Conformitate GDPR de nivel enterprise: Veritas 360 Data Management

Obținerea conformității cu GDPR este o provocare a proceselor de afaceri iar tehnologia are un rol foarte important pentru a răspunde acestor provocări. Pornind de la aceste cerințe, Veritas a identificat zonele unde poate ajuta, iar apoi și-a mapat funcționalitățile soluțiilor din portofoliu la cerințele specifice ce decurg din GDPR.

În viziunea Veritas, aceste zone sunt împărțite în 5 categorii principale:

  • LOCALIZARE – vă ajută să descoperiți datele personale și să le faceți vizibile.
  • CĂUTARE – cum faceți ca datele personale să poată fi căutate și găsite.
  • MINIMIZARE – e important să păstrați doar informațiile de care aveți nevoie ca să asigurați mai bine controlul datelor personale.
  • PROTEJARE – cum să protejați datele personale împotriva pierderilor, atacurilor și breșelor de securitate.
  • MONITORIZARE – esențial este să puteți asigura respectarea continuă a standardelor GDPR.

LOCALIZARE – Descoperiți datele personale și faceți-le vizibile

Primul pas, considerat critic pentru o organizație, poate fi și cel mai important pentru conformitatea cu GDPR. Practic, acest proces constă în abilitatea de a obține o viziune holistică asupra locurilor în care se află diferitele categorii de date personale ale organizației și de a le putea identifica imediat.

Acest lucru se poate face printr-o cartografiere a datelor, prin care să înțelegem cât mai clar care este fluxul datelor personale în cadrul fiecărui proces de business, care sunt punctele de colectare, unde se face procesarea, cine are acces la date, cu cine sunt ele partajate, cât timp sunt păstrate sau ce spațiu ocupă pe diferite sisteme de stocare. Totodată e important de înțeles care este modalitatea în care datele sunt mutate, transferate sau copiate pe diferite platforme, cu scopul de a îmbunătăți managementul acestora. Această hartă fluxurilor de date este „cheia” pentru a înțelege modul în care organizația gestionează și procesează datele personale.

Toate aceste informații legate de localizare sunt oferite de Veritas cu ajutorul soluțiilor Veritas Data Insight și Veritas Information Map care asigură o abordare unică prin:

  1. Identificarea în 24 ore a tipului de fișiere, proprietarului, locației și vechimii acestora.
  2. Obținerea în timp real a unei imagini unitare asupra mediului companiei și monitorizarea continuă.
  3. Inițierea de remedieri asupra datelor printr-un cadru integrat de acțiuni.

CĂUTARE – Căutarea datelor

Orice rezident UE poate afla detalii despre datele sale personale deținute de un operator de date prin trimiterea unei solicitări de acces (Subject Access Request – SAR). De asemenea, poate solicita corectarea datelor (dacă e cazul), portarea lor (transmiterea către un alt operator folosind un format de export adecvat) sau ștergerea acestora. Respectarea drepturilor persoanei vizate prin soluționarea acestor solicitări într-o manieră efectivă și în timp util este esențială pentru evitarea sancțiunilor GDPR în baza articolelor 15,16,17,18 și 20.

Soluția Veritas eDiscovery Platform poate răspunde oricăror probleme legate de soluționarea acestor solicitări. Soluția dispune de un motor puternic de căutare și indexare ce permite descoperirea atributelor și proprietăților datelor personale și pune la dispoziție un mecanism inteligent de învățare, cu scopul de a identifica automat articolele relevante și elementele similare pentru o examinare detaliată ulterioară.

De asemenea, soluția oferă și un flux de lucru integrat pentru procese de analiză și verificare, fără a mai fi nevoie de operațiuni suplimentare de import sau export a datelor.

MINIMIZARE – Păstrarea informațiilor de care avem nevoie şi asigurarea controlului datelor personale

Reducerea volumului de date stocat de către companii și a perioadei de retenție, fac parte dintre principiile de bază ale GDPR, având ca scop reducerea volumului de date cu caracter personal stocate pe diferite tipuri de echipamente. Perioada optima de retenție vizează păstrarea datelor cu caracter personal pentru o perioadă de timp, direct legată de scopul propus pentru prelucrarea acestora. Implementarea și aplicarea politicilor de retenție, care reglează automat perioada și forma de păstrare a datelor, reprezintă piatra de temelie a strategiei GDPR.

