Errare humanum est. Sed perseverare diabolicum…

Cele mai frecvente erori umane ce pot afecta securitatea datelor personale

Un studiu Osterman Research arată că mai puțin de jumătate (42%) dintre organizațiile participante și-au instruit angajații cu privire la Regulamentul general privind protecția datelor (GDPR), de la intrarea acestora în vigoare. Este bine cunoscut faptul că lipsa de pregătire crește riscul de erori umane care pot duce la încălcări ale datelor. Vom analiza în continuare cele mai frecvente erori ale utilizatorilor și măsurile de prevenire pe care organizațiile ar trebui să le ia pentru a atenua daune potențiale.

  1. Credibilitatea ca expunere la Phishing

Ce se întâmplă: Phishingul și falsa identitate reprezintă 93% din încălcările legate de ingineria socială, iar e-mailul este cea mai vulnerabilă cale de atac (96%). De la scrisorile ce anunță câștiguri la loterie, la schimbarea conturilor bancare pentru plățile pentru furnizori, tentativele de înșelăciune ce urmăresc obținerea unor date confidențiale, parole de acces pentru aplicații de tip bancar, aplicații de comerț electronic, date despre cardurile de credit, tehnicile de manipulare a identității unei persoane sau a unei instituții se remarcă printr-o mare diversitate și, de ce nu, printr-o oarecare doză de ingeniozitate.

Vorbind despre companii, principala cauză pentru vulnerabilitatea angajaților în fața acestui gen de capcane este cât se poate de simplă: lipsa de instruire. În practica de consultanță am întâlnit destule organizații care nu numai că nu au o politică de IT, dar nici angajații nu au beneficiat de o instruire elementară. Alte organizații se ocupă de instruirea IT numai la angajare, neglijând importanța continuității și actualizării informațiilor, pe măsură ce tehnologiile de manipulare evoluează. Pe de altă parte, niște cursuri de pregătire extrem de tehnice pot devin plictisitoare. Cea mai eficientă metodă este cea a scenariilor scurte, în timpul ședințelor de team-building, în care angajații sunt puși în fața unor situații concrete, din lumea reală care arată pericolele reale ale atacurilor de inginerie socială.

Ce se poate face: Pe lângă elaborarea și diseminarea politicilor de Securitate IT, angajații trebuie să fie instruiți tot timpul, la intervale de timp periodice, într-o manieră cât mai interactivă, care să faciliteze asimilarea informațiilor.   Desigur, nici asta nu poate fi o garanție. Potrivit cercetărilor, 4% dintre oameni fac întotdeauna clic pe un atașament suspect. Prin urmare, este necesar să executați periodic teste de simulare a unor atacuri de phishing, pentru a verifica dacă antrenamentul a fost eficient și dacă angajații respectă cele mai bune practici și politici de securitate. Asta în paralel cu implementarea de instrumente de filtrare anti-spam pentru a reduce riscul și mai mult.

  1. Accesul neautorizat la resursele organizației

Ce se întâmplă: 55% dintre adulții care sunt angajați ai unei organizații permit ca membrii familiei sau prietenii să aibă acces la resursele de comunicare sau de calcul la domiciliu. Orice membru ale familiei sau orice prieten poate avea acces involuntar sau intenționat la date sensibile, precum listele de clienți și furnizori, conturile bancare ale organizației sau datele despre conducere și coleg. Ce este mai rău, există pericolul real ca un intrus să descarce programe malware care ar putea permite accesul la datele corporative, aplicațiile cloud și spațiile de stocare.

Ce se poate face: Introducerea ca element obligatoriu în Politica de Securitate a unor instrucțiuni cuprinzătoare privitoare la utilizarea resurselor de calcul și de comunicare ale companiei. Principala responsabilitate revine liderilor de departamente sau echipe, care trebuie să asigure punerea efectivă în aplicare a disciplinei de Securitate, vitală atât pentru siguranța datelor personale, dar mai ales a celor de business. O altă măsură recomandată este implementarea unor controale de securitate corespunzătoare pe dispozitive și sisteme, asigurarea faptului că toate dispozitivele sunt protejate prin parolă și autentificare multi-pas pentru toate dispozitivele și aplicațiile organizației. Există corporații care gestionează utilizarea propriilor dispozitive de către angajați prin Politica BYOD (Buy your own device), stabilind regulile de folosire a telefoanelor, tabletelor sau laptopurilor personale la locul de muncă, în deplasare sau acasă.

