate a operatorilor de date personale, ne-am gândit la lansarea unei inițiative ”GDPR Ready”, care să susțină și să completeze eforturile de promovare și conștientizare depuse de Autoritate și alte instituții publice și private.

Această inițiativă își propune să catalizeze interesul celor implicați în acțiuni de asigurare a compatibilității cu Regulamentul 679/ 2016: organizații guvernamentale și private, asociații profesionale, companii de consultanță, instituții de cercetare și educație, furnizori de soluții și servicii IT&C, operatori de centre de date, case de software, reselleri și distribuitori, magazine online, și alții…

Ce tipuri de acțiuni trebuie extinse și aprofundate la nivelul tuturor operatorilor de date? 

Comunitățile și industriile simt nevoia acută să cunoască mai bine ce au de făcut și să înceapă activitățile ce vor asigura premisele de obținere a conformității. De aceea, principalele activități care vor fi propuse și efectuate sub umbrela inițiativei ”GDPR Ready” vor avea ca obiectiv:

  • Conștientizarea importanței GDPR în contextul transformărilor digitale
  • Înțelegerea noilor prevederi ale GDPR
  • De ce e nevoie ca operatorii de date personale să devină compatibili cu noile reglementări
  • Care sunt sancțiunile
  • Care sunt problemele pe care le au de rezolvat operatorii de date personale ce oferă servicii online sau bazate pe Cloud
  • Care sunt problemele legale și administrative
  • Care sunt problemele tehnice și operaționale
  • Care sunt pașii pentru pregătirea și obținerea compatibilității
  • Cine ne consiliază
  • Cine ne auditează

Ce acțiuni va iniția și susține cloud☁mania în cadrul inițiativei ”GDPR Ready”?

  • Articole și materiale de popularizare ale inițiativelor publice ANSPDCP, MCTI, ministere
  • Popularizarea inițiativelor private: vendori și furnizori IT&C, furnizori de servicii, consultanță și audit
  • Susținerea de prezentări și workshopuri la întrunirile asociațiilor profesionale și evenimente din industria IT
  • O atenție specială va fi acordată în mod firesc măsurilor speciale pe care trebuie să le aibă în vedere furnizorii de servicii Cloud, operatorii telecom și data networking, providerii de servicii Internet, producătorii independenți de software, operatorii de servicii data center, procesatorii de plăți online, magazinele online, analiștii de date, companiile de data insurance, furnizorii de servicii de securitate, etc

O serie de alte proiecte vor fi demarate în parteneriat cu diferite entități și vor fi anunțate din timp.

Protejați-vă aplicațiile și datele cu soluțiile de securitate pentru Cloud de la Palo Alto Networks

Pentru a ține pasul cu dezvoltarea economiei online, orice organizație încearcă să găsească modalități de dezvoltare rapidă, atât pentru aplicații locale, pentru Software-as-a-Service, cât și pentru medii de Cloud privat, public sau hibrid.

Indiferent de platforma folosită, securitatea mediului de afaceri trebuie să rămână o preocupare de bază. La fel cum un atac la nivelul centrului de date fizic este un incident important, orice lacună de securitate poate compromite o implementare în Cloud. Securitatea datelor și aplicațiilor în Cloud trebuie să fie tratată cu același set de măsuri, cu aceeași urgență și vigilență care se aplică la securizarea unui centru de date fizic.

Încetați să acționați doar reactiv la amenințări. Începeți să preveniți

Platforma de nouă generație pentru securitate cibernetică de la Palo Alto Networks vă ajută să depășiți provocările ecosistemelor de business moderne, precum lipsa de vizibilitate sau de control asupra modului în care utilizatorii folosesc aplicațiile și informația electronică, furnizând capabilitate reală de prevenire a atacurilor cibernetice avansate, atât la nivelul aplicațiilor Software-as-a-Service cât și al infrastructurii private sau publice de Cloud.

Platforma Palo Alto Networks de soluții Next-Generation pentru Securitate în Cloud asigură organizațiilor moderne:

  • Vizibilitate totală asupra utilizatorilor, aplicațiilor și datelor transferate;
  • Un control granular al aplicațiilor și chiar al funcțiilor de transfer de informație din aplicații;
  • Segmentarea aplicațiilor și a datelor în corelare continuă cu structura organizației;
  • Protecție avansată la amenințările cibernetice, inclusiv pentru atacuri noi de tip 0-day.

Securitatea este o responsabilitate partajată

Partajarea responsabilității se face între două medii distincte:

  • Infrastructura de tip Cloud;
  • Aplicațiile și datele clientului.

Furnizorii de Cloud asigură securitatea infrastructurii Cloud, în timp ce clientul este responsabil de securitatea datelor și aplicațiilor din Cloud – la fel cum este responsabil de protecția datelor, aplicațiilor și utilizatorilor ce folosesc centrul propriu de date.

Caracteristici cheie pentru prevenirea cu succes a atacurilor cibernetice

Scopul principal al oricărei soluții de securitate este să permită derularea fără incidente a operațiunilor și să țină organizația departe de amenințări și de breșe de securitate. Asta înseamnă reducerea la minimum a probabilității ca orice atac să aibă succes.

Prin focalizarea pe prevenție, Palo Alto Networks Next-Generation Security Platform reduce riscurile de securitate cibernetică până la un nivel care poate fi controlat, permițând organizațiilor să aplice proactiv contramăsuri pentru cele mai serioase amenințări și să se concentreze pe operațiunile de business.

Palo Alto Networks Next-Generation Security Platform are patru caracteristici esențiale ce asigură succesul în prevenirea atacurilor cibernetice:

1.Tehnologii integrate nativ ce permit prin arhitectura proprietară de procesare paralelă single-pass să exercite un control pozitiv bazat pe identificarea aplicațiilor, a utilizatorilor și a conținutului, pentru reducerea suprafeței de expunere la atacuri la nivel de organizație, suportând comunicații deschise, orchestrare și vizibilitate totală. Funcțiile de securitate asigură același nivel ridicat de protecție pe stațiile de lucru și servere, în rețea, în centrele de date, în structurile de Cloud public și privat, sau la nivelul furnizorilor ce asigură servicii SaaS.