Prin soluțiile Enterprise Vault şi Enterprise Vault.Cloud, Veritas oferă inclusiv posibilitatea de clasificare completă în funcție de conținut şi context, putând să eticheteze automat fișierele şi mesajele de email care conțin date personale și să controleze astfel procesul de retenție până la nivel de element. Odată făcută etichetarea, va fi ușor să găsiți date cu caracter personal utilizând instrumentele puse la dispoziție de Veritas.

PROTEJARE – Protejați datele personale împotriva pierderilor, atacurilor și breșelor de securitate

Organizațiile au obligația generală de a pune în aplicare o serie de măsuri tehnice și organizatorice pentru a arăta că au luat în considerare protecția datelor în toate activitățile de colectare și prelucrare a datelor personale.

Indiferent dacă se desfășoară activități de formare a personalului, se efectuează audituri interne ale activităților de prelucrare sau catalogarea documentației relevante privind activitățile de prelucrare, organizațiile trebuie să fie pe deplin pregătite să demonstreze transparența în ceea ce privește validarea conformității cu GDPR. Aceasta înseamnă că este mai important decât oricând să revizuim procesele de protecție și de securitate a datelor și să ne asigurăm că îndeplinim aceste cerințe stricte de recuperare, disponibilitate și prevenire (și notificare).

Veritas oferă o serie de soluții cum ar fi NetBackup, Data Insight, InfoScale, Resiliency Platform sau Access, prin intermediul cărora se asigură protecția datelor și aplicațiilor în mediile enterprise și nu numai, pe platforme independente de sisteme de operare (Windows, Linux, Unix), folosind inclusiv facilități de integrare cu o gamă extinsă de furnizori de servicii Cloud.

MONITORIZARE – Asigurați respectarea continuă a standardelor GDPR

Regulamentul GDPR obligă toate organizațiile să raporteze cele mai grave încălcări ale securității datelor către Autoritatea Națională de Supraveghere și, în anumite cazuri, să trimită informații despre aceste vulnerabilități persoanelor ale căror date au fost afectate. Ca urmare a acestei obligații, companiile trebuie să își evalueze capacitatea de monitorizare a incidentelor de Securitate și să declanșeze imediat procedurile pentru aplanarea efectelor acestora pentru menținerea conformității cu GDPR.

Veritas pune la dispoziție soluții consacrate cum ar fi Data Insight și Enterprise Vault care oferă posibilitatea de a căuta foarte rapid în datele personale (date nestructurate, email, servere de fișiere, SharePoint, etc.) cu scopul de a permite investigatorilor să analizeze și să identifice fișierele ce prezintă riscuri sau anumite comportamente anormale ale utilizatorilor și apoi, să remedieze aceste probleme printr-un singur click. Pentru o analiză și mai amănunțită, imediat după declanșarea riscului, se pot activa politici de retenție la nivelul acestor fișiere.

Totodată, platforma pentru experți Veritas Advisory Services asigură contacte strânse cu fiecare client, pentru a realiza o evaluare cuprinzătoare a mediului existent, cu scopul de a ajuta companiile să înțeleagă mai bine gradul de maturitate al conformității GDPR. Toate acestea se realizează printr-o gamă integrată de servicii care includ GDPR Workshop, GDPR Readiness Assessment, GDPR Classification Service și GDPR Solution Deployment

Alinierea la GDPR ca un prim pas către TRANSFORMAREA DIIGITALĂ

Datele sunt în centrul transformării digitale. Organizațiile care au depus eforturi pentru adoptarea de procese, politici și proceduri menite sa le asigure un nivel optim de conformitate GDPR au dovedit că sunt capabile să folosească controale adecvate pentru a asigura integritatea tuturor tipurilor de date, nu numai a celor personale, ceea ce le poate accelera procesul de transformarea digitală. La polul opus, organizațiile care tratează superficial aceste probleme se expun la riscuri inutile și, mai mult ca probabil, pot suferi consecințele unei crize informaționale.

Scopul GDPR este de a ajuta organizațiile să ia în serios protecția datelor. Veritas 360 Data Management pentru GDPR reprezintă o soluție de conformitate de nivel enterprise, asigurând mijloacele pentru respectarea celor mai stricte reguli și oferind clienților o abordare sigură și eficientă a proceselor de guvernare a datelor personale.

Pachetul de soluții Veritas oferă instrumentele și serviciile adaptate pentru fiecare etapă a pregătirii pentru GDPR, iar echipa de consultanță vă asigură că investițiile organizației în GDPR sunt orientate către cerințele de conformitate cu cel mai bun impact.