  1. Spune-mi cum îl cheamă pe cățelul tău ca să știu ce parolă ai

Ce se întâmplă: 66% dintre cei care nu utilizează un instrument de gestionare a parolei recunosc faptul că preferă să se întoarcă la parolele vechi. Aceasta poate fi o practică foarte riscantă, pentru că odată ce un cont este compromis, un atacator are acces la o varietate mai largă de active. Dincolo de reutilizarea parolei, alte riscuri includ utilizarea parolelor evidente (de ex. 12345678, abc, 1111 sau admin), lipsa unor politici de actualizare regulată și partajarea parolelor cu colegii de birou sau cu rudele.

Ce se poate face: În primul rând o instruire elementară a angajaților în legătură cu alegerea parolelor. Sunt firme care au astfel de prevederi în normele sau codurile interne de conduită. O politică de stabilire și actualizare a parolelor este obligatorie pentru orice organizație prelucrează date personale, fiind inclusă în politica generală IT. Orice instruire trebuie să înceapă cu un sfat elementar: ”Nu lipiți parolele de acces pe monitoarele PC-ului”…

4: Conturi privilegiate ca sursă de riscuri

Ce se întâmplă: Prin conturi cu privilegii ridicate se înțeleg acele conturi care beneficiază de o serie de facilități de acces la resursele companiei, precum conturile de top management sau cele de administrator de sistem. Sunt studii care relevă că cele mai folosite parole ale administratorilor de sistem sunt ”admin” sau ”12345678”. În alte cazuri, chiar dacă parola e destul de puternică, controalele de securitate pentru prevenirea utilizării necorespunzătoare sunt adesea inadecvate. Doar 38% dintre organizații actualizează parolele de administrare o dată pe trimestru; restul o fac mai rar. Dacă profesioniștii IT nu reușesc să actualizeze și să securizeze parolele conturilor privilegiate, atacatorii le pot sparge mai ușor și pot avea acces la rețeaua organizației.

Ce se poate face: O măsură preventivă absolut necesară este alocarea statutului de cont privilegiat doar atunci când este nevoie pentru executarea unor operațiuni administrative, În restul timpului, trebuie să funcționeze aceleași restricții de acces pe care le au toate celelalte conturi din organizație. Pare complicat, dar nu e: în loc să acordați drepturi administrative mai multor conturi, alocați privilegiile în mod selectiv, pe baza nevoilor necesare pentru anumite aplicații și sarcini și numai pentru o scurtă perioadă de timp în care acestea sunt necesare. De exemplu, este bine să se stabilească conturi administrative și salariale separate pentru personalul IT; conturile de administrator ar trebui să fie utilizate numai pentru a gestiona anumite părți ale infrastructurii.

  1. Livrarea greșită a unor mesaje critice

Ce se întâmplă: potrivit unui raport Verizon, livrarea necorespunzătoare este una dintre cele mai frecvente erori umane care poate conduce la vulnerabilități și breșe de date. O cifră alarmantă: 62% dintre erorile umane din domeniul asistenței medicale sunt reprezentate de erorile de expediere. Iată și un caz real: 250 de dosare medicale ale unor pacienți cu afecțiuni pulmonare au fost expediate de un spital din Scoția pe adresa unei bănci, în loc de cea a unei clinici de specialitate.

Ce e de făcut: Măsura cea mai elementară este criptarea tuturor documentelor ce conțin date sensibile și care sunt trimise prin e-mail. În plus, se pot folosi casete pop-up prin care îi atenționați pe expeditori să verifice de două ori adresa de expediere atunci când trimit date personale cu caracter special. O măsură mai sigură, dar puțin mai costisitoare este implementarea unei soluții de prevenire a pierderilor de date (DLP) care monitorizează un eveniment care poate duce la scurgerea de informații și care acționează automat, de exemplu, împiedicând utilizatorii să trimită date sensibile în afara rețelei de compania.

Concluzii

Vestea proastă este că erorile umane pot reprezenta cam 40-50% dintre sursele de vulnerabilitate care pot conduce la apariția unor breșe de Securitate. Restul de 50-60% e reprezentat de folosirea inadecvată a resurselor tehnice și de cauzele externe. Pericolul reprezentat de cauzele cu sursă umană este real. E perfect posibil ca o companie care e super protejată tehnologic în domeniul securității cibernetice, să fie vulnerabilă prin greșelile angajaților.

