Cu ocazia evenimentului ESET Security Day 9 Februarie 2022 am prezentat o analiză paralelă între standardele ISO 27001, ISO 27701 și GDPR. Așa cum a reieșit din aproape toate prezentările susținute la acest eveniment, ne aflăm într-o etapă  în care o simplă revizuire a strategiilor de securitatea datelor nu mai este suficientă, fiind nevoie de adoptarea germenilor unei noi culturi privind securitatea datelor, bazată pe guvernanța datelor, reziliență cibernetică digitală și arhitecturi de tip ”zero trust”.

Dar vorbind de cultură, nu putem trata lucrurile unilateral, doar din perspectiva siguranței datelor. Se va simți tot mai accentuat ideea să integrăm această cultură cu o altă evoluție culturală majoră legată de confidențialitatea datelor impusă de GDPR și de legislația asemănătoare adoptată în alte câteva zone. Controlul prelucrării și securității datelor și suveranitatea digitală impun o nouă perspectivă multi-culturală, bazată pe un ecosistem digital deschis.

Chiar dacă, pe moment, mulți serbează astăzi abolirea regulilor elementare de securitate dictate de pandemie, vom continua să muncim de acasă, societatea va fi tot  mai conectată, iar amenințările care alimentează criminalitatea cibernetică vor deveni mai diverse, mai intense și mai rafinate.

Revenind la tematica abordată, e destul de frustrant faptul că, deși ne aflăm în plină eră digitală, încă există confuzii și false mituri legate de conceptele de securitatea informației, protecția datelor și confidențialitate. Și asta pentru că, există o serie de paradoxuri pe care  puțini încearcă să le explice.

Să luăm, de exemplu, literatura asociată soluțiilor de securitate, în care există o serie de termeni ce fac referire la noțiunea de ”Privacy”. Exemplele cele mai la îndemână PIA (Privacy Impact Assessment), sau Privacy by Default & by Design. Tot în fundamentele conceptului de securitatea informației, acesta este asociat cu existența simultană a celor 3 componente clasice: integritatea, disponibilitatea și confidențialitatea datelor.

GDPR a venit la  rândul său cu o serie de paradoxuri legate chiar de abrevierea regulamentului. General Data Protection Regulațion te face să te gândești la protecția datelor personale, când de fapt întreaga filozofie GDPR se referă la protecția felului în care  prelucrăm datele personale, pe întregul lor ciclu de viață. Asigurarea măsurilor tehnice și organizaționale adecvate impusă de GDPR se referă atât la securitatea (disponibilitatea și integritatea datelor personale, cât și la confidențialitatea acestora și respectarea drepturilor fundamentale la intimitate. Mai mult de atât, protejarea datelor personale are ca rol principal asigurarea tuturor măsurilor pentru a putea face ca aceste date să circule liber, nu să le îngropăm criptate în bunkere…

Cu toate acestea, în ciuda diferențelor existente între concepte, încă înainte de intrarea în vigoare a GDPR au fost multi cei care au încercat să asigure o implementare care să poată satisface cerințele de conformitate GDPR prin aplicarea metodelor de certificare specific unor standarde. Și cele mai multe încercări au vizat asigurarea conformităţii GDPR prin introducerea sau adaptarea suitei de controale specifice sistemului de management a securităţii informaţiei definite prin familia de standarde ISO 27001.

Dar o comparație directă între GDPR și ISO 27001 relevă că, în ciuda multor asemănări de abordare, obţinerea certificării ISO 27001 nu este suficientă pentru asigurarea conformităţii GDPR. Se asigură o serie de controale și îndeplinirea unor cerinţe comune, dar nu este totul. Conformitatea GDPR  nu poate fi asigurată doar prin simpla bifare a unei liste de documente. Pentru GDPR nu există un sistem de certificare și nimeni nu poate da o diploma, pentru simplu fapt că nu putem vorbi de confidenţialitate 100%, așa cum nu există nici 100% Securitate… Ambele concept au un caracter conjunctural. Astăzi putem demonstra că suntem conformi, dar mâine se întâmplă ceva, o eroare umană de operare sau o vulnerabilitate informatică și totul se dă peste cap…

În fine, încă de la apariţia sa în vara anului 2019, standardul ISO 27701 a fost primit cu mare entuziasm, fiind considerat ca mult-așteptatul sistem de certificare a conformităţii unei organizaţii privind prelucrarea datelor personale.