2.Automatizarea protecției – prin crearea și reprogramarea posturii de securitate în timp real, la nivelul rețelei sau în mediile Cloud, identificând, analizând și blocând în mod automat orice nouă amenințare, fără a fi nevoie ca traficul suspect să fie analizat manual de specialiștii clientului.

3.Extensibilitate și flexibilitate – prin asigurarea unui nivel constant de protecție chiar și pentru utilizatorii și device-urile ce părăsesc rețelele private securizate, comportament tipic pentru organizațiile moderne care se extind și adoptă continuu noi tehnologii, arhitecturi și moduri de lucru.

4.Tratarea inteligentă a amenințărilor – prin partajarea resurselor, a instrumentelor de prevenție, a informației despre tehnicile de atac și comportamentul global al atacatorilor, prin utilizarea tehnologiilor moderne de analiză Big Data și machine learning, în scopul reducerii drastice a răspândirii atacurilor cibernetice la nivelul întregii comunități.

 Despre Palo Alto Networks

Palo Alto Networks este o companie specializată în soluții de securitate de nouă generație, ce asigură posibilitatea utilizării cu încredere a sistemelor și a aplicațiilor în era digitală, ajutând zeci de mii de organizații din întreaga lume să prevină breșele cibernetice. Platforma de securitate Palo Alto Networks previne cu succes atacurile cibernetice, atât cele cunoscute, cât și cele noi, neîntâlnite anterior, protejând aplicațiile, utilizatorii și conținutul, susținând de asemenea organizațiile pentru a evolua nestingherit și a-și desfășura în mod sigur activitățile de afaceri.

Articol pus la dispozitie de Palo Alto Networks Romania pentru cea de-a sasea editie a Catalogului Cloud Computing Romania – Hybrid Cloud. 

CYBERSECURITY TOP EVENT OF THE YEAR IN ROMANIA, SIBIU, 13-16 SEPTEMBER 2016

cybersecurity-cover

Former European Capital of Culture in 2007, Sibiu is transforming few days per year in a Cybersecurity European Capital. It is one of the happy collaboration situations in which a private initiative of some enthusiastic organizers enjoy a total support from international institutions, from government organizations and from technology community.

The 4th Edition of the “Cybersecurity in RomaniaCongress is organised by the Swiss WebAcademy, in collaboration with Security Brokers International, New Strategy Center, Agora Media Group, and iBusiness.

The Cybersecurity Congress will be held in Sibiu (Hotel Ramada and Hotel Golden Tulip) on September 13th-16th 2016, under the high patronage and in the presence of the Swiss Ambassador in Romania, H.E. Urs Herren.

Like in the precedent editions, the ITU (International Telecommunication Union, UNO-Geneva), is offering the main support in Cybersecurity Congress 2016 by the presence of its cyber-security division and sustaining the presence of many internationally renowned specialists.

The value of the event is demonstrated by the interest of major government organization like the Romanian Intelligence Service (SRI) – represented by the CYBERINT Center, as well as the General Inspectorate of the Romanian Police (IGPR), the ANCOM (Romanian National Authority for Management and Regulation in Communications) and the CERT-RO (Romanian National Computer Security Incident Response Team) which decided to become partners too.

header-cyber-2016-2More important European actors accepted to become partners: The Ministry of Security and Economy of the Swiss Canton of Geneva – represented by the Geneva State Police, the center of the Special Telecommunications of the Republic of Moldova – represented by the Cyber Security Center CERT-GOV-MD, the Global Cyber Security Center (GCSEC) of the Italian Posts and the Listeners Institute of Higher Studies for National Defense in Franche-Comté (AR10 of the IHEDN).

Among professional partners, the congress is backed by two powerful associations, the CLUSIS (Swiss Association of Information Security) and its Romanian counterpart, the ANSSI (Romanian National Association for Information Systems Security).

cybersecurity-awareness-day-2015

Cynersecurity 2015 – Awareness day Success

According to the organiser’s concept the Cybersecurity Congress is the only non-technical and non-marketing orientated event in Romania – and one of the few in Central and South-Eastern Europe – in the IT&C security field. The event is addressing to both national and international experts, oriented towards international cooperation and real public-private partnership models of success identified at the global level.  Moreover, this co-participation formula is rising the international trends awareness, providing all the necessary information on security threats and data protection measures to be taken by the CEOs and decision-makers.

This formula helped the Congress to grow in quality and internationality, reaching new horizons and being since 2015 promoted as “best practice example” by the International Telecommunications Union (ITU). The first day of the Congress is dedicated special awareness training offered by specialists in two sessions:

  • One awareness training for children and teenagers
  • A non-technical security training for CEOs and executive levels.

For more details about Location, Program, Participants, Speakers and Partners list, please visit Cybersecurity Romania official Web page

 

 For Last Minute Registration just access the dedicated Web page

 

IDC IT Security Roadshow: Reaching The New Frontiers in Data Protection

 IDC2 Cover

2nd article: Facing to invasion of more and more sophisticated data security threats business leaders push IT to deploy new technologies and services.

Continuing presentation of the IDC IT Security Roadshow organised in April 14th in Bucharest, will try to review the most important security issues discussed during keynote presentations and panel sessions.

Expose the Unknown – most important driver of data prevention for Check Point

One of the hottest subjects in the industry now is zero-day attacks prevention. According to Check Point a “zero-day” exploit is any vulnerability that’s exploited immediately after its discovery. We speak here about rapid attacks that take place before the security community or the vendor knows about the vulnerability, or has been able to repair it. Such kind of exploits are a Holy Grail for hackers because they take advantage of the vendor’s lack of awareness and the lack of a patch, enabling the hacker to wreak maximum havoc. Zero-day exploits are often discovered by hackers who find a vulnerability in a specific product or protocol. Once discovered, zero-day exploits are disseminated rapidly, typically via Internet Relay Chat channels or underground Web sites. From practice, detailed information about zero-day exploits are available only after the exploit is identified.