Image Source: VERITAS

Advertisements

RANSOMWARE – UN PERICOL REAL CARE POATE FI CONTROLAT PRIN CONFORMITATEA GDPR

La sfîrșitul lunii iunie am avut ocazia să particip la o întâlnire organizată de ESET Romania, unde am discutat cu Righard Zwienenberg – Senior Research Fellow la laboratoarele ESET, unul dintre cei mai experimentați specialiști europeni în domeniul criminalității cibernetice. Temele discutate au vizat multiplicarea critică a atacurilor rău intenționate în contextual evoluției tehnologice și ce ar trebui să facem pentru a reduce riscul de expunere în fața unor astfel de pericole, ținând cont de cerințele tot mai severe de conformitate impuse de GDPR, precum și de nevoia de continuitate în business.

eset-righard.jpg
Righard Zwienenberg

Righard Zwienenberg are o experiență de peste  30 de ani în domeniul securității cibernetice, activând în prezent ca Senior Research Fellow la laboratoarele ESET, dar și ca Advisor la Virus Bulletin și la Europol European Cyber Crime Center, precum și ca vicepreședinte al comitetului executiv  ICSG (Internet Connections Security Group).

RANSOMWARE, O AMENINȚARE MAI VECHE

Una dintre principalele teme discutate s-a referit la Ransomware, considerat ca unul dintre cele mai recente metode de atac malițios, dar cu efecte comparabile cu ale altor tehnici rău intenționate. Așa cum știm, Ransomware este acel tip de software malițios care prin diferite metode obține acces la fișiere sau sisteme, pe care le blochează, solicitând utilizatorilor o răscumpărare în schimbul redării accesului. Deoarece marea majoritate a fișierelor sau dispozitivelor de stocare sunt blocate prin criptare, metoda mai este cunoscută și ca crypto-ransomware. După ce victimele plătesc o răscumpărare – de regulă în cryptomonedă – primesc și cheia de decriptare, care ar trebui să permită accesul la fișierele sau sistemele criptate.

”Puțini știu că primul atac de ransomware cunoscut a avut loc în 1989 și a vizat industria medicală. 30 de ani mai târziu, industria medicală rămâne o țintă de top pentru atacurile de ransomware,” spune Righard Zwienenberg. Primul autor ransomware cunoscut a fost un cercetător SIDA, care cu ocazia unei conferințe internaționale și prin intermediul unei reviste de specialitate a trimis cca 20.000 de dischete către întreaga comunitate de cercetători SIDA din peste 90 de țări, susținând că discurile conțineau un program de analiză a riscurilor. Pe lângă acesta, discul conținea și un program malware care inițial rămânea inactiv în computer până la a 90-a bootare. La re-pornirea cu numărul 91, programul malware afișa un mesaj care cerea o plată de 189 USD și încă 378 USD pentru un contract de închiriere de software, având ca adresă o cutie poștală din Panama. Acest atac ransomware a devenit cunoscut sub numele de Troianul SIDA

Cu timpul, metodele de răscumpărare au devenit din ce în ce mai avansate privind puterea de răspândire, sustragerea detectării, criptarea fișierelor și obligarea utilizatorilor la răscumpărare. Atacurile Ransomware de ultimă generație implică o combinație de eforturi avansate de distribuție, cum ar fi infrastructurile pre-construite, folosite pentru distribuirea cu ușurință și pe scară largă a capcanelor malware, precum și tehnici avansate de dezvoltare, cum ar fi utilizarea criptării.

Dacă ransomware-ul se menține constant ca una dintre cele mai semnificative amenințări cu care se confruntă întreprinderile și indivizii astăzi, nu este de mirare că atacurile devin din ce în ce mai sofisticate, mai dificile de prevenit și mai dăunătoare victimelor lor.

O metodă comună de înșelăciune folosită pentru distribuirea ransomware-ului este trimiterea unui motiv convingător pentru întreprinderi de a deschide un malware deghizat ca atașament de e-mail urgent: o factură, un document oficial, un ghid de utilizare, etc. Un alt mijloc de înșelăciune folosit de atacanții ransomware este social media, Facebook Messenger fiind recunoscut ca unul dintre cele mai populare canale folosite în această abordare.

Atacurile crypto-ransomware (sau filecoderele) au evoluat continuu din 2013, atunci când a apărut secvența malware CryptoLocker. De atunci, infractorii cibernetici au colectat milioane de dolari, extorcând bani de la victime, în schimbul deblocării datelor criptate. O serie de estimări bazate pe constatări ale FBI au sugerat că la nivelul anului 2016 ransomware-ul a generat venituri de peste 1 miliard de dolari pe an pentru atacatori.