La o analiză comparativă directă a standardelor ISO 27001 și ISO 27701, ne putem da seama că forurile de standardizare au sesizat nevoia practică de a nu mai face o separare între securitatea și confidenţialitatea datelor, pregătind standardul ISO 27701 ca o extensie de confidenţialitate a primului. Cu alte cuvinte, pe lângă necesitatea de a edifica un sistem de management al securităţii informaţiei, avem nevoie și de componenta de confidenţialitate a vieţii private care este indisolubil legată de acest sistem de management.

Chiar dacă un sistem „complet” de gestionare a securității informațiilor (ISMS) aliniat la ISO / IEC27001: 2013 ar putea soluționa multe dintre problemele de confidențialitate, cerințele nu pot fi îndeplinite fără a aborda în întregime confidențialitatea. Acest lucru înseamnă că certificatele de conformitate cu ISO27001 sunt eliberate fără a garanta că nevoile de protecție a datelor au fost îndeplinite în mod adecvat. În timp ce protecția datelor necesită în mod natural un grad de securitate a informațiilor (GDPR le abordează ca fiind „măsuri tehnice și organizaționale”), aceasta merge mult mai departe decât protejarea informațiilor – organizația trebuie să protejeze și drepturile persoanelor vizate, care nu pot fi garantate numai prin securitatea informațiilor.

Un sistem de gestionare a vieții private este diferit de unul de management al securității, dar sunt strâns legate. Abordarea adoptată de ISO27701 recunoaște că securitatea informațiilor (adică păstrarea confidențialității, integrității și disponibilității informațiilor) este un aspect cheie al gestionării eficiente a vieții private și că cerințele ISMS (Information Security Management System) documentate în ISO27001 pot susține adăugarea de cerințe specifice.  ISO27701 definește cerințele suplimentare pentru un ISMS, care acoperă confidențialitatea și procesarea PII (Personal Information Identification). Acestea sunt acceptate de controale suplimentare care se referă în mod special la protecția datelor și confidențialitate. Ca un tot nou, acest lucru creează ceea ce Standardul numește un sistem de gestionare a informațiilor privind confidențialitatea (PIMS – Personal Information Management System).

ISO27701 a fost dezvoltat de comitetul tehnic ISO SC27 care a colaborat cu alte 25 de organisme externe, inclusiv Consiliul European pentru Protecția Datelor (EDPB), care au avut în vedere crearea unui cadru ISMS care îndeplinește și cerințele de protejare a vieții private. Cu alte cuvinte, oriunde ISO27001 se referă la „securitatea informației”, în cazul ISO27701 se poate citi „securitatea informației și confidențialitate”, iar în cazul în care ISO27001 folosește „performanța de securitate a informațiilor”, în ISO27701 aceasta se citește ca „securitatea informației și performanță în confidențialitate”.

Standardul ISO27701 adaugă cerințe specifice confidențialității la unele dintre clauzele din ISO27001 și la controalele din anexa A și unele controale specifice confidențialității peste controalele de securitate a informațiilor (și acum confidențialitate) existente. În cele din urmă, oferă îndrumări care se bazează pe cele disponibile în ISO27002, cu condiția ca organizația în cauză să fie un operator de date și /sau un procesator de date. ISO27701 se bazează, de asemenea, pe principiul securității informațiilor, orientând organizația către principiile de confidențialitate mai extinse din ISO /IEC29100. Acestea acoperă o gamă mai largă de preocupări privind confidențialitatea, inclusiv cele utilizate în reglementările privind protecția datelor la nivel internațional.

Deși noul standard se apropie foarte mult de conceptul de cultură integrată a datelor (securitate, protecție, confidențialitate), mai rămân o serie de aspecte pe care o certificare ISO 27701 nu reușește să le asimileze cu conformitatea GDPR, precum cerințele impuse de respectarea principiilor, drepturile persoanelor vizate, obligațiile și responsabilitățile în funcție de diferite roluri, obligativitatea raportării breșelor în 72 de ore, transferul internațional de date și obligația numirii unui RSI – responsabil cu securitatea informației, cu atribuții în general asemănătoare cu cele ale unui DPO.

Cei interesați pot urmări mai jos înregistrarea prezentării ”Rolul standardelor de securitate și confidențialitate în construirea unei culturi bazate pe un ecosistem digital deschis”susținută la conferința ESET Security Days: https://www.youtube.com/watch?v=IiYqyeptfbU

.