IDC2 Check Point

Source: IDC

“Increasing your enterprise security often means increasing your complexity and management challenges in kind. Check Point delivers a multi-layered line of defence to help you maximize your security while minimizing challenges and closing gaps”, said Cezar Varlan – Security Engineer, Check Point Software Technologies

Trying to cover multiple-layers potential vulnerabilities, many organizations are investing in a disparate mix of new security technologies from a variety of vendors. All these tools provide punctual advantage but each must be managed individually, including reporting, provisioning, configuration and testing tasks.

Check Point offers a comprehensive solution, with a full range of interoperable threat prevention blades, common policy management and monitoring, and maximum protection from emerging threats. Attackers have become more creative, reaching corporate resources with modern and complex malware attacks. Check Point SandBlast Zero-Day Protection combines innovative technologies to proactively protect against even the most dangerous targeted attacks and unknown malware, while ensuring quick delivery of safe content.

Staying ahead of the threat with Fortinet

IDC2 Fortinet

Source: IDC

Today’s threats are increasingly sophisticated and often bypass traditional malware security by masking their maliciousness. As these attacks become more advanced, organizations must similarly improve their security posture. Why do these breaches continue? “Extreme focus on compliance, reacting only to known threats, and existing of to many point solution are between main reasons”, said Adrian Danciu – Regional Director, South Eastern Europe, Fortinet. “More that, the lack of a defined perimeter offers a borderless attack surface.”

Fortinet solutions are based on a deep segmentation for protection against outside and inside threats, proactive Mitigation, Advanced Threat Visibility, and Flexible Deployment Fortinet Advanced Threat Protection relies on multiple types of security technologies, products, and research applied from the network edge through to endpoint devices. To deliver the most effective protection, they are integrated to work together automatically, continuously handing off data from one to the next to identify, evaluate and respond to attacks.

Fortinet Advanced Threat Protection Framework delivers end-to end protection across the attack chain, based on three elements which work hand-in-hand:

  • Prevent – Act on known threats and information
  • Detect – Identify previously unknown threats
  • Mitigate – Respond to potential incidents

Fortinet was recognised as major player in fastest growing market segment – network security and WLAN market (IDC, 2015), largest network security appliance vendor (units) and quickly growing (IDC – Worldwide Security Products), and second largest provider for Data Center Firewall (Infonetics research).

Applying probabilistic mathematics and machine learning to cyber threat discovery

Very interesting point of view opened by Darktrace and Safetech, based on major role machine learning could have in probabilistic identification of cyber threats.

Image result for machine learning darktrace

Source: Darktrace

Machine learning can be thought of as the third and most recent machine revolution. The first was the replacement of muscle by machine in the industrial revolution. The second involved computers taking over repetitive tasks that had originally been done by people. Machine learning represents computers being able to undertake complex thoughtful tasks.

Darktrace’s technology is powered by advanced machine learning, allowing it to learn what is normal for a company’s network environment, so that it can then determine if any behaviour is abnormal. This allows it to detect cyber-attacks of a nature that may not have been observed before, the unknown unknowns. The ability to self-learn and adapt to a changing environment in real-time allows organizations to reconcile the need for an interconnected workforce, customer base and supply chain, whilst ensuring that they protect against serious, existential threats to their businesses in the most effective and pragmatic way possible.

Legacy approaches to cyber security embody the second revolution: people describe what an attack looks for, and then ask the computer to look for a match to that description. Darktrace turns this paradigm on its head, embodying the third machine revolution: the computer analyses the data and finds areas that merit human interrogation. It is this capability that allows Darktrace to abandon the legacy approach of rules and signatures, and analyse even fast-moving, sophisticated and unknown threats in real time.

“Our vision is to apply human intelligence to cyber defence through revolutionary technology. Deep expertise in cyber defence operations and ground-breaking, self-learning technology allows organizations to keep up with the speed and sophistication of today’s attackers, “said Mateusz Flak – Cyber Security Regional Manager, Darktrace. “The age of surrounding your information with higher and higher walls is over. Legacy approaches permanently leave you a step behind. Darktrace moves at the same speed as the threat, automatically learning from an organization’s ongoing activity in real time to detect threat behaviours as they emerge.”

New approach for modern threat prevention coming from Palo Alto Networks

IDC2 Palo Alto 2

Source: IDC

Most important is everybody should understand the prevention is no negotiable. The Palo Alto Networks’ strategy for modern threat prevention is based on five simple processes every organization should implement, each of them having a well-established actions:

  • Everything must go in the funnel
  • Reduce the attack surface
  • Block known threats
  • Test and adapt to unknowns
  • Investigate and respond
  • Investigate indicators

One of most frequent cyberattacks are ransomware messages. Attackers have traditionally profited by stealing identities or credit card numbers, and then selling them on underground markets. According to the Verizon Data Breach Investigations Report, the

price for stolen records has fallen, so cyber attackers are on the hunt for new ways to make a profit. Due to technology advances in attack distribution, anonymous payments, and the ability to reliably encrypt and decrypt data, ransomware effect is decreasing.

According Palo Alto Networks, the three key steps to protect against ransomware are based on:

  • Preparation – Having a solid backup and recovery strategy in place is the key to recovery if the worst were to happen.
  • Prevention – Segment your network, control access, stop known malware, and quickly detect and prevent unknown malware as it arises.
  • Response – Understand the latest ransomware families and campaigns. Have a plan in place for engaging law enforcement agencies.

To better deserve the threat and attacks research Palo Alto Networks opened Unit42, with clear mission to analyse the data available to Palo Alto Networks to identify adversaries, their motivations and resources to better understand the threats our customers face.

Other valuable principle developed by Palo Alto is based on comprehensive concept of Threat Intelligence. What is Threat Intelligence? “Evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s response to that menace or hazard, “ explained Peter Lechman – Regional Sales Manager – Eastern Europe, Palo Alto Networks, during his keynote in IDC Roadshow from Bucharest.

A new approach to security from Symantec

Knowing how cyber-criminals are threatening security is the first step to securing information—and any company’s goals. From data breaches to digital extortion, the 2016 Symantec Internet Security Threat Report leverages an unparalleled amount of data and is the resource you need to quickly uncover digital threats.