Vestea bună este că, fiind de natură internă, organizația poate adopta și implementa măsurile de control cele mai adecvate pentru reducerea sau chiar eliminarea surselor de vulnerabilitate datorate erorilor umane. Cu alte cuvinte, putem avea controlul asupra a 40-50% dinte cauze. Cum putem face asta? Prin adopția, implementarea și asimilarea politicilor interne la nivel de companie, care ne pot ajuta să reducem riscurile de breșă în mod adecvat. Căci un proiect de asigurare a conformității GDPR se bazează pe triada: OAMENI – PROCESE – TEHNOLOGIE.

Conform unuia dintre cele 7 principii PIA, o companie trebuie să fie Proactivă, nu Reactivă. Adică să țină cont de riscurile potențiale înainte ca acestea să se transforme în breșe. Pentru asta, orice organizație trebuie să-și îmbunătățească capacitățile de detectare a vulnerabilităților, astfel încât să poată răspunde cu promptitudine evenimentelor suspecte sau necorespunzătoare. Cum putem face asta? Prin soluții și metode de monitorizare a comportamentului utilizatorilor care să ne permită să urmărim activitatea tuturor utilizatorilor, inclusiv a celor care beneficiază de privilegii.

Dar cel mai important factor de prevenire a erorilor umane ale angajaților este sensibilizare acestora în legătură cu propria răspundere pentru siguranța datelor personale prelucrate. Cum putem face asta? Proiectând și implementând o adevărată cultură GDPR.

 

 

Advertisements

CÂT SUNTEM DE MULȚUMIȚI DE FUNCȚIA DE DPO?

Știm cu toții că funcția de responsabil cu protecția datelor personale ridică o serie de probleme, atât prin importanța rolului jucat în orice organizație, dar și prin caracterul său de noutate. Cum alegem un DPO, care este fișa postului, care sunt criteriile recomandate pentru selecția candidaților, ce condiții de muncă îi oferim, ce îi punem la dispoziție, cât de mult ne bazăm pe recomandările sale? Iată o serie de întrebări simple, dar esențiale pentru buna activitate, formarea profesională și demonstrarea eficienței activității de data protection officer.

Ce au făcut francezii?

Plecând de la aceste premise și de la faptul că autoritatea de supraveghere din Franța a înregistrat deja peste 18000 de DPO, Délégation Générale à l’Emploi et à la Formation Professionnelle (DGEFP) a demarat împreună cu Agenția pentru Formare Profesională a Adulților (l’Agence pour la Formation Professionnelle des Adultes – AFPA) un studiu care vizează o mai bună înțelegere a problemelor legate de ocuparea forței de muncă și competențele legate de punerea în aplicare a GDPR. Studiul acoperă condițiile reale de exercitare a acestei noi meserii, ținând cont de particularitățile specific formei de activitate: DPO intern, DPO intern mutualizat, DPO extern sau Profesionist responsabil cu protecția datelor. Chestionarele au fost la dispoziția celor interesați până la data de 15 aprilie 2019. Această inițiativă s-a bucurat de susținerea autorității reglementare a datelor din Franța și a CNIL (Comisia Națională pentru Informatică și Libertăți) și asociația franceză corespunzătoare protecției datelor (AFCDP).

Primele rezultate ale acestui studiu puse la dispoziție de CNIL oferă deja câteva răspunsuri foarte interesante:

  • La întrebarea “Credeți că recomandările dvs. sunt ascultate și sunt urmărite în mod regulat de managerul (managerii) dvs.?” 13% din specialiștii DPO interni au răspuns în mod surprinzător “Niciodată sau niciodată”, în comparație cu numai 8% dintre profesioniștii DPO externi care au dat același răspuns.
  • La întrebarea “În contextul misiunii unui DPO, credeți că ați luat în considerare cu succes respectarea GDPR de către managerii dvs.?” 18% dintre responsabilii DPO interni recunosc faptul că încă nu au reușit, în comparație cu doar 6% dintre cei care acționează ca DPO externi.
  • La întrebarea “Sunteți mulțumit de postul dvs. de specialist în protecția datelor?” 37% dintre cei care activează ca DPO interni și 45% dintre respondenții cu rol DPO extern apreciază că sunt “destul de mulțumiți”.