În prezent, documentele trimise victimelor ca atașamente reprezintă programe executabile (cripto-ransomware-ul în sine). Primirea e-mailului în sine nu declanșează o infecție; fișierul atașat sau legat ar trebui să fie în continuare descărcat sau deschis. Atacatorii trimit deseori mesaje de e-mail folosind trucuri de inginerie socială pentru a-i atrage pe destinatari să acceseze linkurile sau să deschidă fișierele atașate.

Un crypto-ransomware poate fi livrat și prin kituri de exploatare, care sunt seturi de unelte care sunt plantate de atacatori pe site-uri. ”Câștigurile infractorilor cibernetici demonstrează impactul acestei tendințe exponențiale și reprezintă principalul motiv pentru care crypto-ransomware a devenit malware-ul preferat de atacatori,” afirmă Righard Zwienenberg. ”Nu ar trebui să fie o surpriză faptul că cele mai multe campanii ransomware folosesc kituri de exploatare și e-mailuri cu inginerii sociale drept vectori de infectare, fapt ce contribuie, de asemenea, la creșterea prevalenței lor. Din păcate, marea majoritate a victimelor nu sunt pregătite nici cu cel mai elementar backup și sunt nevoite să plătească răscumpărarea solicitată…Trist ”

SOLUȚII DE PREVENIRE OFERITE DE ESET

Prin multiplele sale programe de cercetare, ESET monitorizează în permanență scena ransomware și caută răspunsuri viabile la evoluția rapidă a acestui tip de atac. Deși este una dintre cele mai grave tipuri de malware, ransomware este doar una dintre multele amenințări. Să nu uităm celelalte amenințări cybernetice precum virușii (Brain Virus din 1986 conținea câteva elemente specific ransomware), amenințările malware fileless (Rozena B, un vechi malware backdoor reapărut în 2018 în format fileless), amenințări rootkit de tip Kernel, User mode, Bootloader, Memory, Hardware sau Virtualized, precum și mult-răspânditele atacuri de tip phishing capabile să simuleze introducerea elementelor de identificare pentru conectarea la aplicații mobile sau conturi social-media. Pentru toate aceste motive, strategia abordată de ESET în lupta împotriva acestor amenințări este dezvoltarea de soluții bazate pe multiple straturi de protecție, care pot adresa orice amenințare potențială.

Majoritatea atacurilor ransomware sunt blocate de tehnologia multistratificată ESET chiar înainte ca infectarea propriu-zisă cu ransomware să comunice în vreun fel cu computerele victimelor. Este cazul detectării mesajelor de e-mail care conțin droppers sau a încercărilor de exploatare care ar permite atacatorilor să preia controlul de la distanță asupra dispozitivelor victimelor și care, în multe cazuri, conduc la extorcare via ransomware.

  • Funcția ESET Network Detection este proiectată să prevină astfel de tentative prin vizarea vulnerabilităților de rețea și a kiturilor de exploatare.
  • În plus, ESET Exploit Blocker monitorizează procesele de funcționare ale aplicațiilor și caută anomalii în comportamentul lor.
  • Designul permite soluțiilor ESET să detecteze și să blocheze exploatarea vulnerabilităților, în mod eficient chiar și a celor necunoscute anterior, așa-numitele amenințări “zero-days”, care ar putea fi utilizate de către crypto-ransomware pentru a se infiltra în sistemul vizat.
  • Cu scopul de a întări suplimentar protecția sistemelor utilizatorilor, ESET Advanced Memory Scanner este proiectat pentru a descoperi adevărata natură a proceselor puternic disimulate, detectând în mod constant secvențele crypto-ransomware înainte ca acestea să cripteze fișierele valoroase. Un astfel de malware disimulat constituie o parte semnificativă a traficului malițios de astăzi, mai ales din cauza serviciilor automatizate de reîmpachetare/disimulare disponibile pe piața neagră.
  • Dar chiar și cel mai disimulat cod din lume, trebuie să se dezvăluie la un moment dat, pentru a fi executat. Acela este punctul în care este descoperit de Scannerul Avansat de Memorie, declanșat prin sistemul ESET Host-Based Intrusion Prevention System (HIPS) la momentul potrivit.

Pe scurt, fiecare nivel al tehnologiei multi-stratificate ESET utilizează diferite mijloace pentru a lua parte la blocarea efectivă a crypto-ransomware-ului. Mai mult decât atât, metadatele din fiecare strat pot fi trimise către sistemele cloud ESET LiveGrid sporind inteligența algoritmilor de învățare automatizată. În plus, ESET Ransomware Shield ESET Ransomware Shield monitorizează și evaluează aplicațiile executate folosind euristica. Este configurat să detecteze și să blocheze comportamentul asemănător cu cel ransomware.