Here are the main key finding pf the last edition of ISTR, presented by Christos Trizoglou – Regional Manager of MiTech Systems, Symantec in his keynote from Bucharest:

  • A large business attacked once in 2015 was likely to be attacked 3 more times

    IDC Sala 3

    Source: IDC

  • 50% of all targeted attacks were against small businesses
  • 55% increase in the number of spear-phishing campaigns attacks in 2015
  • 3out of 4legitimate websites found to have unpatched vulnerabilities
  • 125% increase in the number of zero-day vulnerabilities discovered
  • 100 Million Technical Support scams blocked
  • 35% increase in crypto-ransomware as it spread beyond end-users to holding businesses hostage
  • A record 9 mega breaches occurred in 2015
  • 430 Million new pieces of unique malware discovered

Symantec is ready to deliver a unified security intelligence platform that leverages the combined visibility and intelligence of all of his offerings (augmented by 3rd-party data) to block, detect, and remediate attacks, protect information, and reduce risk. Best Practices provided by Symantec are based on following advices:

  • Don’t get caught unprepared – Use advanced threat intelligence solutions to find indicators of compromise and respond faster to incidents;
  • Employ a strong security posture – Implement multi-layered endpoint security, network security, encryption, strong authentication &reputation-based technologies. Partner with a managed security service provider to extend your IT team;
  • Prepare for the worst – Incident management ensures your security framework is optimized, measureable and repeatable, and that lessons learned improve your security posture. Consider adding a retainer with a third-party expert to help manage crises;
  • Provide ongoing education and training – Establish guidelines & company policies and procedures for protecting sensitive data on personal and corporate devices. Regularly assess internal investigation teams—and run practice drills—to ensure you have the skills necessary to effectively combat cyber threats.

 Internet Identifiers – Your Most Undervalued and Under Risk Assets?

IDC2 Internet Security ICANN

Source: ICANN

Very interesting subject proposed by ICANN which considers Internet Identifiers for both vulnerability place and security asset. ICANN (Internet Corporation for Assigned Names and Numbers) is a not-for-profit public-benefit corporation with participants from all over the world dedicated to keeping the Internet secure, stable and interoperable. ICANN mission is to preserve the security, stability and resiliency of the Domain Name System and domain name registration services, to promote user confidence and trust in these systems.

Obviously identifiers are common targets for loss, misuse or abuse. Domain Name are subject of various attacks, having as consequence loss of Web services, public defacement, eMail or eCommerce functions disruptions. IP addresses damages conduct to network disruption and data exfiltration. Autonomous System Numbers breaks can generate disruption of global communications systems and largescale loss of commercial hosting.

IDC ICANN

Source: IDC

From Risk Mitigation perspective Internet Identifiers could be considered as assets. The best practice is based on quick adoption of standard risk management practices: regular evaluation of organization’s identifier assets, correct appreciation of the threat landscape and the vulnerabilities status, managing risks by priorities, and correctly positioning of mitigation techniques against protection costs. Periodic analysis is a strong defense.

Resource and relationship management could play critical roles in Risk Mitigation. “Organizations should know their allies, keeping points of contact for mitigation providers, upstream ISPs, hosting providers, registries, registrars, vendors and security service technical support,” said Andrea Beccalli – Stakeholder Engagement Manager – Europe, at ICANN

A new data protection regulation is born… during IDC conference in Bucharest

A happy coincidence was the final approval of the new EU General Data Protection Regulation has successfully passed through the European Parliament in the same day with IDC conference from Bucharest. Essential regulation and the critical importance for European Commission efforts toward a future Digital Single Market were presented by Bogdan Manolea – Legal Advisor, Legi-internet.ro

European Union (EU) member states will now had two years to pass the new regulations – which were proposed by former EU justice commissioner Viviane Reding four years ago – into law. The data protection reform package includes both the GDPR and the Data Protection Directive for Police and Criminal Justice Authorities. It replaces current rules based on directives laid down in 1995 and 2008.

IDC Security 1

Source: cloud☁mania

Concluding, IDC IT Security Roadshow is a professional marathon inviting industry specialists and business managers to think, to learn and to act against digital security threats. This year IT security conference series investigates the threats to key systems, data, and networks, and the main actions that organizations need to take to secure them. IDC is advising security professionals not only to look at investing in security solutions, but also at people and processes, employees and business partners, helping individuals and organizations to develop a strategic thinking.

 

 

IDC IT Security Roadshow: Cybersecurity as Key Business Effectiveness

IDC Sala

1st article*: A professional marathon inviting industry specialists and business managers to think, to learn and to act against digital security threats.

Data security has always been one of the critical points in the IT industry, which has developed a real phobia for understanding, prevention and threat intelligence that addresses the inherent vulnerabilities of a system. The digital revolution generated by large technologies adoption in business processes has led on the one hand to mitigate risks but also generated new threats associated with key unexplored.

In his permanent engagements in innovative technology research and new trends adoption, IDC is developing a large frame of activities dedicated to data security and data privacy issues. Part of this engagement, IDC IT Security Roadshow examines global and regional trends related to security and provides actionable advice and best practices for organizations in an era of digital transformation.

IDC 3rd PLatformOrganizations increasingly invest in 3rd-Platform technologies primarily to spur business efficiency and improve business agility, and transform themselves into digital enterprises. These digital enterprises have dedicated fewer resources to securing their 3rd Platform-enabled technology infrastructure in recent years. They are now giving a higher priority to deploying advanced security solutions, as next generation technology investments pose higher security risks. IDC predicts that by 2017, over 10% of security investment will be spent in connection with personal data protection and regulatory compliance.

This year IT security conference series investigates the threats to key systems, data, and networks, and the main actions that organizations need to take to secure them. IDC is inviting security professionals not only to look at investing in security solutions, but also at people and processes, employees and business partners, helping individuals and organizations to develop a strategic thinking.

IDC IT Security Roadshow 2016 is first of all a powerful concentration of forces to communicate, to invite, support and disseminate information of the highest value to a heterogeneous community of specialists. It’s hard to organize and to hold an event. IDC Security Roadshow includes 20 events, in 20 locations in 18 countries from CEMA region, addressing over 3000 experts.