Ca o primă concluzie ce reiese din studiul întreprins de autoritățile franceze este faptul că un DPO extern are mult mai multă șanse să se impună într-o organizație și să poată influența evoluția acesteia către un stadiu ideal de conformitate.

A doua concluzie este, și nu ne miră deloc asta, că cel mai important factor de rezistență în transformarea unei organizații este chiar nivelul de management. Am zis că nu mă miră, pentru că exact aceasta este și una dintre concluziile personale în urma proiectelor de implementare și ale interacțiunilor cu cei pe care i-am instruit. Citiți articolul: ”10 SFATURI PENTRU MANAGERI, NU LĂSȚI PE MÂINE…”

Ce putem face ca să creștem procentajele eficienței activității de DPO într-o organizație?

În primul rând totul depinde de cel care asigură această funcție, fie că este angajat ”cu fișa postului”, supervizer GDPR pentru mai multe organizații, consultant DPO extern sau simplu responsabil cu adopția GDPR într-o companie. Un DPO trebuie să ia foarte în serios misiunea sa și să-și asigure în primul rând sprijinul din partea structurii de conducere. Orice efort de implementare GDPR este în primul rând un proiect, iar orice proiect trebuie să aibă un manager de proiect și un sponsor. Ori dacă tocmai sponsorul nu înțelege importanța alinierii la GDPR și nu susține echipa menită sa asigure acest lucru, atunci nici proiectul nu are șanse prea mari de reușită.

De aceea, crearea unei culturi GDPR într-o organizație trebuie să aibă în vedere, pe lângă asigurarea liantului în triada: legislație-organizare-tehnologie (L-O-T), sensibilizarea structurilor manageriale în susținerea eforturilor întregii organizații. Căci un proiect GDPR este bazat pe OAMENI – PROCESE – TEHNOLOGIE.

Ce vă propunem pentru a realiza o radiografie a nivelului de eficiență DPO în România?

Toți cei care activează ca DPO (intern, extern sau doar cu rolul de responsabil GDPR) sunt rugați să contribuie la realizarea unei EVALUĂRI A GRADULUI DE SATIFACȚIE DPO ÎN ROMÂNIA.

Pentru a participa la această EVALUARE sunteți rugați să completați Formularele de mai jos, menționând:

I. Cele mai importante 5 motive de satisfacție în activitatea GDPR în care sunteți implicați

II. Cele mai importante 5 motive de insatisfacție (la nivel de organizație)

III. Care sunt cele mai importante lucruri (intern și extern) de care aveți nevoie pentru eficientizarea activității dvs? (minim 2 recomandări)

Rezultatele acestei EVALUĂRI vor fi prezentate în cadrul Conferinței GDPR Talks din data de 21 Mai care are ca temă analiza fenomenului GDPR în România la un an de la intrarea în vigoare a GDPR. Toți cei care completează formularul vor primi Rezultatele acestei Evaluări.

Pentru Agenda și înscriere la conferință

APĂSAȚI AICI

Nu uitați să completați Formularul! Răspunsurile dvs. vor fi anonimizate. Adresa de e-mail este necesară doar în scopuri de comunicare.

 

Nota Confidentialitate: Datele Dvs. personale incluse in acest formular vor fi prelucrate doar in scopul pentru care au fost solicitate. Analiza răspunsurilor dvs. pentru Evaluare se face prin anonimizare. Citiți Politica de Confidentialitate.

5 SFATURI PENTRU MANAGERI LA NUMIREA UNUI DPO

Ofițerul responsabil cu protecția datelor personale este un personaj al cărui profil ideal este încă destul de controversat. Deși condițiile numirii unui DPO, sarcinile și competențele acestuia sunt stipulate destul de clar în Articolele 37 – 39 din Regulament, importanța strategică a acestei poziții face ca subiectul să fie în centrul atenției în toate discuțiile și recomandările legate de GDPR.

Dincolo de toate necunoscutele care nu apar în ghiduri și clarificări și speculațiile venite dinspre piață, după un an de la intrarea în vigoare a GDPR putem veni cu niște certitudini. Avem destulă informație ca să putem trage niște concluzii.

În primul rând un DPO joacă un rol fundamental în asigurarea respectului pentru cerințele legislației de protecție a datelor personale. DPO este special angajat de organizația pe care o reprezintă pentru consiliere la aplicarea regulilor, dar are în celași timp și rolul de a coordona obținerea conformității pe plan intern.