Toate aceste sisteme automate, în combinație cu expertiza cercetătorilor și inginerilor ESET permit reducerea timpului de reacție față de noile amenințări emergente, la doar câteva minute.

6 RECOMANDĂRI ESET PE CARE ORICINE LE POATE APLICA

Printre victimele Ransomware se numără numeroase instituții publice care dețin baze de date uriașe sau operatori ce prelucrează date personale cu caracter special precum spitalele sau instituțiile de învățământ. Odată cu apariția GDPR și a noilor cerințe obligatorii de raportare a breșelor de Securitate, o amenințare de răscumpărare pentru un operator de date personale poate atrage multiplicarea pierderilor prin valoarea sporită a penalităților, precum și pierderile de imagine aferente, care pot reprezenta o amenințare mult mai mare pentru business.

Să nu uităm însă că ransomware-ul este doar una dintre familiile de malware care constituie o amenințare reală pentru datele personale. Primele surse de date personale amenințate sunt fișierele, iar ca vectori de atac sunt în majoritatea cazurilor e-mailuri și kituri de exploatare.

Pentru a limita vectorii de atac, ESET recomandă următoarele acțiuni:

  1. Configurarea corectă a endpoint-urilor și software-ul de securitate.
  2. Actualizarea și implementarea regulată a patch-urilor sistemului de operare și ale aplicațiilor software.
  3. Configurarea corespunzătoare a soluțiilor de securitate pentru endpoint și perimetru.
  4. Utilizarea facilităților de securizare oferite de sistemul de operare:
  • eliminarea posibilității de a rula codul untrusted cu AppLocker sau cu Software Restriction Policie;
  • dezactivarea scriptingului în sistemele de operare și browsere web;
  • dezactivarea serviciilor inutile, cum ar fi RDP;
  • setarea afișării extensiei fișierelor de către sistemul de operare;
  • luarea în considerare a implementării unui serviciu de System Restore;
  • dezactivarea Windows Script Host;
  • setarea funcției “Open with …” pentru extensiile care de cele mai multe ori sunt folosite pentru infectare cu un reader (cum ar fi Notepad);
  • blocarea executării aplicațiilor din %LocalAppData% și %AppData%;
  1. Dezactivarea accesului inutil la share-urile din rețea.
  2. Serverele nu trebuie utilizate într-un mod similar cu sistemele desktop standard (ex. pentru navigarea pe internet).

Pe lângă toate eforturile pe care le depunem pentru a fi protejați, trebuie să dispunem în mod esențial de o politică de back-up implementată efcient, care să ofere capacitatea de recuperare sau restaurare rapidă a datelor.

Sursă imagini: ESET

O ANALIZĂ GAP A CONFORMITĂȚII ÎN ROMÂNIA DUPĂ 1 AN DE GDPR

La un an de la  intrarea în vigoare a GDPR, agenția Concord Communication și GDPR Ready Initiative vă invită la un eveniment dezbatere ”GDPR Talks ce abordează o temă foarte fierbinte: Cât de pregătiți suntem la un an de la intrarea în vigoare a  noului regulament?”. Vă așteptăm pe 21 mai 2019 la hotelul Pullman să discutăm despre ce s-a făcut bine, ce s-a făcut rău, dar mai ales despre ce se mai poate face.

”Ce ați făcut în ultimul an?” Ar trebui să fie o întrebare obligatorie pentru toți cei implicați în activități legate de asigurarea conformității pentru protecția datelor personale. Dar pentru mulți decidenți, în special din zona organizațiilor publice, întrebarea ”cea grea” ar trebui să fie: ”Ce ați făcut în ultimii trei ani, stimabililor?” Mai trebuie să explic de ce…?

Panelurile de discuții pe care le-am gândit vor încerca să asigure climatul corespunzător pentru o analiză lucidă a realităților asociate cu nivelul de conformitate la care au ajuns operatorii de date personale. Au răspuns la invitația noastră de a participa ca speakeri un mare număr de specialiști, reprezentanți ai autorităților publice, asociațiilor profesionale, avocați, profesioniști, consultanți, specialiști în securitatea informației și furnizori de soluții cybersecurity. Din păcate, această perioadă fiind foarte încărcată cu evenimente, nu toți cei pe care i-am invitat au avut posibilitatea să participe la conferință. Unii dintre aceștia vor putea să-și aducă contribuția prin proiectele editoriale pe care vrem să le derulăm după evenimentul din 21 Mai.