Bucharest was the 10th Roadshow location, after  the conferences that have already taken place starting February in Kiev (Ukraine), Prague (Czech Republic), Moscow (Russia), Belgrade (Serbia), Zagreb (Croatia),  Nicosia (Cyprus), Budapest (Hungary), Bratislava (Slovakia), and  St. Julians (Malta).

Until September 2016, other ten conferences will be held in: Warsaw (Poland), Almaty (Kazakhstan), Athens (Greece), Tbilisi (Georgia), Baku (Azerbaijan), Minsk (Belarus), St. Petersburg (Russia), Cluj (Romania), Vienna (Austria), and Tashkent (Uzbekistan).

Tomas Vavra

Thomas Vavra – Associate Vice President Software, IDC CEMA

Bucharest conference gathered together leading specialists in IT and cyber security independent experts, recognized analytics and key market players to discuss about:  threats and vulnerability management, identity & access management, Web security & mobile security, network security, endpoint protection and threat intelligence security services.

Within last three years, many Romanian companies were exposed to an increasing number of cyber-attacks and were forced to take emergency measures to prevent the threat and overcome the consequences. Unfortunately, the number of cyber-attacks will continue to increase exponentially in the coming years. During his introductory keynote, Thomas Vavra – Associate Vice President Software IDC CEMA, presented a series of facts shaping Romanian IT security landscape related to cybersecurity law adoption and the critical importance of European efforts toward a harmonized regulation frame for all the countries. European Data Protection and EU-US Safe-Harbor Privacy Shield are key part of European Commission strategy to create the Digital Single Market.

EU Originl Data Protection Keyboard

Source: EU Commission

A happy coincidence made that just during the conference in Bucharest in April 14th, the European Parliament announced final vote for the long-awaited General Data Protection Regulation (GDPR). EU members will now had two years to implement the new regulations, proposed by former EU justice commissioner Viviane Reding four years ago. The data protection reform package includes both the GDPR and the Data Protection Directive for Police and Criminal Justice Authorities. It replaces current rules based on directives laid down in 1995 and 2008.

Made in practice, GDPR will give citizens of all 28 member states more information on how their personal data is processed, presented clearly and understandably. They have now the right to know as soon as possible if their personal data is ever compromised, while the “right to be forgotten” has been clarified and strengthened. It will also become easier for people to transfer data between service providers, with the introduction of a right to data portability. The EU also said it saw benefits for businesses, with companies having only to deal with one supervisory authority across the EU, as opposed to one in each member state in which they operate.

IDC’s critical considerations exposed by Tomas Vavra in Bucharest refers to the necessity for a correct evaluation of the impact of proposed data protection rules by a continuous monitoring of data processing procedures. Extending existing solutions to meet specific requirements of national and regional data protection regulations is also a must. Any company and any organization had to plan ahead to have data protection solutions in place prior to their impact in business and operations.

IDC Top 3 Cybersecurity Predictions

#1: Data Protection Regulations – By 2019, 25% of security spend will be driven by the EU and other jurisdictional data regulations, leading to a patchwork of compliance regimes;

#2 Data Breach Impact – By 2020, more than 1.5 Billion People will be affected by data breaches, increasing calls for regulation and alternative authentication measures;

#3: Biometric Authenticated Transactions – By 2020, one-fourth of all worldwide electronic transactions will be authenticated biometrically, driven by the use of biometric-enabled devices.

What is clear in this moment is organizations should rethink their security strategies and to adapt their prevention and protection platforms to the new paradigm. In the actual context of digital transformation, data protection and data privacy are between most disrupted factors. Cloud intensive adoption, Internet of Think platform impact in all industries and mobile apps explosion opened new fronts for new vulnerabilities and more dramatic threats.

IDC Sala 3Adoption of 3rd platform and innovation driven business demands security evolution. Next-generation security solutions should be designed for distributed architecture, incorporating intelligent threat tools offered by Big data and Analytics technologies and data security anomaly detection based on contextual awareness and machine learning advanced mathematical models.

One of the newest and most emerging trend in data security is integration of biometric identification technologies. IT providers have quickly adopted alternative identification technics launching new smartphone models with fingerprint sensors, electronic payment with fingerprint reader as secondary validation system, voice recognition sensors in call centers, facial recognition scanners at events, or iris scan authentication at ATMs.

Unfortunately, a long series of incidents caused by hackers who broke biometric safety barriers and stole entire fingerprint data bases dismounted limits of new technologies credibility. A very active opposition is generated also by a large diversity of lobby groups demonstrating against privacy issues generated by large biometrics adoption.

In his critical considerations and advises for the industries, IDC specialists recommend a carefully adoption of biometric technologies and only as supplementary identification. Passwords are not death.  Any biometric system should be designed on deeply analysis of customer behaviour, consolidating the traditional methods of biometric data protection.

Ending opening keynote Thomas Vavra outlined the IDC’s key takeaways relating to security protection and data privacy:

  • Organizations should achieve full compliancy to rapid development of national and regional regulations;
  • Legacy security solutions are insufficient against modern and advanced threats opened by digital transformation;
  • New strategies should be based on intelligent solutions and services, engaging expert partners able to deliver proactive prevention;
  • 3rd Platform development requires optimum solution for improving identity and authentication;
  • Security specialists are key assets in any organization which should consolidate more efficient recruitment and retention program, providing also properly security training for all employees.

Concluding, we have to be optimistic. Keep strong passwords and your data will be safe. Even for security industry the best is yet to come. The staffing impact of the GDPR will be huge. More than 28,000 data protection officers (DPOs) will be required in whole Europe alone according GDPR regulations, says the International Association of Privacy Professionals (IAPP).

*Note: This is the first episode in a mini-series of articles dedicated to Bucharest conference included in the IDC IT Security Roadshow.  

Photo Sources: IDC

Cu ochii catre viitoarea piata unica digitala, Parlamentul European voteaza reforma protectiei datelor propusa acum 4 ani

Photo Source: Pixabay

Joi 14 Aprilie 2016 va rămâne o zi memorabilă în istoria digitală a Europei. Un mare pas înainte către mult dorita Piață Digitală Unică, program care a preluat din mers demersurile pentru Agenda Digitală Europeană. Noile norme europene de Protecție a Datelor Generale au primit aprobarea finală. Noile reglementări stabilesc de asemenea standardele minime privind utilizarea datelor de către poliție și în scopuri judiciare.