1. AVEM NEVOIE SAU NU DE DPO ?

Aici lucrurile s-au mai clarificat, se discută mult despre asta, există recomandări, s-au scris o sumedenie de articole, în fine, există algoritme, GDPR ne spune clar care sunt condițiile obligatorii, dar cu toate astea mulți decidenți nu sunt siguri încă dacă DA sau NU…

Cum facem totuși să fim siguri? E foarte simplu: există 4 situații obligatorii și una facultativă, în care se recomandă numirea unui DPO:

  • dacă prelucrarea este desfășurată de o autoritate publică sau de un organism public (GDPR, Art. 37, 1, a)
  • dacă activitățile principale ale operatorului sau procesatorului constau în prelucrări care prevăd monitorizarea regulată și sistematică pe scară largă (GDPR, Art. 37, 1, b)
  • dacă activitățile principale ale operatorului sau procesatorului constau în prelucrare pe scară largă a unor categorii speciale de date (GDPR, Art. 37, 1, c)
  • orice organizație care prelucrează un număr de identificare național (inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin) și are ca singur temei legal legitimul interes, trebuie să ofere o serie de garanții, printre care și numirea unui DPO (Legea 190/ 2018, Art.4, 2, b).
  • orice organizație care apreciază că prin natura activității sale execute o prelucrare sistematică a unor volume mari de date sau datele prelucrate au un grad ridicat de senzitivitate poate decide să își numească un DPO (Recomandare WP29, Ghid DPO)

Nu mai insist aici asupra ambiguității unor termini precum ”pe scară largă”, ”volume mari de date”  sau ”monitorizare regulată și sistematică. Am comentat în articolele anterioare. Din experiența practică, cuantificarea acestor termini trebuie făcută ”la bun simț”, în funcție de propriile criterii privitoare la numărul de persoane afectate de prelucrare, volumul de date, tipurile de date, durata, sau extinderea geografică a activităților de prelucrare.

2. CÂND NUMIM UN DPO?

Practicile GDPR vin cu o sumedenie de recomandări, în funcție de sferele de influență ale diferitelor Autorități de supraveghere. Există ghiduri care ne îndeamnă ca numirea DPO să fie făcută încă de la începutul coagulării unui plan de proiect pentru implementare, în timp ce alții ne sfătuiesc să stabilim mai întâi echipa de proiect și să ne apucăm de treaba, în timp ce numirea DPO – dacă este cazul – să fie făcută pe parcurs în funcție de abilitățile manageriale ale celor participanți la proiect.

Personal, înclin pentru a doua alternativă, bazându-mă pe următoarele considerente:

  • numirea unui DPO poate fi un proces anevoios, de durată și nu ne permitem să pierdem timp și să stăm cu mâinile la piept, în așteptarea unui super-erou…
  • cu și fără DPO, esențial este rolul echipei de proiect care trebuie să includă reprezentanți ai tuturor departamentelor implicate în prelucrarea de date personale
  • oricare dintre membrii acestei echipe poate fi numit DPO după demararea proiectului și acumularea de expertiză, cu condiția să nu existe o situație clară de conflict de interese
  • toți membrii acestei echipe trebuie să fie conștienți de importanța participării lor și trebuie să își însușească cunoștințele de bază ale unui DPO, fie prin participarea la un instructaj de 2-3 zile din puzderia de oferte de pe piață, fie prin instruirea ”in situ”, împreună cu ceilalți colegi
  • odată stabilit rolul de DPO, acesta trebuie să preia tot ce s-a făcut până la numirea sa și trebuie să parcurgă la rândul sau un curs de instruire
  • durata și nivelul de dificultate al acestui curs depind de interesele și posibilitățile operatorului, care trebuie să înțeleagă ca la numirea unui DPO nu este obligatorie prezența unei diplome de certificare, ci a unui CV din care să reiasă o experiență practică de sute de ore de proiect…

3. ÎN LIPSA CERTIFICĂRII, CE CRITERII FOLOSIM LA ALEGEREA DPO?

GDPR ne spune că Responsabilul cu protecția datelor trebuie să aibă calitățile tehnice și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. Cum spuneam, în prezent, nu există o cerință expresă de certificare. Cu toate acestea, deținerea unor certificări tehnice sau specializări care să faciliteze asigurarea cerințelor de conformitate cu GDPR pot constitui criterii de eficiență la stabilirea DPO.

Sfatul meu: să nu uităm că o diplomă este cu adevărat utilă doar atunci când specializarea academică sau profesională e însoțită de o expertiză pratică pe măsură în proiecte concrete, controlabile prin referințe.

4. CE CALITĂȚI PROFESIONALE TREBUIE SĂ AIBĂ UN DPO?

Potrivit Art. 37, responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor privind legislația și practicile privind protecția datelor și capacitatea de a îndeplini sarcinile menționate la Art. 39.

Cu alte cuvinte, un specialist în legislație cu experiență practică în protecția datelor și capacitatea de a îndeplini un set de sarcini cu care foarte puțini au fost familiarizați până acum… Câte personaje care pot corespunde acestui profil există în realitate și, mai ales, sunt dispuse să îți asume sarcina de DPO?

Ceea ce nu reiese cu claritate din GDPR și toate ghidurile aferente, dar este un factor determinant în alegerea DPO  este importanța experienței operaționale. Un DPO este în primul rând un manager de proiect, un specialist care are abilitatea de a manevra pârghiile manageriale, de a cunoaște procesele de business ale organizației și de a identifica cât mai corect circuitul fluxului de date și de a analiza integritatea acestora în fiecare dintre nodurile unui astfel de flux…

5. CE ABILITĂȚI PERSONALE TREBUIE SĂ DOVEDEASCĂ UN DPO?

Prin definiție un DPO este o personalitate enciclopedică, polivalentă. Trebuie să cunoască legislație, economie, să aibă business-ul în sânge, să știe să lucreze cu oamenii, să știe regulamente și politici, să nu se lase intimidat și să aibă putere de influență asupra managementului, să știe să discute cu partenerii și mai ales să identifice vulnerabilitățile din sistem care pot atrage riscuri majore pentru prelucrarea datelor personale.

Să analizăm pe scurt care sunt calitățile pe care trebuie să le dovedească un DPO în funcție de sarcinile minime stabilite prin Art. 39:

  • informarea și consilierea organizației și angajaților cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor: pentru asta DPO trebuie să știe legislație și să aiba abilități de comunicare și consultanță
  • monitorizarea respectării GDPR și a altor legi privind protecția datelor, inclusiv gestionarea activităților interne de protecție a datelor: cunoștințe legislație și protecția datelor, abilități de control, monitorizare, procedurare, audit, raportare
  • consilierea activităților organizației ce au legătură cu evaluările de impact privind protecția datelor: cunoștințe project management, analiza riscurilor, analiza de impact, abilități manageriale, surse de risc, identificare, analiză și elaborare a planului de risc
  • instruirea periodică a personalului și efectuarea de audituri interne: experiență trainer și auditor, abilități de analiză, sinteză, dicție, aplicare procedure, concluzii și rapoarte
  • primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate (angajați, clienți etc.când este cazul): experiență de comunicare, abilități dialog, reprezentare.

Dar poate cel mai important aspect al acestor atribuții este legat de faptul că, în îndeplinirea sarcinilor de DPO, trebuie să se ţină seama, în mod corespunzător (zice legea), dar cu maximă responsabilitate (zic cele mai bune practici) de riscul asociat operaţiunilor de prelucrare. Și aici trebuie să avem în vedere atât natura și domeniul de aplicare, cât și contextul şi scopurile prelucrării.

Rezumând, un DPO ar trebui să reunească o lungă listă de abilități personale la care trebuie să adăugăm: integritate, etică, inițiativă, organizare, perseverență, discreție, stapânire de sine, control, autoanaliză, interes, motivare, negociere, convingere, comunicare, sinteză, analiză, raportare, colaborare, control stare conflict, și mai ales abilitatea de a construi relații de muncă pe termen lung… Unde îl găsim pe omul ăsta?

Mai puteți citi pe această temă:

https://gdprreadyinitiative.com/2018/11/08/gdpr-explicitat-11-un-personaj-important-data-protection-officer-dpo/

https://gdprreadyinitiative.com/2018/10/30/cum-pot-obtine-certificarea-dpo-in-romania/

https://gdprreadyinitiative.com/2018/11/08/analiza-gdpr-1-cum-pot-deveni-dpo-in-romania/

https://gdprreadyinitiative.com/2018/10/30/avem-un-dpo-cum-il-certificam/