Primul panel va avea ca tematică generală viziunea asupra GDPR din perspectivă publică. Reprezentanți ai autorității de supraveghere, organizații guvernamentale, asociații profesionale și case de avocatură vor avea greaua misiune de a crea o radiografie a modului în care principiile GDPR și drepturile persoanelor vizate sunt respectate în spațiul public. Grea misiune și pentru Moderator…

Al doilea panel, cum era și firesc, va oferi în contra-partidă o perspectivă asupra GDPR din unghiul de vedere al mediului privat. Aici am avut în vedere invitarea unor profesioniști, care indiferent de experiențele anterioare sunt acum capabili să răspundă unor întrebări pragmatice legate de strategiile de abordare a GDPR: greșeli și reușite în adopția GDPR, aspecte practice legate de proiectele de aliniere, recomandări oferite de oameni cu sute de ore de experiență în proiecte, aspecte legale și procedurale de care trebuie să țineți seama, recomandări de la specialiști care activează ca DPO sau erori frecvente legate de conformitatea GDPR a politicilor publice de pe paginile de Internet.

Până acum, se pare că vom acoperi cam tot. Ar mai fi nevoie de ceva? Păi, cam da… Dacă ne gândim care este unul dintre motive care a condus la actualizarea vechii directive europene din 1995 ar cam fi nevoie să facem legătura cu tehnologia. Dar nu oricum… E plină piața de oferte de soluții, care de care mai atotcuprinzătoare și rezolvatoare a tuturor problemelor pe care le ridică GDPR. Am simțit nevoia de ceva mai mult…

Și astfel, în premieră pentru evenimentele din România, cel de-al treilea panel va avea ca temă Etica Digitală, mai exact modul în care transformările digitale respectă principiile GDPR și drepturile noastre fundamentale. Revoluția digitală vine cu siguranță cu o grămadă de lucruri benefice, dar și cu multe semen de întrebare legate de modul în care tehnologiile de graniță precum Cloud Computing, BigData, Analytics, IoT , Blockchain sau Inteligența Artificială pot garanta drepturile fundamentale ale utilizatorilor. În același timp, protecția datelor nu se face doar prin adoptarea de politici. Un rol de bază îl au și tehnologiile. Dar, e bineștiut: orice nouă tehnologie vine cu noi provocări, cu noi vulnerabilități de securitate care nu au apucat încă să fie evaluate. Cât este de importantă analiza de impact în adoptarea de noi soluții și ce se înțelege de fapt prin By Design si By Default?

Aveți un interes special pentru GDPR?
Vreți să știți ce s-a făcut bine anul ăsta și ce nu?
Aveți întrebări la care nu a știut nimeni să vă răspundă?
Veniți la eveniment și veți putea discuta cu cei care știu…

Mai aveți încă dubii dacă trebuie să veniți? Nu uitați că evenimentul va fi exact peste O SĂPTĂMÂNĂ!  Hotelul Pullman. La Piața Presei, lângă World Trade Center.

AICI GĂSIȚI FORULARUL DE ÎNREGISTRARE

 

Câteva considerații practice despre GDPR/ „Privacy by design and by default” în dezvoltarea de software

 

Autor Daniel Suciu

Acest material se adresează în special dezvoltatorilor din firmele mici, fără o structură organizatorică, funcții de suport dedicate sau o metodologie complexă in ajutor.

O să încep menționând că pentru a respecta cu adevărat principul de „Privacy by design and by default” pentru orice aplicție sau sistem not, trebuie avut în vedere scopul pentru care sunt folosite datele (personale), modul de prelucrare, de la acces, la prelucrările interne, stocare și distribuire precum și procesele operaționale, de operare, administrare și de suport, licențiere, actualizările aplicației, instruirea celor ce o operează și administrează…

Mai jos găsiți câteva exemple de cerințe sau doar bune practici, din experiența mea personală – de fost programator, tester, business analyst,  QA, admin, PM, manager… și acum consultant GDPR- care pot ajuta la dezvoltarea unei aplicații în acord cu aceste principii. Nu este o listă exhustivă și nici obligatorie, dar poate fi un punct de plecare pentru analiză. Evident ca lista poate fi mult mai lungă sau mai bine organizată. La final o să incerc să creez și să mențin o listă cu materialele mai formale pe aceasta temă, pe baza recomandărilor si sugestiilor primite.