Parlamentul European a votat noua legislație privind Protecția Datelor la doar două zile după ce s-a primit unda verde de la Comisia Libertăților Civile (LIBE). Cu toate acestea, noua legislație s-a evidențiat ca una dintre cele mai îndelung dezbătute reglementări legislative europene, aprobarea finală venind la mai mult de patru ani de la propunerea lansată de Viviane Reding, fostul comisar european pentru justiție, in ianuarie 2012.

Ce este programul Digital Single Market?

Înlocuind tradiționalul program UE axat pe Agenda Digitală, noua strategie Digital Single Market reprezintă principalul program al Comisiei Europene de focalizare pe dezvoltarea digitală. În noua viziune, cetățenii, guvernele și mediile de business pot avea acces egal la beneficiile erei digitale, favorizând unificarea celor 28 de piețe ale țărilor membre. Asta ar putea contribui cu peste 415 miliarde de euro la economia UE și ar putea crea mii de noi locuri de muncă.

Strategia Digital Single Market este bazată pe următoarele direcții strategice: ⇒Facilitarea accesului online la bunuri și servicii digitale; ⇒Un mediu emulativ pentru rețelele și serviciile digitale; ⇒Transformarea Digitală ca driver de creștere economică.

Noua legislație va înlocui actuala directivă privind protecția datelor, care datează din 1995 când Internetul era încă într-o fază incipientă, cu un regulament general prin care se dorește ca cetățenii unei Europe digitale să beneficieze de mai mult control asupra propriilor lor informații private.

“Noile norme garantează dreptul fundamental la protecția datelor cu caracter personal pentru toți. General Data Protection Regulation va contribui la stimularea pieței unice digitale din UE prin promovarea încrederii în serviciile online de către consumatori și securitate juridică pentru întreprinderi, bazate pe reguli clare și uniforme “, se afirmă într-o declarație comună semnată de Frans Timmermans – prim vicepreședinte al Comisiei Europene, Andrus Ansip – vice-președinte responsabil cu programul Digital Single Market și Věra Jourová – comisar pentru justiție, protecția consumatorilor și egalitatea între sexe în cadrul CE. “Aceste reglementări sunt în beneficiul tuturor celor din UE. Persoanele implicate trebuie să știe care sunt drepturile lor și să știe cum să-și apere drepturile în cazul în care simt că acestea nu sunt respectate. “

Noile norme europene privind Protecția Datelor includ prevederi referitoare la:

  • data privacy-policy

    Photo Source: Pixabay

    dreptul de ”a fi uitat”;

  • “consimțământ clar și afirmativ” la prelucrarea datelor cu caracter personal de către persoana în cauză;
  • dreptul de a transfera datele către un alt furnizor de servicii;
  • dreptul de a ști când datele au fost piratate;
  • asigurarea că politicile de confidențialitate sunt explicate într-un limbaj clar și ușor de înțeles;
  • o aplicare mai strictă și amenzi de până la 4% din totalul cifrei de afaceri anuale la nivel mondial al firmelor, ca un factor de descurajare pentru încălcarea regulilor.

În practică, UE speră că noile reglementări vor oferi cetățenilor din toate cele 28 de state membre, mai multe informații cu privire la modul în care sunt prelucrate datele personale, prezentate în mod clar și pe înțelesul tuturor.

logo_it_trendsMai multe despre prevederile noilor normative pentru organizatii, care sunt pedepsele celor care le incarca si cum pot fi folosite datele judiciare de catre politie si sistemul judecatoresc, cititi în forma integrala a articolului ”Parlamentul European aprobă reforma Protecției Datelor pentru era digitală”, publicat în revista IT Trends.

Network Security in Virtualized Data Centers for Dummies

Book of the Month: April 2016

Here is cloud☁mania recommendation of April in Book of the Month category. Edited by Lawrence C. Miller, with over 20 year experience in information security. He is the co-author of CISSP for Dummies and more than 30 other titlesSponsored by Palo Alto Networks – the network security company. 

Book: “Network Security in Virtualized Data Centers for Dummies

 

Palo Alto Network Security Book

Publisher:

John Wiley & Sons, Inc.

Short description:

To realize the benefits of virtualization you must adapt your security architecture to address new challenges, and today’s application and threat landscape.

Read the book and learn: 

  • How virtualization enables cloud computing
  • How Applications use SSL hiding and other techniques to thwart traditional port-based firewalls
  • What new security challenges virtualization introduces in the modern data center
  • How security needs differ for internal data centers and internal-facing data centers.

Summary:

Are security implications in a virtualized computing environment essential from the cloud perspective? The book outlines the challenges of securing the virtualized data center and cloud computing environments and how to address them with next-generation firewalls.  Virtualization topics cover many technologies, including servers, storage, desktops, and applications, among others.

More info and Where to order: HERE

Thanks to Palo Alto Networks to share this book during IDC Security Roadshow, Bucharest 14 April 2016.

IDC IT Security Roadshow 2016 – Bucharest 14 April

http://idcitsecurity.com/bucharest/register

By 2020, more than 1.5 billion people worldwide will be affected by the breach of their personal data. This situation creates a strong need for regulation and the need for alternative authentication data access.

 

IDC IT SECURITY ROADSHOW examines global and regional trends related to security and provides actionable advice and best practices for organizations in an era of digital transformation. This year’s series investigates the threats to our key systems, data, and networks, and the steps that organizations need to take to secure them.
We will not only look at investing in security solutions, but also at people and processes, employees and business partners, and strategic thinking.

KEY THEMES OF IDC IT SECURITY ROADSHOW 2016

  • EU Data Protection Regulations
  • Data Breach Impact
  • Biometric Authenticated Transactions

 

„IDC predicts that by 2017, over 10% of security investment will be spent in connection with personal data protection and regulatory compliance.”