Câteva considerații generale

  • Atât GDPR-ul cât și recomandările specifice implică necesitatea demonstrării respectării acestor principii din faza de design considerând toata durata de viață a produsului (SLC) nu doar dezvoltarea, iar dezvoltarea ar fi indicat să conțină și partea de analiză, cerințe, design, testare… stiu, pare evident
  • Trebuie să existe documentație – nu doar cea de produs (pentru useri și administrare/mentenanță) ci și pentru proiect/ development, incepând de la cerințe)
  • Cerințele inițiale ale aplicației/serviciului trebuie să conțină referințe la principiile GDPR ce trebuie avute in vedere de la bun început (câteva articole din GDPR ce pot avea legătură și ar merita citite sunt 5,7,11, 12, 15-22, 25,32,35,44…)
  • Trebuie să existe o trasabilitate pentru modul in care acestea sunt implementate in produs… sau proces, prin care să se poata demonstra ce funcțiune implementează o anumită cerință
  • Ar fi bine să existe evidente ca este urmata o metodologie (incluzând toate activitatile de dezvoltare). Se acceptă și Agile și DevOps, dar nu varianta fară arhitectură/design și documentație…

Acum, mai la concret:

–          despre Baze de date

  • Separarea informațiilor despre utilizatori de cele de business, eventual și cu criptarea celor ce pot identifica utilizatorii este utilă;
  • Normalizarea datelor ajută atât la consisten,a datelor, cât și la minimizarea impactului in cazul breșelor de securitate. Posibilitatea de a utiliza datele ca întreg și a identifica subiecții scade;
  • Normalizarea ajută și la implementarea unor măsuri de siguranță sau chiar de acces granular pentru anumite date considerate sensibile;
  • Ar fi indicat să existe un Data dictionary , cu descrierea datelor – ajută la identificare și mapare și este util în definirea scopului acestora de la început și la demonstrarea atât a minimizării datelor cât și a limitării scopului;
  • Stergerea și arhivarea automată a datelor, bazate pe anumite reguli, ar trebui avută in vedere din stadiul de design. Sigur va fi nevoie.

–          despre Managementul utilizatorilor și drepturilor

  • Managementul utilizatorilor ar trebui facut pe baza de roluri, cu drepturi bine definite pentru fiecare rol , luând în cosiderare și datele, nu doar funcțiile;
  • Managementul utilizatorilor și a drepturilor nu ar trebui limitat doar la utilizatorii finali, ci și la cei ce se vor ocupa de administrare, mentenanță…
  • Definirea utilizatorilor de la nivel de sistem de operare, baze de date, aplicație și utilizarea lor de la bun inceput pot face posibile operațiile de mentenanță sau administrare fără drepturi de a acces la continuțul bazelor de date și pot limita riscul de a produce incidente din greșeală (acordâdu-se drepturi doar pentru nevoile funcțiilor respective);
  • Folosind doar conturi de „root”/ „admin” pentru instalare, dezvoltare, administrare și mentenanță face inutile eforturile de „securizare” a aplicației;
  • Nu mai pomenesc de „utilizatorii” la nivel de aplicatie/modul, de care nu se prea știe, care in multe aplicații folosesc tehnologii ce necesită numele de utilizator și parola in clar;
  • Bănuiesc că schimbarea parolelor inițiale ale tuturor produselor COTS folosite este evidentă… nu că nu se uită de multe ori.

–          despre Corectitudinea datelor

  • Validarea tranzacțiilor end2end pentru a preîntâmpina erorile sau inconsistențele în date datorită prelucrărilor incomplete;
  • Ar trebui avute in vedere validări ale acestora (atât ca tip de date, valori căt și ca reguli de business, în relație cu alte date) începând de la colectare, pentru a preveni introducerile greșite;
  • Baza de date ar trebui să conțină informatii atât despre vechimea datelor, cât și a ultimelor operații efectuate pe ele = problema este de a determina pentru ce entități este nevoie și pentru ce operațiuni.

–          despre Securitate

  • Managementul sesiunilor e unul din aspectele de securitate ce poate preveni problemele;
  • Autentificarea utilizatorilor folosind cele mai potrivite metode (acum au apărut multe dar tot username-ul și parola „rules”), dar măcar existența unor politici minime pentru parole (care ar fi chiar indicat să nu se pastreze in clar… evident, nu?) și utilizarea a doi factori pentru autentificare ar fi bune;
  • Managementul licențelor produselor COTS folosite și a update-urilor acestora este un alt aspect de avut in vedere;
  • Nu uitati cerintele de infrastructură (hardware, software, retea) necesare funcționării aplicației, care pot introduce vulnerabilități, oricât de securizată ar fi aplicația;
  • Pentru administrare, pe lângă utilizarea conturilor dedicate, cu permisiuni specifice și limitate, ar fi indicat să fie identificate modalități de lucru la distanță printr-un canal sigur – aspect care mi se pare cel mai neglijat;
  • Auditarea operațiilor efectuate de clienți asupra datelor este un factor ce permite o analiză mult mai ușoară in caz de breșe de securitate, plus responsabilizarea celor ce utilizează aplicația. Pentru cei ce nu fac diferența, spre deosebire de log-urile tehnice, auditarea este un proces similar dar informațiile stocate sunt altele, de genul ce utilizator a efecutuat o anumită operație și când. Salvarea acestor informații la nivel de bază de date face utilizarea lor mai ușoara, dar nu este obligatorie.

–          Back-up & restore

  • In primul rând să nu se uite de procesul de restaurare, nu doar de back-up… ceea ce in general (macar 99%) nu inseamnă doar să pui baza de date veche in locul celei corupte, pierdute…;
  • In cel de-al doilea rând, back-upul ar trebui să nu fie limitat la date, ci și la aplicatie, fișierele de configurare, log-uri… pentru a permite restaurarea SERVICIILOR in caz de probleme și analiza incidentelor atunci cândva fi cazul (sigur va fi);
  • Combinarea mai multor tipuri de back-up pentru diferite tipuri de informații este o alternativă de considerat, de exemplu back-ul frecvent al log-urilor permite obținerea datelor despre tranzacțiile efectuate de la ultimul back-up al datelor (care de multe ori nu se poate face foarte des);
  • Daca datele sunt distribuite sau unele pot fi salvate in dispozitivele clientilor, o metoda de back-up pentru aceasta trebuie luată in considerare.

Alte chestii specifice GDPR

care nu tin neapărat de bune practici generale in dezvolatarea, administrarea și operarea unei aplicatii:

  • Introducerea in aplicație a functiilor ce permit exercitarea drepturilor persoanelor vizate, accesul la informatii (istoricul datelr și tranzactiilor), actualizarea informatiilor, exportul datelor, stergerea datelor- și chiar a contului;
  • Cel mai delicat drept este cel de restrictionare a prelucrării, in care datele trebuie marcate ca restricționate – nu șterse, dar să nu se permita nicio prelucrare. Atentie, accesul la date este o prelucrare. Implementarea drepturilor de acces la date cât mai granular face mai usoara implementarea – datele pentru un anumit client marcat nu vor avea nici dreptul de „view”, permițând doar accesul administratorului pentru taskurile de mentenanță;
  • Pentru a ușura exercitarea drepturilor, sau obținerea consimțământului, acolo unde este nevoie, o metodă ar fi utilizarea unor soluții dedicate, sau introducerea acestora in functionalitățile aplicației, la nivelul customizării preferințelor conturilor, care oricum există în majoritatea aplicațiilor;
  • Un amănunt important este obligativitatea ca retragerea unui consimțământ trebuie să fie la fel de ușoară ca acordarea lui. Pentru aceasta pozitionarea celor două opțiuni în același loc este o metoda bună de a rezolva problema;
  • A nu se uita că toate operațiile de exercitare ale drepturilor clienților, obținerea și retragerea consimțământului, obiecțiile la prelucrare… trebuie să fie salvate pentru a le putea demonstra oricând.

Alte matriale utile

GDPR explicitat (9): Data protection by design and by default – de la Cloudmania

THE CNIL’S GUIDES – 2018 EDITION- SECURITY OF PERSONAL DATA  – de la CNIL –autoritatea Franceză in domeniu ( document în Engleză)

Software development with Data Protection by Design and by Default – de la Datatilsynet

Notă: materialele au fost primite după redactarea articolului, și conțin informații suplimentare utile, ce nu au fost adresate în acest material

Despre autor: Daniel SUCIU este specialist în managementul proceselor, managementul schimbării, managementul riscului, auditul intern, guvernanța și administrarea datelor, dezvoltarea de software, operarea și suportul IT, securitatea informațiilor dar și managementul proiectelor și al echipelor crossfunționale, cu rezultate măsurabile la intersecția sistemelor, tehnologiei, proceselor, oamenilor și datelor. 30 de ani de experiențe de lucru între IT / tehnologie si echipele de business, între clienți, parteneri / furnizori, angajați și conducere. Nu în ultimul rând, certificat ca ofițer cu protecția datelor, fiind implicat în conformarea la GDPR a mai multor organizații, din diferite domenii: învățământ, ONG, turism, medical, servicii IT, afaceri sau comerț online.