Mark Child, IDC Research Manager, Software & Enterprise Applications

 

WHO YOU ARE GOING TO SEE AND HEAR
Virgilius Stanciulescu Virgilius Stanciulescu, Head of IT Network Administration Office, ANCOM
Bogdan Manolea Bogdan Manolea, Consultant, Legi-internet.ro
Andrea Becalli Andrea Becalli, Stakeholder Engagement Manager Europe, ICANN
Peter Lechman Peter Lechman, Regional Sales Manager, Eastern Europe, Palo Alto
Dana Samson Dana Samson, Senior Research Analyst, IDC Romania
Cezar Varlan Cezar Varlan, Security Engineer, Check Point Software Technologies

You may check the latest information on the agenda, here: 

idcitsecurity.com/bucharest/agenda

ATTENDEES

  • Chief Security Officers
  • Directors of Enterprise Security
  • CIOs
  • CTOs
  • CISOs
  • IT Strategists/Specialists
  • Privacy Officers
  • IT Managers
  • Heads of Departments
  • Heads of Digital Strategy
  • Network Security Managers
  • VPN and 3A Managers

 

REGISTER NOW

 

A apărut numărul 4 din 2015 al revistei Cybersecurity Trends

logo_small CybersecurityRod al colaborării dintre Agora Group și Swiss WebAcademy, Cybersecurity Trends este singura revistă de profil din România, cu apariție trimestrială, care își propune să sporească gradul de conștientizare în privința amenințărilor crescânde provocate de infracționalitatea cibernetică și să ofere sfaturi și soluții de apărare împotriva acestora prin furnizarea de informații de la principalele companii specializate pe securitate informatică, asociații de profil și instituții de stat.

Revista concepută de Agora Group, lider în media IT din România, și de Swiss WebAcademy, este rodul curajului ambelor structuri, de a porni o nouă aventură, de a răspunde unor noi provocări, de a oferi publicului ceva ce nu a mai existat înainte.” spunea E.S. Jean-Hubert Lebet, Ambasador al Elveţiei în România și Președinte de Onoare al Swiss WebAcademy în mesajul de salut de la apariția revistei.

Cybersec CoverInfracțiunile cibernetice acoperă o arie pornind de la atacuri împotriva utilizatorilor individuali și a companiilor mici și mijlocii și până la atacuri îndreptate împotriva instituțiilor de stat. Sunt compromise informații și infrastructuri private, clasificate și sensibile. Instalații militare și industriale sunt puse în situații critice. Siguranța și sănătatea personală pot fi serios deteriorate.

Valoarea conținutului editorial al revistei Cybersecurity Trends reiese la o simplă lectură a subiectelor abordate și la nivelul de reprezentabilitate al autorilor. Iată sumarul celui mai recent număr al revistei Cybersecurity Trends apărut în Decembrie 2015:

  • Editorial – Dr. Laurent Chrzanovscki, membru fondator Swiss WebAcademy
  • Mesajul Oficial al International Telecommunication Union (ITU) – Marco Obiso, Cybersecurity Coordonator, ITU Geneva
  • Anonymous: trecut, prezent și viitor – Oana Maria Iordan, Analist Centrul Național CYBERINT
  • ”Application Whitelisting”, Cea mai eficientă strategie antimalware – Cătălin Pătrașcu, Șef Serviciu Securitate Informatică și Monitorizare CERT-RO (Centrul Național de Răspuns la Incidente de Securitate Cibernetică)
  • Fraude cu carduri bancare – Virgil Spiridon, Chestor, Adjunct al Inspectorului General al Poliției Române, Director al Direcției de Combatere a Criminalității Organizate (DCCO) din Poliția Română, Coordonator al proiectului european EMPACT/ EUROPOL – fraude cu cărți de credit.
  • Rolul Conștientizării în domeniul securității cibernetice în Republica Moldova – Natalia Spinu, Head of the Cyber Security Center CERT-GOV-MD
  • OMC și lumea digitală, Interviu cu Ambasador em. Pierre-Louis Girard – Laurent Chrzanovscki
  • Zona Privată: Principiul separării zonelor de comunicare în vederea asigurării securității informaționale – Ștefan Hărșan Farr, fondator, arhitect și dezvoltator ”Earless”
  • Breșe, scurgeri de date, atacuri de pagini Web: De ce sunt importante codările de securitate împreună cu soluțiile Cyber Intelligence și sursele corecte de informare – Raoul Chiesa, Fondator și președinte Security Brokers SCpA
  • 20 de sfaturi pentru protecția eficientă a datelor – Laurent Chrzanovski
  • Cum să vă protejați în lumea digitală – Redacția cu sprijinul lui Eduard Bisceanu, expert, ex director adjunct CERT-RO
  • Carduri de debit și credit bazate pe NFC: analiză de securitate și scenarii de fraudă – Carlo de Micheli, Security Consultant la Security Brokers
  • De la eBusiness la Security Everywhere – Cisco un pionier al economiei digitale, interviu cu Dorin Pena, director general Cisco Romania – Radu Crahmaliuc, analist independent, fondator cloud☁mania
  • Ghidul Cyber Crime pentru afaceri mici și mijlocii – Aflați cum hackerii pot face ravagii și învățați ce puteți face pentru a vă proteja – Romsym Data și WatchGuard
  • Biblio – Cybersecurity Trends – Laurent Chrzanovski

CISCO RĂSPUNDE PROVOCĂRILOR ECONOMIEI DIGITALE PRIN CONCEPTUL SECURITY EVERYWHERE

logo_small CybersecurityIată interviul proaspăt publicat în revista Cybersecurity Trends sub titlul ”De la eBusiness la Security Everywhere – Cisco un pionier al economiei digitale”. Cu ocazia lansării unor produse și soluții din cadrul strategiei ”Security Everywhere”, am avut ocazia să discut cu Dorin Pena, director general Cisco Romania despre poziționarea companiei în procesul de transformare digitală, precum și despre strategia Cisco de a oferi soluții de securitate pentru orice punct al rețelei.

Recent Cisco a anunțat noi soluții în cadrul strategiei „Security Eveywhere”. Ce detalii ne puteți furniza despre conceptul acestei strategii?

Dorin Pena: Suntem într-o perioadă dinamică pentru piața de produse de securitate; amenințările informatice devin tot mai sofisticate, iar aria de dispozitive și platforme afectate se extinde, pe fondul utilizării unui număr tot mai mare de dispozitive mobile, conectate în Cloud, precum și IoT (Internet of Things). În același timp, companiile folosesc o gamă complexă de soluții punctuale, care, din design, nu sunt interoperabile. Din acest motiv, echipele de securitate au vizibilitate redusă asupra potențialelor amenințări și compromisuri la nivelul rețelelor lor. Cisco abordează piața de soluții pentru asigurarea securității de rețea ca orice altă arhitectură, prin integrarea soluțiilor de securitate la nivelul întregii infrastructuri de rețea – inclusiv routere, switch-uri și centre de date – evitând eventuale vulnerabilități în fața unui atac și reducând semnificativ timpul de detecție și de remediere. Strategia noastră Security Everywhere se dezvoltă continuu și oferă cele mai inovative soluții, inclusiv pentru Cloud, rețea și endpoints, precum și un serviciu de înțelegere a amenințărilor.

Care sunt soluțiile disponibile în acest moment și road-mapul lansărilor viitoare?

DorinPena CM 1

Dorin Pena, director general CISCO Romania

Dorin Pena: Soluțiile de securitate de la Cisco includ produse și servicii concepute să asigure securitatea la nivelul întregii infrastructuri de rețea: înainte ca atacul cibernetic să aibă loc, în timp ce acesta se întâmplă, precum și ulterior.

Portofoliul de servicii de securitate de la Cisco include:

  • Servicii de consultanță privind securitatea– Evaluarea potențialelor amenințări la adresa clienților noștri, proiectarea și dezvoltarea strategiei de securitate pentru aceștia
  • Servicii integrate– Cu ajutorul cărora, clienții sunt sprijiniți să integreze produsele lor de securitate, migrarea de la alte soluții, inclusiv soluțiile existente, și optimizarea tehnologiilor de securitate existente pentru a maximiza eficiența de securitate
  • Managed Services– Clienților le sunt oferite cele mai bune soluții de suport, găzduire și gestionare a politicii de securitate.

Portofoliul nostru de tehnologii de securitate include firewall-uri, rețele virtuale private (VPN), Unified Threat Management, servicii de acces securizat și de identitate, soluții de securitate Web și E-mail, sisteme de prevenire a atacurilor, protecție anti-malware avansată, analiză a comportamentului în rețea, și multe altele. De asemenea, recent am adăugat câteva achiziții, incluzând Sourcefire, openDNS, Lancope și multe altele.

Sistemele cu extindere regională pot utiliza soluții de analiză sau procesare la capetele rețelei, folosind sisteme FOG Computing, un concept pentru care Cisco a dezvoltat un pachet dedicat de soluții. Care sunt cele mai noi componente ale soluțiilor de tip FOG din portofoliul Cisco?

Dorin Pena: Cu interfețe de programare a aplicațiilor (API-uri) deschise, servicii de bază și o interfață cadru, pentru a proiecta, dezvolta și implementa propriile aplicații, Cisco oferă suport pentru aplicații IoT din Cloud până în FOG.

Componentele cheie în infrastructura Cisco FOG:

  • Conectivitate în rețea
  • Securitate cibernetică și fizică pentru a crește protecția bunurilor fizice și digitale
  • Dezvoltare și hosting pentru aplicații de la marginea rețelei și până în cloud
  • Analiză de date
  • Management și automatizare

Tranziția către economia digitală a produs o serie de mutații la nivelul structurilor organizaționale și a modelelor de business. În ce stadiu se află Cisco în procesul intern de transformare digitală a companiei? 

Dorin Pena: Transformarea digitală nu se rezumă la automatizarea fluxurilor de lucru existente sau la introducerea unor instrumente noi și tehnologii care să înlocuiască procesele tradiționale. Companiile digitale lideri de piață conectează toate aspectele afacerilor lor – de la software, la servicii, și toate procesele incluse – într-un mod sincronizat și agil. Astfel, transformarea digitală presupune crearea unui ciclu continuu de soluții inovative în portofoliul de produse și în modul de operare. Clienții noștri ne întreabă tot timpul despre transformare în business și reinventare pe o scară complet diferită decât chiar în epoca Internetului. Discuțiile sunt despre provocări și oportunități în business, iar tehnologia este elementul cheie. Pentru companiile care văd potențialul, dar și riscurile unei lumi tehnologizate, modul în care se întâlnesc strategiile lor de afaceri și tehnologia dintr-o industrie este acum punctul cheie.

La Cisco, încearcăm să avansăm cât de repede pentru ca mai întâi noi să beneficiem de transformarea digitală în interiorul companiei. În anii 90, Cisco era pionier în e-business; acum, ne asumăm o provocare similară, alături de partenerii și clienții noștri.

”De la eBusiness la Security Everywhere – Cisco un pionier al economiei digitale”, Cybersecurity Trends, Nr.4/ 2015, pag.34-35.

 

Despre Cybersecurity Trends

cybersecuritytrendsRod al colaborării dintre Agora Group și Swiss WebAcademy,  Cybersecurity Trends este singura revistă de profil din România, cu apariție trimestrială, care își propune să sporească gradul de conștientizare în privința amenințărilor crescânde provocate de infracționalitatea cibernetică și să ofere sfaturi și soluții de apărare împotriva acestora prin furnizarea de informații de la principalele companii specializate pe securitate informatică, asociații de profil și instituții de stat.

Infracțiunile cibernetice acoperă o arie pornind de la atacuri împotriva utilizatorilor individuali și a companiilor mici și mijlocii și până la atacuri îndreptate împotriva instituțiilor de stat. Sunt compromise informații și infrastructuri private, clasificate și sensibile. Instalații militare și industriale sunt puse în situații critice. Siguranța și sănătatea personală pot fi serios deteriorate.

În revista Cybersecurity Trends puteti găsi știri despre amnințările și atacurile informatice, modificări în legislația românească și europeană, cazuri ajunse în justiție și exemple de aplicare a legii, interviuri cu principalii actori din piață, studii de caz și analize, sfaturi practice.

%d bloggers like this: