SOLUȚII ESET DE ASIGURARE A CONFORMITĂȚII GDPR

Cu ocazia evenimentului GDPR Talks din 21 mai 2019, Cătălin GLIGAN Marketing Coordinator la ESET Romania (Axel Soft IT Group) a susținut o prezentare despre modul în care soluțiile de criptare și DLP oferite de ESET pot ajuta companiile în asigurarea unui nivel optim de conformitate privitoare la protecția datelor personale.

Catalin Gligan

În deschiderea prezentării au fost subliniate câteva dintre rezultatele unui studiu de piață realizat de IDC la solicitarea ESET. Studiul, care a vizat peste 700 de organizații din 7 țări relevă faptul că amenințările legate de securitatea datelor sunt principalele cauze ce determină breșe la nivelul securității datelor personale. Conform studiului, peste 300.000 de atacuri malițioase sunt semnalate zilnic, 40% din companiile chestionate au suferit cel puțin o breșă de date, iar 67% au raportat costuri asociate breșelor de peste 10.000 Euro

Printre cele mai serioase amenințări generate de breșele de date trebuie luate în considerație: costurile asociate atacurilor malware, pierderea datelor despre clienți, diminuarea încrederii clienților, indisponibilitatea site-ului Web, pierderea capacității operaționale și în cele din urmă pierderea clienților.

Compania ESET oferă un larg spectru de soluții de Securitate deosebit de utile în asigurarea conformității GDPR, printre care soluții pentru securizarea prin criptarea datelor, pentru autentificare securizată, precum și pentru prevenirea scurgerilor de date.

Cea mai veche măsură de precauție: criptarea datelor senzitive

Criptarea este una dintre măsurile de asigurare a integrității datelor recomandată de GDPR prin conceptul Privacy by Design și by Default. În Art.25., Alin.1 – Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit se arată că: ”Având în vedere stadiul actual al tehnologiei, costurile implementării, şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.” Totodată, operatorul trebuie să pună în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligaţie se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilităţii lor.

Mai mult de atât, în Art. 32, Alin.1 – Securitatea prelucrării se precizează: ”(…) operatorul şi procesatorul implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător (…), incluzând printre altele, după caz:

  1. pseudonimizarea şi criptarea datelor cu caracter personal;
  2. capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
  3. capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
  4. un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării. (…)”

Tehnologia este un mijloc stabilit de protejare a informațiilor vulnerabile în caz de furt sau de  pierdere. GDPR face referire de asemenea la necesitatea existenței unor planuri eficiente de restaurare în caz de dezastru, la proceduri de recuperare a parolei și de gestionare a cheilor.

Unul dintre principiile cheie al GDPR este asigurarea securității corespunzătoare a datelor cu caracter personal. Criptarea este considerată o măsură tehnică adecvată pentru a realiza acest lucru. În cazul în care criptarea este utilizată ca o măsură tehnică, ea trebuie să fie însoțită de posibilitatea restabilirii datelor imediat după un incident, iar înregistrările trebuie să fie păstrate pentru a dovedi permanent că sistemele sunt sigure și recuperabile.

Criptare de text și de clipboardpentru orice client de e-mail, inclusiv web-mail

Dintre toate aceste recomandări, tehnologia de criptare este un mijloc simplu, stabil și solid de asigurare a acestor măsuri tehnice și organizatorice adecvate. Criptarea datelor sensibile din sistemele companiilor care colectează astfel de date poate ajuta la îndeplinirea multor cerințe esențiale din GDPR. Soluția ESET Endpoint Encryption este simplu de instalat și poate cripta în condiții de siguranță diferite tipuri de medii sau fișiere. ESET Endpoint Encryption permite îndeplinirea obligațiilor privind securitatea datelor, prin implementarea facilă a unei politici de criptare, păstrând în același timp o productivitate ridicată. Cu un consum redus de resurse și cicluri de desfășurare scurte, soluția se distinge prin flexibilitate și ușurință în utilizare.

Soluția Endpoint Encryption asigură:

  • Criptare simplă și puternică (full disk, partiție, folder, fișier, email) pentru organizațiile de toate dimensiunile, criptând în siguranță fișierele de pe hard disk-uri, dispozitivele portabile și documentele trimise prin e-mail
  • Certificare: criptare FIPS 140-2 cu validare 256 bit AES;
  • Server de management hibrid bazat pe cloud pentru un control complet de la distanță a cheilor de criptare endpoint și a politicii de securitate;
  • Suport extins pentru Windows 10, 8, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS. La nivel de client este necesară o interacțiune minimă cu utilizatorul, securizarea datelor companiei fiind posibilă prin instalarea unui singur pachet MSI. La nivel de server se asigură administrarea avansată, în grupuri, a utilizatorilor și a stațiilor de lucru și se extinde protecția companiei dincolo de rețeaua proprie.

Una dintre noutățile noului Regulament UE 679/2016 este introducerea obligativității notificărilor către Autoritatea de Supraveghere a oricărei  încălcări a securității datelor cu caracter personal, nu mai târziu de 72 de ore după ce organizația în cauză devine conștientă de breșa respectivă. În plus, atunci când încălcarea securității datelor poate duce la un risc ridicat în privința drepturilor și libertăților persoanelor fizice, operatorul de date personale este obligat să comunice apariția breșei către persoana vizată, fără întârzieri nejustificate.

Dar e bine să ținem cont de faptul  că nu este necesară notificarea breșelor dacă operatorul a pus în aplicare măsuri tehnice de protecție și de organizare adecvate, iar aceste măsuri au fost aplicate în prealabil datelor afectate în urma breșei, în special măsuri prin care datele personale scurse să nu poată fi accesate de persoane neautorizate, cum ar fi criptarea.

Criptarea este considerată fără dubiu o garanție suficientă pentru a exclude aceste riscuri și consecințele implicite pentru reputația corporativă. Soluția ESET Enpoint Encryption este disponibilă pentru descărcare în versiune de evaluare (trial) pe http://www.eset.ro, alături de multe informații utile care analizează în detaliu cerințele GDPR și modul în care acestea sunt acoperite de soluția de criptare ESET.

Securizarea autentificării

One Time Password – Two Factor Authentification.

Una dintre marile probleme ale politicilor interne de Securitate IT este respectarea unor reguli foarte stricte de stabilire și utilizare a parolelor. Multe dintre vulnerabilitățile de securitate care apar într-o organizație, de natură internă sau externă, se datorează folosirii unor parole slabe, păstrarea aceleiași parole pe o perioadă foarte mare de timp sau utilizarea aceleiași parole pentru mai multe conturi de utilizator. ESET oferă o soluție dedicată pentru securizarea autentificării prin validarea identității utilizatorilor cu One Time Password – Two Factor Authentification.

Soluția rezolvă problema:

  • Parolelor ușor de prezis sau sustras
  • Parolelor statice care pot fi interceptate
  • Parolelor simple care nu conțin combinații aleatoare
  • Reutilizării parolelor conturilor din companie pentru conturi private
  • Parolelor care conțin informații legate de utilizator (data de naștere, nume)
  • Variațiilor simple prin care sunt derivate noi parole, ex: “mihai1”, “mihai2”, etc.

Prevenirea pierderilor de date

Safetica DLP

Soluția ESET care contribuie la asigurarea conformității GDPR prin prevenirea pierderilor de date se numește Safetica –DLP. Soluția urmărește traseul documentelor sensibile: cine le deschide și cum sunt gestionate, oferind și un ghid de utilizare al documentelor bazat pe reguli clare pentru persoanele care pot opera cu date sensibile. Iată câteva dintre avantajele oferite:

  • Găsește fișiere greșite – Împiedică pătrunderea unor fișiere importante în a intra pe mâini greșite,  în interiorul sau în afara unei organizații, și avertizează managementul față de potențialele pericole.
  • Detectează atacurile – Safetica identifică atacurile de tip social engineering și încercările de șantaj în etapele inițiale, împiedicându-le să dăuneze companiei dvs.
  • Criptează datele pentru a preveni utilizarea greșită – Datele importante sunt protejate chiar dacă laptopurile sau unitățile de memorie externă sunt pierdute sau furate. Întregul disc sau fișierele selectate rămân criptate și greu de citit.
  • Gestionează resursele – Safetica controlează utilizarea imprimantei, aplicațiile și limitează activitățile online excesive. Ea identifică schimbările în productivitate pentru a descoperi tendințele potențial periculoase în timp util.

Totodată, Safetica – DLP asigură:

Soluție DLP completă – prin capacitatea de prevenire a pierderilor de date, Safetica acoperă o gamă largă de evenimente și domenii, ajutând organizația să prevină incidentele nedorite.

Raportarea și blocarea activităților – Raportează toate operațiile de fișiere, tendințele pe termen lung, fluctuațiile pe termen scurt în activitate, toate site-urile Web, e-mailurile și webmail-urile, mesageria instantanee, imprimantele, activitatea pe ecran și keylogging-ul.

Litigii și zone de prevenire a pierderilor de date – Extinde la toate unitățile de hard disk, transferul de fișiere în rețea, e-mailuri, SSL / HTTPS, imprimante, Bluetooth, cititoare și înregistratoare CD / DVD / BluRay, controlul accesului la fișierele aplicației și detectarea și restricționarea discurilor în Cloud. Versiuni Safedica DLP sunt disponibile pentru Safetica Endpoint Client, Safetica Management Services & SQL database, Safetica Management Console și WebSafetica

Concluzionând, soluția Safetica oferă organizațiilor o experiență DLP completă care acoperă o gamă largă de funcții de securitate pentru amenințările care provin dintr-o sursă comună – factorul uman. Safetica previne scurgerile de date accidentale, demascând acțiunile rău intenționate, problemele de productivitate, pericolele BYOD și shadow IT. Mai mult, filosofia de securitate este bazată pe trei atuuri majore: caracterul complet, flexibilitate și ușurința de utilizare.

Advertisements

ANALIZA GDPR READY: POLITICILE DE PE WEBSITE CA IMAGINE PUBLICĂ A CONFORMITĂȚII

Transparența este unul dintre principiile fundamentale în protecția datelor personale. Fiecare dintre noi are dreptul să înțeleagă cum sunt prelucrate datele noastre personale, cum sunt folosite sau partajate. În acest fel, putem să luăm decizii mult mai informate despre ce putem face cu datele noastre. Prin publicarea politicilor publice pe un website, o companie poate face dovada clară a transparenței în prelucrarea datelor personale, asumându-și și dovedind responsabilitatea și obținând o etichetă de încredere pentru tot ecosistemul de business de care aparține.  

PREMISELE ANALIZEI DE CONFORMITATE

Politica de confidențialitate – În secţiunea 1: Transparenţă şi modalităţi, din GDPR,  Art. 12: Transparenţa informaţiilor, a comunicărilor şi a modalităţilor de exercitare a drepturilor persoanei vizate indică foare clar că ”Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informaţii menţionate la articolele 13 şi 14 şi orice comunicări în temeiul articolelor 15-22 şi 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă,utilizând un limbaj clar şi simplu, în special pentru orice informaţii adresate în mod specific unui copil.”

Orice organizație care păstrează un site Web ar trebui să publice o declarație de confidențialitate / o notificare pe site-ul web. Un link către această declarație / notă de confidențialitate trebuie să fie vizibil în mod clar pe fiecare pagină a acestui site, sub un termen folosit în mod obișnuit (cum ar fi “Confidențialitate”, “Politica de confidențialitate” sau “Notificare privind protecția datelor”).

În Preambulul 60 sunt descrise tipurile de informații care trebuie communicate persoanei vizate, și care sunt reluate apoi pe larg în Art.13 și Art.14. ”Conform principiilor prelucrării echitabile şi transparente, persoana vizată este informată cu privire la existenţa unei operaţiuni de prelucrare şi la scopurile acesteia. Operatorul ar trebui să furnizeze persoanei vizate orice informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă, ţinând seama de circumstanţele specifice şi de contextual în care sunt prelucrate datele cu caracter personal. În plus, persoana vizată ar trebui informată cu privire la crearea de profiluri, precum şi la consecinţele acesteia. Atunci când datele cu caracter personal sunt colectate de la persoana vizată, aceasta ar trebui informată, de asemenea, dacă are obligaţia de a furniza datele cu caracter personal şi care sunt consecinţele în cazul unui refuz.”

Articolele 13 și 14 din GDPR ne explică toate informațiile pe care trebuie să le dăm persoanelor individuale în momentul în care le colectăm informațiile personale sau la scurtă vreme după ce am intrat în posesia acestora într-o manieră indirectă. Pentru a face lumină în aceste lucruri, Grupul de Lucru Articolul 29 (WP29) a publicat în noiembrie 2017 un ghid dedicat politicilor de asigurare a transparenței pe care l-a revizuit în aprilie 2018.

Termenii & Condițiile  O altă latură a transparenței, de data asta nu doar pentru datele personale, este prezența paginii care descrie Termenii și Condițiile de utilizare a site-ului pentru vizitatori. Termenii și Condițiile reprezintă acordul prin care utilizatorii site-ului sunt informați despre regulile, termenii și regulamentele pe care trebuie să le urmeze pentru a utiliza și accesa un website. Deși nu este impusă de legi în present, prin pagina de Termeni și Condiții pot fi menținute drepturile de a exclude anumiți utilizatori care ar putea să creeze probleme abusive pe site sau să nu respecte regulile stabilite.

Există cinci motive pentru care este necesară o pagină cu Termeni și Condiții:

  • Prevenirea abuzurilor – în cazul problemelor legate de spamuri, comportamente abusive, activități necontolate care pot atrage reacții de defăimare. Fără Termeni și Condiții, nu există autoritatea de a suspenda sau de a interzice utilizatorii care afișează tendințe problematice.
  • Protejarea conținutului – orice proprietar de site deține logo-ul, conținutul și designul site-ului. Termenii și Condițiile informează utilizatorii despre acest fapt și împiedică deturnarea de proprietate intelectuală.
  • Dreptul de anulare a conturilor – în timp ce rezilierea poate fi implicită în alte clauze, un drept distinct evidențiat în Termeni și condiți de a anula conturile este mai bun.
  • Limitarea răspunderii – Termenii și condițiile limitează, de asemenea, cauzele acțiunilor pe care utilizatorii pot încerca să le utilizeze împotriva site-ului. Aceste limite privind răspunderea pot să abordeze erori în ceea ce privește conținutul sau oprirea sistemului. Practic, termenii explică faptul că utilizatorii își asumă aceste riscuri atunci când se înscriu pe site și nu puteți fi trași la răspundere pentru eventualele pierderi pe care le suportă în aceste evenimente.
  • Aviz de lege aplicabil – Dacă compania este situată în Romania, este îndoielnic că doriți să participați la o procedură de arbitraj în California sau Singapore. Aici intră secțiunea privind legea aplicabilă: se declară competența termenilor și se indică unde are loc orice soluționare a litigiilor.

Politica de Cookies – În prezent nu există în Uniunea Europeană o legislație dedicată care să vizeze în exclusivitate politica de cookies. Există un set de legi, recomandări și considerații care vizează modul în care pot fi utilizate cookies. Ele se aplică tuturor statelor membre ale Uniunii Europene, iar site-urile Web din afara UE trebuie să se alinieze la aceasta dacă se adresează persoanelor din statele membre. În lipsa unei legislații explicite, condițiile de utilizare pentru cookies sunt reglementate de Directiva nr. 58/ 2002, actualizată în 2009 cunoscută ca ”ePrivacy”, care este transpusă în țara noastră prin Legea 506 din 2004, actualizată prin Legea 235 din 2015, privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.

Până la apariția GDPR  conformitatea cu această lege însemna o declarație plasată în partea de jos sau în partea de sus a site-ului, care permite utilizatorului să știe ce fel de module cookie sunt utilizate. Cei mai mulți dintre noi suntem familiarizați cu faimoasa expresie: “Prin utilizarea acestui site web, acceptați politica noastră de cookie-uri” sau ceva similar. Această informare este utilă dar în ce măsură ne oferă o alternativă? GDPR își propune să schimbe acest lucru, oferind utilizatorilor o posibilitate de alegere reală și informată.

Ce spune ePrivacy despre Cookies – Art. 5 (3) din ePrivacy impune consimțământul în prealabil în cunoștință de cauză privind stocarea sau accesul la informațiile stocate pe echipamentul terminal al utilizatorului. Cu alte cuvinte, utilizatorii trebuie întrebați dacă sunt de acord cu cele mai multe cookie-uri și tehnologii similare (de exemplu, beaconuri web, cookie-uri Flash etc.), iar acordul acestora trebuie obținut înainte ca site-ul să înceapă să le utilizeze.

Utilizatorii trebuie Informați despre utilizarea cookie-urilor în limbaj simplu, lipsit de jargon, într-o pagină dedicată “Politica de cookies”, la care se ajunge de la un popup sau de la bara de instrumente a șabloanelor standard. Această pagină ar trebui să explice:

  • de ce se utilizează cookie-urile (pentru a reaminti acțiunile utilizatorilor, a identifica utilizatorii, a colecta informații despre trafic etc.)
  • dacă cookie-urile sunt esențiale pentru funcționarea site-ului web sau pentru o anumită funcționalitate sau dacă vizează îmbunătățirea performanței site-ului web
  • tipurile de cookie-uri utilizate (de exemplu, sesiune sau permanent, prima sau terță parte) care controlează / accesează informațiile referitoare la modulele cookie (site sau terță parte)
  • că aceste cookies nu vor fi utilizat în alte scopuri decât cele indicate
  • modul în care utilizatorii pot retrage consimțământul.

Ce spune GDPR despre Cookies – Principala cauză a neconcordanțelor legate de Politica de Cookies este faptul că Regulamentul 679 consideră idetificatorii IP ca date personale, ceea ce Directiva 58 nu prevedea. Asta face ca proprietarii de site-uri să fie nevoiți să aibă o mare bătaie de cap în plus, legată de asigurarea cerințelor de conformitate pentru achiziția și retenția de IP-uri.

În GDPR, singurul loc unde sunt menționate în mod explicit cookie-urile este Considerentul 30 care prevede: ”Persoanele fizice pot fi asociate cu identificatorii online furnizaţi de dispozitivele, aplicaţiile, instrumentele şi protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alţi identificatori precum etichetele de identificare prin frecvenţe radio. Aceştia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici şi alte informaţii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice şi pentru identificarea lor.”

Ideea este relativ simplă: cookie-urile pot fi folosite pentru a identifica în mod unic o persoană, prin urmare ar trebui tratate ca date personale. Acesta va afecta acei identificatori utilizați pentru analiză, publicitate, dar și pentru acelea utilizate pentru servicii funcționale cum ar fi chat-urile și sondajele.

Ce trebuie să se schimbe?  Utilizatorii trebuie să aibă posibilitatea de A ALEGE. Faptul că navighează pe un site Web nu înseamnă că sunt de acord cu toate cookie-urile. Tipul de frază folosit în acest moment este abia suficient de informativ și, desigur, nu oferă o alegere. Oricine ar fi proprietar al site-ului nu va putea să-i constrângă pe utilizatori să accepte cookie-uri în schimbul accesului la informații.

Ca orice alt consimțământ în cadrul GDPR, consimțământul pentru cookie-uri trebuie să fie o acțiune AFIRMATIVĂ CLARĂ. Un exemplu este să faceți clic pe o casetă de înscriere sau să alegeți setările din meniu. Utilizatorii trebuie să fie atenți să nu aibă casete pre-bifate pe formularul de consimțământ!

Să NU UITĂM DE OPT-OUT. GDPR afirmă în mod clar că orice subiect de date ar trebui să poată retrage consimțământul la fel de ușor cum l-a dat. In cazul noii politici de cookie acest lucru impune ca orice utilizator sa poată revoca consimțământul prin același tip de acțiune ca atunci când și-au dat consimțământul. De exemplu, dacă pentru obținerea consimțământului se dă un click pe o casetă, aceeași modalitate trebuie oferită pentru revocarea acordului prin inserarea unui buton de REJECT.

Notele de confidențialitate – Revenind la obligativitatea publicării unei Politici de confidențialitate, orice fereastră, pop-up, formular, chestionar sau caseta de comentarii de pe un site public trebuie să includă o notificare prin care utilizatorul este informat despre modul în care vor fi folosite datele sale personale pe care le furnizează în acel mod, cu trimitere la credențialul de confidențialitate unde se dat toate explicațiile impuse de Art.13 și Art.14.

GDPR stabilește standarde mai ridicate pentru obținerea consimțământului decât legislația anterioară. Persoanele fizice trebuie să înțeleagă în mod clar și fără echivoc ceea ce sunt de acord – astfel încât notificările trebuie să fie pur și simplu articulate și specifice – iar acordul trebuie să fie dat sub forma unei acțiuni clare afirmative din partea persoanei vizate. În termeni practici, aceasta înseamnă a cere un “opt-in” pozitiv și, de asemenea, înseamnă că utilizarea cutiilor pre-bifate nu ar trebui să fie utilizată.

Cele mai frecvente greșeli care apar pe site-uri sunt legate de lipsa acestor notificări, preferându-se banalele formule de autentificare de tipul ”Nu sunt robot” , ”1+2=…” sau Captcha. Puținele siteuri care pun o notiță legată de prelucrarea datelor personale captate pe site mai fac o greșeală solicitând utilizatorului înainte de a apăsa butonul se subsciere sau de trimitere a datelor pesonale acordul pentru politica de confidențialitate. Mai multe exemplificări legate de aceste erori de utilizare vor fi prezentat în capitolul de prezentare a rezultatelor Analizei de Conformitate. 

ASPECTE METODOLOGICE

Analiza de conformitate GDPR a politicilor publice de pe paginile de Internet, a constat în studierea unui număr sufiecient de mare de site-uri, încât să fi îndeplinite condițiile optime de analiză statistică, pe un eșantion cât mai reprezentativ.

Studiul de conformitate s-a bazat pe două tipuri de analiză:

  • O analiză generală preponderent calitativă pe un număr de 450 de site-uri, care a urmărit modul în care pe site-urile care au constituit obiectul cercetării se regăsesc politicile publice ale organiației (deținătorului, : politica de prelucrare a datelor personale (sau Privacy Policy, Politică confidențialitate, etc), pagină dedicată Termenilor și Condițiilor actualizată la GDPR, o pagină dedicată Politicii de Cookies, prezența notificărilor de confidențialitate asociate oricărei formă de colectare a datelor personale ale vizitatorului web, prezența formularelor de adresare a solicitărilor de acces la datele personale, precum și prezența informațiilor de contact ale DPO.
  • O analiză de detaliu, cantitativ- calitativă a prezenței și calității conținutului politicilor publice , cu considerarea informațiilor minime obligatorii care trebuie să apară în aceste declarații de conformitate.

ANALIZĂ CALITATIVĂ – Eșantionul de cercetare este format din cca 450 de site-uri, alese pe diferite criterii precum:

– ACUITATE – este nevoie de un număr suficient de mare de site-uri pentru asigurarea unor prelucrări statistice de bună calitate;

– REPREZENTATIVITATE – site-urile aparțin unor companii publice și private din diferite zone de activitate, astfel încât rezultatele să poată fi considerate acoperitoare pentru toate verticalele;

– LEADERSHIP – pentru fiecare dintre domeniile de activitate avute în vedere au fost selectate companiile care s-au remarcat prin rezultatele obținute. Cele 100 de companii din Top Profitabilitate analizate în Studiul de detaliu sunt incluse și în această analiză contitativă;

– RESPONSABILITATE – s-au urmărit site-uri din toate domeniile care pot implica un nivel crescut de responsabilitate prin numirea unui DPO sau obligativitatea efectuării unei analize de impact – conform listei de activități prezentă în Decizia 174 octombrie 2018, Art. 1, Alin a – g.

Analiza calitativă s-a bazat pe evaluarea conținutului publicat pe site-urile din eșantionul studiat, pe baza unor criterii de analiză, cărora li s-a atribuit ponderi diferite, în funcție de importanța aspectului urmărit.

O descriere a criteriilor utilizate la această analiză se poate citi în Broșura Analiza Conformitate Politici Publice Website – 8 pag. disponibilă în format electronic.

ANALIZĂ DE DETALIU  – Eșantionul de cercetare este format din cca 150 de site-uri, alese pe criteriul apartenenței la Topul primelor 100 de companii din România după Profitabilitate pe anul 2017, realizat și publicat de revista Capital, pe baza rezultatelor declarate la Registrul Comerțului (Capital, EXCLUSIV TOP 100 cele mai profitabile companii din România, Iulie 2018). Încă 50 de site-uri au fost selectate pe criterii de rezultate în business, în funcție de rezultatele prezentatele la Registrul Comerțului.  

Scopul, ușor de ghicit, al Analizei GDPR Ready este acela de a vedea în ce măsură companiile de top din România au găsit resursele necesare pentru asigurarea alinierii a noul Regulament 679/ 2016, iar paginile de web care  conțin politicile publice ale organizației reprezintă cea mai elocventă carte de vizită pentru stadiul de conformitate în care se găsește o companie de top.

Analiza de detaliu s-a bazat pe evaluarea conținutului publicat pe site-urile din eșantionul studiat, pe baza unor criterii de analiză, cărora li s-au atribuit ponderi diferite, în funcție de importanța aspectului urmărit. O parte dintre aceste criterii, referitoare la prezența pe site a diferitelor politici și la forma de prezentare, conținut, accesibilitate și formatul barei de cookies sunt aceleași ca cele folosite în analiza calitativă. Diferențele apar la analiza specifică pentru fiecare dintre politici (Confidențialitate, Termeni & Condiții, Cookies), unde în benchmarckul utilizat s-au avut în vedere toate criteriile obligatorii prin care persoanele vizate sunt înștiințate de modul în care sunt procesate datele lor personale, așa cum se arată clar în Art.13 și 14 din GDPR.

O descriere a criteriilor utilizate la această analiză se poate citi în Broșura Analiza Conformitate Politici Publice Website – 8 pag. disponibilă în format electronic.

REZULTATE

Iată o redare succintă a rezultatelor obținute în urma celor două tipuri de analiză

ANALIZA CALITATIVĂ

Unul dintre obiectivele vizate de aveastă analiză care a studiat 450 de site-uri a fost evaluarea generală a prezenței politicilor publice pe website. Cele șase tipuri de politici studiate au fost analizate din perspectiva prezenței pe site-urile web, criteriile de apreciere fiind prezența, absența și prezența parțială sau incompletă – de exemplu, notificările specifice unei politici sunt descrise în alte pagini decât cele dedicate. Ce este de subliniat aici?

  • Doar 63% dintre site-uri au o Politică de Confidențialitate
  • 31% nu au o astfel de politică, deci nu se aliniază principiului de transparență privitor la protecția datelor personale
  • Doar 40% dintre siteuri au o pagină de Termeni & Condiții, deși aceasta ar trebui să se regăsească pe orice site public și nu are legătură directă cu GDPR.
  • Doar 60% dintre siteurile studite au o politică de cookies afișată, dintre care 14% incompletă
  • 79% dintre site-uri nu au o notă de confidențialitate deși colectează date personale depe site
  • Doar 8% dintre site-uri oferă posibilitatea descărcării unor formulare pentru solicitările de acces la datele personale.
  • Doar 55% dintre site-uri oferă o adresă de corespondență pentru probleme GDPR, fie că au un DPO dedicat sau nu.    
Figura 1: PREZENȚA POLITICII PE WEBSITE

Analiza pe verticale industriale ne oferă o imagine de ansamblu asupra domeniilor de activitate în care există preocupări legate de actualizarea politicilor publice de pe website. Pentru histograma analizei pe v erticale s-au ales principalele industrii de care aparțin cele 450 de site-uri studiate și o medie a procentajului de conformitate pentru toate site-urile care țin de industria respectivă.

Câteva comentarii ale rezultatelor:

  • Nivelul mediu de conformitate cel mai ridicat poate fi regăsit în industriile de utilități, telco, retail – hypermarket, farmaceutice și cosmetice și industria auto.
  • La polul opus, și asta e destul de trist, se regăsesc domenii care prin natura activității lor sunt obligate să aibă un DPO: administrația publică (primării), educație (școli, colegii, universități), sănătate (spitale, clinici) și guvernare (ministere și organizații tutelate)
  • medie de conformitate surprinzător de mică 36% a reieșit pentru companiile din industria IT, care au avut o populație destul de mare (121 site-uri).
Figura 2: TOP VERTICALE VALORI MEDII PE INDUSTRIE

ANALIZA DE DETALIU

O apreciere generală pentru cele 150 de site-ui studiate în detaliu se referă la prezența politicilor cumulată cu criterii de vizibilitate, accesibilitate și conținut al politicilor. Nivelul de conformitate este apreciat procentual și clasificat ca nivele de conformitate Slab (sub 25%), Mediu (25% – 75%) și Bun (peste 75%)

In timp ce 4% dintre organizațiile analizate nu au un website funcțional , 13% nu au deloc politici, 14% au conformitate slabă, 53% medie și doar 17% au un nivel satisfăcător de conformitate. 

Figura 3: APRECIERE GENERALĂ

Un alt obiectiv al analizei de detaliu a fost evaluarea pe politici a criteriilor de conformitate prezentate la capitolul de metodologie:

Din perspectiva Confidențialității, doar 21% dintre cele 150 site-uri au un nivel mulțumitor de conformitate, în timp ce 51% au un nivel mediu, 13% insufic ient, iar 15% nu au de loc o Politică de Confidențialitate.

Privitor la paginile dedicate Termenilor și Condițiilor, doar 14% au un nivel de conformitate mulțumitor, 42% unul mediu, 25% o conformitate slabă, iar 19% nu au de loc Termeni și Condiții.

La analiza Politicilor de Cookies, reiese că doar 3% dintre site-uri au un nivel de conformitate acceptabil, 33% unul mediu, 44% unul nemulțumitor, iar 23% dintre site-uri nu au cookies.

Figura 4: STADIU CONFORMITATE POLITICI

În fine, cele 114 site-uri care au cookies, au fost analizate din perspectiva conformității cu regulile GDPR de obținere a consimțământului, modul de afișare și conținutul barelor de cookies, prezența sau nu a unor casete de acceptare predefinite, precum și prezența unei casete de REJECT alături de cea de ACCEPT. Rezultatele sunt sintetizate în Figura 5.

Figura 5: BARA COOKIES

GREȘELI  FRECVENTE

Printre cele mai frecvente greșeli întâlnite pe parcursul acestei Analize de conformitate se numără:

  • Omitere descriere drepturi, obligatorie în orice informare a persoanelor vizate
  • Neactualizare conținut Politică Confidențialitate  – Sunt multe site-uri unde politica respectivă face trimitere la Legea 677/ 2001 sau pe Site este afișat mesajul: ”Compania noastră este Operator de date personale înregistrat în Registrul național cu Nr…….”
  • Lipsă/ Neactualizare Termeni & Condiții
  • Lipsă barei de Cookies deși pe site este prezentă o Politică de cookies
  • Obligativitatea Acceptării utilizării de cookies ca o condiționare a continuării pe site
  • Prezența unui meniu granular de acceptare a diferitelor categorii de cookies cu casete Prebifate
  • Lipsa posibilității de  Opt-aut la acceptarea utilizării de cookies: 92% dintre site-urile care au o politică de cookies.
  • Bara de cookies este plasată în așa fel încât maschează prezența celorlalte politici, de regulă la partea inferioară a site-ului.

CONCLUZII

Lipsa preocupărilor legate de publicarea sau actualizarea Politicilor Publice de pe Website poate fi o constatare îngrijorătoare și o radiografie transparentă a modului în care organizațiile din România sunt dispuse să învestească în alinierea la GDPR.

Prezența acestor politici pe site reprezintă o carte de vizită, o declarație publică a preocupărilor companiei pentru conformitate și asumarea responsabilității.

Politicile publice de pe website nu reprezintă decât partea care se vede din ceea ce poate fi numit un proiect de asigurare a conformității GDPR. Este greu de crezut că o organizație care nu e preocupată de imaginea sa publică se poate apropia de un nivel de conformitate acceptabil în privința proceselor, procedurilor și politicilor applicate pe plan intern.

DESPRE ANALIZA DE CONFORMITATE A POLITICILOR PUBLICE DE PE WEBSITE

Un proiect de cercetare conceput și realizat de GDPR READY. Toate drepturile rezervate.

Cei interesați pot solicita Broșura Analiza Conformitate Politici Pubice Website – 8 pag. disponibilă în format electronic.

Cei interesați de servicii de Audit Politici Website sunt rugați să completeze formularul de Contact: Pachetul de servicii include:

  • Audit politici existente
  • Recomandări conținut & formă Politici
  • Analiza în raport cu alte site-uri din același domeniu de business
  • Analiza concurențială pe verticale industriale
  • Integrarea Politicilor Publice în Cultura GDPR a organizației
  • eBook Analiza Conformitate Politici Pubice Website – 20 pag.

 

SOLICITARE BROȘURĂ ANALIZA CONFORMITATE SI/ SAU SERVICII AUDIT POLITICI PUBLICE WEBSITE

Cei interesați de Broșura Analiza Conformitate Politici Publice Website sunt rugați să completeze rubrica dedicată din formularul de mai jos. Veți primi Broșura prin e-mail

Cei interesați de oferta de Servicii de Audit Conformitate Politici Website sunt rugați să completeze rubrica dedicată din formularul de mai jos. Veți fi contactați prin e-mail

Nota Confidentialitate: Completand acest formular va dati acordul pentru a fi contactati in scopurile menționate. Datele Dvs. personale incluse in acest formular vor fi prelucrate doar in scopul comunicării pentru care au fost solicitate. Citiți Politica de Confidentialitate.

CELE MAI IMPORTANTE GREȘELI CARE SE FAC ÎN PROIECTELE GDPR

A fost o săptămână bogată în evenimente, întâlniri și multe dialoguri, prilejuite de aniversarea unui an de la ”celebrul 25 mai”. Un lucru de toată lauda, ținând cont de acalmia care încearcă să ne descurajeze, în special de prin ianuarie încoace…Iată dar o foarte bună ocazie pentru o recapitulare, la rece, a celor mai frecvente greșeli discutate la evenimentul GDPR Talks din 21 mai sau observate prin proiecte.

Desigur, vorbele din bătrâni ”a greși, e omenește” și  ”numai cine muncește, greșește” sunt perfect adevărate și în cazul nostru, iar o greșeală sesizată nu trebuie arătată cu degetul, căci nimeni nu are de câștigat. Observăm și arătăm cu luciditate greșelile doar cu bunul scop de a le explica și de a oferi soluții pentru demonstrarea responsabilității. Chiar dacă Autoritatea din România nu a apăsat încă pe claxonul amenzilor, emițând doar avertismente și măsuri corective, trebuie să depășim sindromul drobului de sare și să învățăm din greșeli devenind proactivi. Numai așa putem să respectăm cel de-al șaptelea principiu GDPR (așa cum consideră unii) și să devenim responsabili de responsabilitatea noastră.

Iată deci, fără a respecta o anumită ordine, câteva dintre cele mai importante greșeli din care trebuie să învățăm:

Lipsa unui plan de proiect – decizia de ”a face ceva pentru GDPR” s-a făcut de cele mai multe ori sub presiune, pasând responsabilitatea cuiva de la IT sau de la juridic, care s-au apucat de ce credeau că e mai urgent.. Desigur, orice poate conduce o echipă de acțiune, dar fără un proiect de implementare etapizat e greu să vezi capătul drumului și să eficientizezi demersurile de aliniere.

Nu s-a făcut nimic până la numirea unui DPO – asta a întârziat destul de multe ori lucrurile, pierzându-se timp prețios pentru demararea unor măsuri organizatorice, care putea fi luate și în absența unui DPO, acolo unde numirea acestuia e obligatorie.

Dificultăți legate de angajarea unui DPO – multă vreme, cei care aveau nevoie să angajeze un DPO, s-u confruntat cu probleme legate de lipsa unei fișe a postului oficială sau imposibilitatea înregistrării în aplicația Revisal a codului COR 242231 alocat pentru funcția de Responsabil cu protecția datelor cu caracter personal. Deși mulți m-au asigurat că această problemă a fost rezolvată, nu am găsit încă nici o sursă publică oficială de confirmare a acestui lucru.

Înțelegerea incorectă a noțiunii de date personale – definițiile din Art.4, preambulurile și ghidurile WP29 nu au rezolvat problema identificării corecte a datelor personale. Sunt multe site-uri care la Politica de Cookies declară că acestea nu folosesc datele personale. În mod sigur administratorii acestora nu au aflat că IP-ul este luat în considerare ca și data personal, s-au pur și simplu nu și-au bătut capul să își actualizeze politicile…

Dificultatea stabilirii rolului de Operator sau Procesator (Împuternicit…) – simpla analiză a faptului că o organizație determină scopul și mijloacele nu este suficientă pentru asumarea unui rol de Operator. Se fac încă multe confuzii între poziția de Procesator și cea de Operator Asociat sau Operator Independent (B2B). Se omite ideea, că aceeași organizație poate juca roluri diferite în prelucrarea datelor personale, în funcție de procesul de business care este analizat. Dar, așa cum aprecia și Cătălin Giulescu în discuțiile din cadrul evenimentului GDPR Talks: ”nu trebuie să ne cramponăm de asta. Dacă un împuternicit își asumă rol de operator, lăsați-l să și-l asume. În fond, un operator are mult mai multe obligații…”

Excesul de Consimțământ – se pune mult prea mult accentul pe obținerea acordului, în detrimentul celorlalte 5 temeiuri legale care pot justifica prelucrarea datelor personale. Poți evita nevoia obținerii consimțământului prin introducerea unei prevederi suplimentare într-un contract. Mai mult de atât, nu se ține cont de cerința ca un consimțământ să poată fi întotdeauna probat, dovedit, în ideea că el poate fi retras cu aceeași ușurință cu care a fost obținut.

Lipsa de transparență online – Multe dintre organizațiile care au un site web nu dau dovadă de transparență prin nepublicarea unei Politici de confidențialitate sau Notificări de prelucrare a datelor personale. Prezența unei pagini cu politica de Confidențialitate a organizației este o declarație publică de conformitate și o etichetă e încredere pentru modul în car se prelucrează datele cu caracter personal.

Neactualizarea conținutului  – Există îngrijorător de multe dintre site-urile care publică o Politică de Confidențialitate nu și-au actualizat conținutul, făcând referire la Legea 677/ 2001 sau afișând în continuare Numărul de înregistrare ca Operator Național de date personale. Acest lucru poate fi o reflectare a faptului că organizația căreia îi aparține site-ul nu a depus destule eforturi de asigurare a alinierii, omițând să actualizeze singurul conținut vizibil, menit să ateste public conformitatea și asumarea responsabilității pentru datele personale prelucrate.

Carențe ale paginilor de Internet – o mulțime de site-uri publice nu au o pagină de Termeni și Condiții, care să stabilească niște reguli de accesare și navigare online, deși asta nu este o cerință GDPR, ci o regulă de conduită pentru toate organizațiile prezente Internet.

Lipsa barei de cookies – Există multe site-uri care, deși au o pagină dedicată politicii de cookies, nu au o bară de cookies care să solicite acceptarea utilizării acestora înainte de începerea navigării pe site.

Acceptarea inutilă a Politicii de confidențialitate – Sunt multe site-uri care utilizează formulare online de colectare a datelor personale (înscrieri newsletter, pagina de contact, descărcări de documente, etc) și condiționează trimiterea acestor date de bifarea unei casete de acceptare a Politicii de confidențialitate. De ce să solicităm această aprobare? Este Politica mea ca Operator și este publică. Cel mult pot să fac o trimitere de informare a faptului că datele personale colectate prin intermediul formularului sunt procesate doar pentru scopul pentru care au fost colectate, conform Politicii de confidențialitate.

Lipsa de granularitate în solicitarea acordului – există un exces de utilizare a Interesului Legitim, ca bază legală pentru prelucrările de marketing, care în plus implică și terții, fără o abordare granulară a tipurilor de activități care se înscriu în această categorie de activități de procesare.

Abuzul de granularitate – se afișează pagini pop-up granulare, cu posibilitatea stabilirii de opțiuni, dar care apar cu casete de acceptare pre-bifate – o contradicție gravă a regulilor de solicitare/ obținere a consimțământului în spiritual GDPR.

Consimțământ condiționat fără posibilitate de opt-aut – marea majoritate a barelor de cookies oferă doar opțiunea de OK, cu condiționarea navigării în continuare de alegerea acestei opțiuni. Așa cum am subliniat și la prezentarea din cadrul GDPR Talks, nu tot ceea ce vechea lege ePrivacy permite, este acceptabil din punct de vedere GDPR, unde consimțământul de utilizare de cookies nu trebuie să fie condiționat de accesul la conținutul paginii. Desigur că utilizatorul trebuie să știe care sunt consecințele neacceptării de cookies, dar asta trebuie să fie opțiunea lui liber consimțită. Mai mult de atât, GDPR ne învață că un consimțământ obținut printr-un anumit procedeu, trebuie să poată fi retras la fel de simplu. Adică dacă pun pe bara de cookies o casetă de Accept, e absolut recomandabil să ofer și posibilitate de opt-out, prin afișarea unei casete de Reject.

Protecție vs. Securitate – există un grad ridicat de confuzie între securitatea datelor și protecția datelor personale. Protecția datelor implică ansamblul măsurilor ce pot fi luate pentru a le restabili în caz de pierdere sau de corupție. În timp ce securitatea datelor se referă la mecanismul de păstrare a datelor în siguranță, de la accesul și distribuirea neautorizate. Securitatea datelor protejează datele de accesul neautorizat care ar putea duce la corupția sau ștergerea datelor, În cazul în care strategia de securitate a datelor nu reușește, protecția datelor facilitează recuperarea copiilor de date curate.

Incidente vs. Breșe de securitate – În același timp, există confuzia între incidente de Securitate și breșe (sau încălcări ale datelor). Un incident poate fi orice eveniment care încalcă politicile de securitate sau de confidențialitate ale unei organizații și poate fi orice, de la o defectarea unei unități de memorie, la pierderea unui laptop ce conține baze de date personale. O încălcare a datelor, pe de altă parte, este un eveniment care a condus la o pierdere sau un furt de date, gravitatea pierderii fiind cuantificată de volumul și importanța datelor afectate. Prin Art.33 GDPR obligă organizațiile să raporteze o încălcare a datelor în maxim 72 de ore de la conștientizarea breșei, recomandând elaborarea unui plan de breșe și organizarea unei echipe de răspuns la încălcarea datelor. Una dintre îndatoririle acestei echipe este să țină o evidență strictă a incidentelor de Securitate, în ideea de a putea asocia ulterior apariția unei breșe de vulnerabilitatea sistemului care a condus la apariția ei.

Pot fi rezolvate toate aceste probleme? Cu siguranță că da, cu condiția ca toți cei implicați să își înțeleagă și să își asume responsabilitatea. Succesul unui proiect GDPR pe termen lung se bazează pe crearea unei culturi la nivel de organizație, în care oamenii se gândesc în primul rând la modul în care ar dori ca informațiile lor personale să fie procesate. Companiile trebuie să adopte această atitudine atunci când manipulează datele personale ale clienților, ale angajaților și ale altor subiecți. Nu este vorba doar despre amenințarea cu sancțiuni financiare. Este vorba de continuitate în business și de construirea unei atitudini de încredere.

AȘTEPTĂM PRIMA AMENDĂ SAU NE OCUPĂM DE CONFORMITATE ÎNAINTE SĂ NI SE ÎNTÂMPLE CEVA?

Pe 21 Mai, la hotelul Pullman, GDPR Talks organizat de agenția Concord Communication a fost unul dintre primele evenimente organizate în această săptămână care au avut ca temă  fenomenului GDPR din Romania, după un an de la intrarea in vigoare. Panelurile au fost gândite în așa fel încât sa acopere cât mai bine largul spectru de probleme care ne-au dat bătaie de cap, invitând la discuții oameni care vin din diferite culturi, cu diferite experiențe, din mediul public sau privat, reprezentând companii mai mari sau mai mici, asociații profesionale sau consultanți independenți, dar toți animați aceeași dorință de a împărtăși din propriile experiențe.

Primele două paneluri de discuții au abordat realizările și dificultățile GDPR din perspectiva sectorului public si a celui privat. Al treilea panel a fost o premieră pentru Romania, abordând tematica Digital Ethycs, o temă de care se va vorbi tot mai mult, pe măsura asimilării noilor tehnologii, care vin cu noi riscuri pentru protecția datelor personale și a drepturilor și libertăților fundamentale.

Din stanga: Yugo Neumorni, Nelu Munteanu, Catalin Giulescu, Simona Zanfir

Sectorul Public între penuria de specialiști și relaxarea generată de lipsa amenzilor

Panelul de discuții dedicat evoluției GDPR din perspectiva sectorului public, pe care am avut bucuria să îl moderez, s-a bucurat de o participare numeroasă și reprezentativă: Simona Zanfir – Consilier Birou Juridic ANSPDCP, Cătălin Giulescu – Specialist GDPR, Nelu Munteanu – Director Tehnic CERT.RO, Yugo Neumorni – Președinte CIO Council România, Silvia Axinescu – Senior Managing Associate Reff & Associates / Deloitte Romania, Iurie Cojocaru – Managing Associate CIPP/E NNDKP și Marius Dumitrescu – Președinte Asociația Specialiștilor în Confidențialitate și Protecția Datelor România.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a fost reprezentată de Doamna Simona Zanfir, consilier Birou Juridic și Comunicare, care a făcut o trecere în revistă a activității ANSPDCP în ultimul an:

  • Legea nr. 129/2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înființarea, organizarea şi funcționarea ANSPDCP, precum şi pentru abrogarea Legii nr. 677/2001
  • Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679.
  • Decizia nr. 99/2018 privind încetarea aplicabilității unor acte normative cu caracter administrativ emise în aplicarea Legii nr. 677/2001.
  • Decizia nr. 128/2018 privind aprobarea formularului tipizat al notificării de încălcare a securității datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679
  • Decizia nr. 133/2018 privind aprobarea Procedurii de primire și soluționare a plângerilor
  • Decizia nr. 161/2018 privind aprobarea Procedurii de efectuare a investigațiilor
  • Decizia nr. 174/2018 privind lista operațiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal.

Așteptate cu mult interes de către participanți au fost datele statistice legate de activitatea Autorității:

  • 391 încălcări de securitate a datelor notificate până la 17 mai 2019, investigate în totalitate.
  • 69 investigații efectuate ca urmare a sesizărilor primite
  • 456 investigații efectuate la plângerile persoanelor vizate de către Autoritate până la 01 mai 2019
  • 9335 DPO înregistrați la Autoritate până la data de 1 mai 2019

O prezență deosebită în primul panel a fost Cătălin Giulescu, pe care l-am invitat nu pentru funcția și poziția sa actuală, ci pentru experiența de peste 15 ani acumulată în domeniul protecției datelor personale. Cătălin este printre primii specialiști în protecția datelor din România, este DPO certificat de EIPA și a fost coordonatorul echipei tehnice care a gestionat negocierile la nivel european pentru elaborarea și adoptarea GDPR. Principalul sfat al lui Cătălin Giulescu pentru toți participanții a fost să nu ne lăsăm copleșiți de complexitatea unei situații și să încercăm să abordăm dificultățile cu calm: ”Un process de obținere a conformității GDPR este un fenomen extrem de complex și de fluid și fiecare etapă sau problemă trebuie abordată cu mult calm”. Cătălin a răspuns la un mare număr de întrebări venite din sală și chiar din partea celorlalți paneliști, dezamorsând una dintre cele mai critice probleme, aceea a aplicării unui sistem diferit de penalizare pentru organizațiile din sectorul public și privat. Exista falsa impresie că această situație se regăsește numai în România,   În realitate, acest sistem a fost gândit chiar la nivelul Uniunii Europene, ca o consecință a capacității restrânse de adaptare la risc ce se manifestă în sectorul public.

Începând din data de 2 mai 2019 a devenit disponibil numărul unic 1911 pe care Centrul Național de Răspuns la Incidente de Securitate Cibernetică îl pune la dispoziție pentru raportarea incidentelor de Securitate. Nelu Munteanu, director tehnic la CERT.RO ne-a oferit câteva detalii despre înființarea acestui call-center care poate oferi o asistență primară și consiliere persoanelor fizice, juridice și instituțiilor publice care raportează incidente de Securitate cibernetică. Din perspectiva GDPR, care vine cu obligativitatea ca fiecare organizație să aibă un plan de raportare a breșelor și o echipă de intervenție în caz de breșă, existența acestui serviciu de urgență specializat oferă operatorilor de date personale posibilitatea efectuării unei analize mult mai exacte cu privire la natura incidentului și amploarea lui, ajutând la luarea deciziei de notificare a breșei către Autoritate, atunci când este cazul, în termenul de 72 de ore hotărât. Nelu Munteanu a prezentat și alte activități și proiecte de conștientizare în care este implicate CERT.RO, precum supervizarea aplicării NIS în România, dar și buna colaborare cu Autoritatea și alte instituții publice și private pentru creșterea gradului de Securitate în spațiul cibernetic.

Printre cei mai profund implicați în problemele ridicate de GDPR sunt directorii informatici, care se află în prima linie în continua bătălie cu atacurile cibernetice dar și cu asigurarea măsurilor interne de reducere a vulnerabilităților datorate erorilor umane. Yugo Neumorni, Președinte CIO Council România s-a referit la preocupările concrete ale asociației profesionale a directorilor informatici, care în ultimii doi an a derulat o serie de proiecte speciale destinate asigurării condițiilor optime de securizare și eficientizare a sistemelor informatice. Există, din păcate, destule organizații în care aplicarea GDPR este percepută în mod eronat ca fiind o responsabilitate exclusivă a CIO când aceasta aparține, în realitate, Board-ului. Din perspectiva CIO, fenomenul GDPR aduce o mare provocare profesională și mult stres, dar și un sprijin și o argumentație în plus la constituirea bugetelor IT” a apreciat Yugo Neumorni. Una dintre marile probleme ridicate de GDPR este asigurarea efectivă a dreptului la ștergere a datelor personale ale unei persoane vizate. Se știe foarte bine că este destul de dificil din punct de vedere tehnic și costisitor, în același timp, să se asigure ștergerea unor seturi de date în cazul unor sisteme informatice, în marea lor majoritate heterogene, unde sistemele de backup sunt implementate pe diferite nivele și, evident, în diferite locații. Specialiștii așteaptă elaborarea unor seturi de recomandări care să faciliteze efectuarea operațiunilor necesare în cazul în care e nevoie să se răspundă la solicitări de acest fel.    

Radu Crahmaliuc, Marius Dumitrescu, Silvia Axinescu, Iurie Cojocaru

De la aspectele tehnice s-a trecut în mod natural la cele legale, ce pot fi însoți uneori cauze tehnice, precum procedurile asociate administrării multivalente a incidentelor de Securitate și rolul analizelor de impact în asigurarea conformității. Silvia Axinescu, Senior Managing Associate la Reff & Associates / Deloitte Romania a prezentat o interesantă abordare a utilității analizei de impact în cazul adoptării de noi tehnologii sau procese ce ar putea induce riscuri majore pentru securitatea datelor personale. O importanță apare o au și analizele de tip LIA (Legitim Interest Analyse) care sunt absolut obligatorii în cazurile în care legitimul interes este principalul temei legal la prelucrarea de date personale și unde trebuie menținută în permanență balanța între ceea ce pentru operator este un interes legitim, iar pentru persoana vizată un drept de asigurare a drepturilor și libertăților fundamentale. Iurie Cojocaru, Managing Associate la casa de avocatură NNDKP  a făcut o scurtă trecere în revistă a măsurilor organizatorice ce trebuie adoptate pentru reducerea riscurilor de apariție a unor incidente de Securitate, printre care și cele asociate instruirii corecte a angajaților și implementării politicilor și normelor interne. Sunt situații în care riscul apariției unor incidente de Securitate este datorat în proporție de peste 60-70% unor vulnerabilități interne, asupra cărora se poate acționa.

O prezență activă la organizarea și desfășurarea evenimentului a avut-o asociația profesională a DPO, reprezentată la discuțiile primului panel de Marius Dumitrescu, Președinte Asociația Specialiștilor în Confidențialitate și Protecția Datelor România, iar în sală de o numeroasă delegație de membrii ai asociației. Obiectivul ASCPD este de a oferi soluții concrete la problemele cu care se confruntă specialiștii în confidențialitate și protecția datelor, de a crește gradul de conștientizare a legislației și de a oferi membrilor săi un forum în care aceste subiecte să poată fi dezbătute, precum și un loc de pregătire profesională continuă. ASCPD militează pentru îmbunătățirea gradului de conștientizare cu privire la tehnologiile și legile care pun în pericol viață privată, pentru a se asigura că publicul este informat și implicat. Una dintre problemele ridicate de Marius Dumitrescu în cadrul discuțiilor din panel a fost cea legată de persoanele care sunt puse în postura de a activa ca DPO prin numirea conducerii și care nu posedă cunoștințele obligatorii necesare pentru exercitarea acestei funcții sau se află într-un posibil conflict de interese.

Sînziana Oghina, Bogdan Manolea, Ciprian Timofte

În Privat totul se vede altfel și orice risc poate deveni fatal pentru business

Așa cum anunțam în programul conferinței, al doilea panel a avut ca obiectiv realizarea unei perspective asupra GDPR din unghiul de vedere al mediului privat. Fiecare dintre invitații prezenți la discuții acumulează o bogată experiență în proiecte de implementare sau educație legate de GDPR, ceea ce a permis asigurarea unui climat de discuții deschis, colocvial, unde chiar diferențele de opinii au fost prezentate într-o manieră constructivă: Sînziana Oghină – Avocat Medlife, Ciprian Timofte – Managing Associate Țuca Zbârcea & Asociații, Bogdan Manolea – Trusted.ro, Daniel Suciu – Consultant GDPR, DPO Extern, iar ca moderator Tudor Galoș – ECPC-B DPO, Senior Consultant GDPR

Sînziana Oghină, Avocat Medlife a prezentat câteva dintre experiențele în domeniul privat, unde companiile mari au fost nevoite să ia mult mai în serios provocările GDPR. Cu toate eforturile pentru conformare depuse, elaborarea unor proceduri și a unor politici cu resurse interne sau externe și comunicarea acestora către angajați nu asigură conformitatea organizației. ”O soluție pentru o eficientă implementare și funcționare a Regulamentului este o mai buna informare, poate chiar organizarea unor workshopuri din partea Autorității, deoarece Regulamentul lasă multe locuri de interpretare”, a spus Sînziana Oghină.

Ciprian Timofte, Managing Associate, Țuca Zbârcea & Asociații a pus accentual pe necesitatea elaborării unor strategii la nivel de organizație, care să urmărească asimilarea regulilor și procedurilor la nivel intern. Din discuții a reieșit dificultatea acestui demers, oamenii fiind în general reticenți la schimbare. Constatare susținută cu exemple din situații reale și de ceilalți paneliști. O altă zonă de activitate importantă care a fost destul de puternic influențată de GDPR este marketingul. Noile condiții de obținere a consimțământului corelate cu obligativitatea respectării principiilor  promovate de GDPR determină departamentele și organizațiile de marketing să adopte o nouă disciplină, în care pe primul loc se găsește persoana vizată.

Bogdan Manolea – co-fondator Trusted.ro și Director Executiv al asociației pentru Tehnologie și Internet, a venit cu perspectiva provocărilor din zona de comerț electronic, unde există un cumul de norme, directive și regulamente ce guvernează funcționarea magazinelor online. Deși aici lucrurile par mai simple decât în alte zone de business, fiind vorba de Internet, totul ține de transparență, dar tocmai necesitatea respectării acestui principiu ridică o serie de mari probleme pentru cei care nu sunt pregătiți pentru asta, crezând că orice se poate posta pe Web. Marca de Încredere TRUSTED.ro este un program special de atestare dedicat magazinelor online și site-urilor profesionale. Cum  Internetul este un mediu transnaţional, iar reglementările legale pentru protecţia consumatorului nu pot fi singurul element care aduc dezvoltarea afacerilor online, sprin programele initiate și dezvoltate de Trust.ro se încearcă implicarea activă a mediului de afaceri în creşterea încrederii în domeniul în care activează. Chiar prin directiva privind comerţul electronic s-a încercat stipularea acestui lucru prin promovarea codurilor de conduită şi a metodelor extra-judiciare de rezolvare a disputelor ca opțiuni ce pot creşte comerţul electronic.

Daniel Suciu, Tudor Galos

Daniel Suciu – Consultant GDPR, DPO Extern are o bogată experiență în zona de protecție a datelor personale, atât la nivel de corporații, cât și pentru companii mici și mijlocii. Prin tot ceea ce face, Daniel încearcă să faciliteze accesul la informația generală, punând accentul pe aspectele practice din activitățile de zi cu zi, cu o grijă deosebită pentru detalii. Toate intervențiile susținute de Daniel au demonstrat o reală capacitate de transpunere în rolul clientului și de identificare cu cerințele acestuia. Una dintre temele de discuție de interes general a fost legată de provocările speciale cu care GDPR vine pentru companiile mici și mijlocii, care teoretic nu dispun de resursele necesare pentru investiții în tehnologie, fiind la fel de expuse la riscuri precum companiile mari. ”Soluții și abordări există pentru orice organizație implicată într-un proces de prelucrare a datelor personale. Diferența aici este că dacă sunt conștienți de amploarea acestor provocări pentru continuitatea în business, managerii unor companii mici sunt mult mai deschiși și mai dispuși să se implice direct în eforturile de asigurare a asigurare a conformității”, a spus Daniel Suciu..

Având rol de moderator, dar răspunzând aici și la câteva întrebări, Tudor Galoș a condus cu mult aplomb discuțiile, chiar dacă paneliștii aveau păreri total diferite. Tudor vine cu experiența unor mulți ani lucrați într-o mare corporație, dar și cu abilități acumulate în ultima perioadă, de când și-a deschis propriul cabinet de consultanță pentru business transformation și GDPR.

Catalin Gligan, Andreea Lisievici

Despre Etica Digitală din perspectiva unei noi generații de tehnologii de graniță

În premieră pentru evenimentele GDPR din România, cel de-al treilea panel a avut ca temă majoră modul în care transformările digitale respectă principiile GDPR și drepturile noastre fundamentale, adică articolele Art. 7 (Respectarea vieții private și de familie) și Art. 8 (Protecția datelor cu caracter personal) din Carta Drepturilor Fundamentale a UE. Revoluția digitală vine cu siguranță cu o grămadă de lucruri benefice, dar și cu foarte multe semne de întrebare legate de modul în care tehnologiile de graniță precum Cloud Computing, BigData, Analytics, IoT , Blockchain sau Inteligența Artificială pot garanta drepturile fundamentale ale utilizatorilor. În același timp, protecția datelor nu se face doar prin adoptarea de politici. Un rol de bază îl au și tehnologiile. Dar, e bineștiut: orice nouă tehnologie vine cu noi provocări, cu noi vulnerabilități de securitate care nu au apucat încă să fie studiate și evaluate. Cât este de importantă analiza de impact în adoptarea de noi soluții și ce se înțelege de fapt prin conceptele By Design si By Default?

În deschiderea discuțiilor legate de etica digitală, Cătălin Gligan – Marketing Coordonator la ESET Romania a prezentat un studiu de piață realizat de IDC pentru compania ESET. Au fost prezentate de asemenea și o serie de considerente care recomandă soluțiile ESET Data Loss Prevention pentru endpoint și pentru rețea ca alternative viabile pentru asigurarea prevederilor stipulate în Art.32 din GDPR, prin care operatorii și procesatorii de date sunt obligați să adopte și să implementeze măsuri tehnice şi organizatorice adecvate pentru garantarea securității datelor personale.

Ca invitați pentru acest panel i-am avut pe Andreea Lisievici, CIPP/E, partener PrivacyONE unul dintre cei mai activi specialiști GDPR în social media și pe Tudor Galoș, iar Cătălin Gligan a avut ocazia să răspundă unor întrebări din public legate de caracteristicile și funcționalitățile soluțiilor ESET. Discuțiile în cadrul panelului au pornit de la necesitatea ca orice nouă tehnologie revoluționară și disruptivă să servească în primul rând omului. Nu va exista niciodată un pericol real și critic de a fi înlocuiți în totalitate de roboți, drone și mașini care învață singure. Andreea a făcut o serie de comentarii extrem de pertinente legate de capcanele abordării greșite a unei politici de cookies și ce trebuie să conțină o informare corectă despre folosirea acestora, dar neuitând să facem același lucru pentru toate tehnicile de urmărire a unor parametrii ce reflectă locația sau preferințele noastre de consumatori. Un alt pericol sesizat de Andreea este cel al dispariției treptate a siteurilor care se bazează pe publicitate online, ca unică  sursă de finanțare. Alte teme discutate în care s-a implicat activ și Tudor se referă la așa zisa incompatibilitate între tehnlogia Blockchain și GDPR și la boomul pe care îl înregistrează tehnlogiile de Inteligență Artificială și refuzul de utilizare a tehnicilor de Recunoaștere Facială.

Conținutul prezentării ESET și rezultatele analizei de conformitate GDPR pentru politicele publicate pe website vor fi prezentate în alte articole dedicate.

Concluzionez acest articol cu un comentariu la întrebarea generală pusă tuturor participanților: Cum vedeți evoluția GDPR la noi în țară în anul care a trecut de la intrarea în vigoare? Cam toată lumea a fost de acord că scăderea bruscă de interes din ultimele 4-5 luni este un fenomen general. Cu toții am constatat că cei care au apucat să facă ceva pentru apropierea de un nivel ideal de conformitate s-au mulțumit cu ce au făcut, iar cei care nu au făcut mai nimic, își văd liniștiți de treabă văzând că nu pândește niciun pericol iminent. De altfel, în prezentarea Autorității s-a confirmat faptul că până acum nu au fost acordate amenzi, ci doar avertismente și măsuri corective.

Ce trebuie făcut ca să mai mișcăm lucrurile? Au fost păreri că apariția amenzilor ar redeștepta spiritele și ar pune lumea pe jar. Putem să ne mulțumim cu asta? Prea seamănă cu povestea cu drobul de sare…  

Photo Credit: Toate imaginile utilizate în acest articol aparțin Concord Communication

O ANALIZĂ GAP A CONFORMITĂȚII ÎN ROMÂNIA DUPĂ 1 AN DE GDPR

La un an de la  intrarea în vigoare a GDPR, agenția Concord Communication și GDPR Ready Initiative vă invită la un eveniment dezbatere ”GDPR Talks ce abordează o temă foarte fierbinte: Cât de pregătiți suntem la un an de la intrarea în vigoare a  noului regulament?”. Vă așteptăm pe 21 mai 2019 la hotelul Pullman să discutăm despre ce s-a făcut bine, ce s-a făcut rău, dar mai ales despre ce se mai poate face.

”Ce ați făcut în ultimul an?” Ar trebui să fie o întrebare obligatorie pentru toți cei implicați în activități legate de asigurarea conformității pentru protecția datelor personale. Dar pentru mulți decidenți, în special din zona organizațiilor publice, întrebarea ”cea grea” ar trebui să fie: ”Ce ați făcut în ultimii trei ani, stimabililor?” Mai trebuie să explic de ce…?

Panelurile de discuții pe care le-am gândit vor încerca să asigure climatul corespunzător pentru o analiză lucidă a realităților asociate cu nivelul de conformitate la care au ajuns operatorii de date personale. Au răspuns la invitația noastră de a participa ca speakeri un mare număr de specialiști, reprezentanți ai autorităților publice, asociațiilor profesionale, avocați, profesioniști, consultanți, specialiști în securitatea informației și furnizori de soluții cybersecurity. Din păcate, această perioadă fiind foarte încărcată cu evenimente, nu toți cei pe care i-am invitat au avut posibilitatea să participe la conferință. Unii dintre aceștia vor putea să-și aducă contribuția prin proiectele editoriale pe care vrem să le derulăm după evenimentul din 21 Mai.

Primul panel va avea ca tematică generală viziunea asupra GDPR din perspectivă publică. Reprezentanți ai autorității de supraveghere, organizații guvernamentale, asociații profesionale și case de avocatură vor avea greaua misiune de a crea o radiografie a modului în care principiile GDPR și drepturile persoanelor vizate sunt respectate în spațiul public. Grea misiune și pentru Moderator…

Al doilea panel, cum era și firesc, va oferi în contra-partidă o perspectivă asupra GDPR din unghiul de vedere al mediului privat. Aici am avut în vedere invitarea unor profesioniști, care indiferent de experiențele anterioare sunt acum capabili să răspundă unor întrebări pragmatice legate de strategiile de abordare a GDPR: greșeli și reușite în adopția GDPR, aspecte practice legate de proiectele de aliniere, recomandări oferite de oameni cu sute de ore de experiență în proiecte, aspecte legale și procedurale de care trebuie să țineți seama, recomandări de la specialiști care activează ca DPO sau erori frecvente legate de conformitatea GDPR a politicilor publice de pe paginile de Internet.

Până acum, se pare că vom acoperi cam tot. Ar mai fi nevoie de ceva? Păi, cam da… Dacă ne gândim care este unul dintre motive care a condus la actualizarea vechii directive europene din 1995 ar cam fi nevoie să facem legătura cu tehnologia. Dar nu oricum… E plină piața de oferte de soluții, care de care mai atotcuprinzătoare și rezolvatoare a tuturor problemelor pe care le ridică GDPR. Am simțit nevoia de ceva mai mult…

Și astfel, în premieră pentru evenimentele din România, cel de-al treilea panel va avea ca temă Etica Digitală, mai exact modul în care transformările digitale respectă principiile GDPR și drepturile noastre fundamentale. Revoluția digitală vine cu siguranță cu o grămadă de lucruri benefice, dar și cu multe semen de întrebare legate de modul în care tehnologiile de graniță precum Cloud Computing, BigData, Analytics, IoT , Blockchain sau Inteligența Artificială pot garanta drepturile fundamentale ale utilizatorilor. În același timp, protecția datelor nu se face doar prin adoptarea de politici. Un rol de bază îl au și tehnologiile. Dar, e bineștiut: orice nouă tehnologie vine cu noi provocări, cu noi vulnerabilități de securitate care nu au apucat încă să fie evaluate. Cât este de importantă analiza de impact în adoptarea de noi soluții și ce se înțelege de fapt prin By Design si By Default?

Aveți un interes special pentru GDPR?
Vreți să știți ce s-a făcut bine anul ăsta și ce nu?
Aveți întrebări la care nu a știut nimeni să vă răspundă?
Veniți la eveniment și veți putea discuta cu cei care știu…

Mai aveți încă dubii dacă trebuie să veniți? Nu uitați că evenimentul va fi exact peste O SĂPTĂMÂNĂ!  Hotelul Pullman. La Piața Presei, lângă World Trade Center.

AICI GĂSIȚI FORULARUL DE ÎNREGISTRARE

 

Errare humanum est. Sed perseverare diabolicum…

Cele mai frecvente erori umane ce pot afecta securitatea datelor personale

Un studiu Osterman Research arată că mai puțin de jumătate (42%) dintre organizațiile participante și-au instruit angajații cu privire la Regulamentul general privind protecția datelor (GDPR), de la intrarea acestora în vigoare. Este bine cunoscut faptul că lipsa de pregătire crește riscul de erori umane care pot duce la încălcări ale datelor. Vom analiza în continuare cele mai frecvente erori ale utilizatorilor și măsurile de prevenire pe care organizațiile ar trebui să le ia pentru a atenua daune potențiale.

  1. Credibilitatea ca expunere la Phishing

Ce se întâmplă: Phishingul și falsa identitate reprezintă 93% din încălcările legate de ingineria socială, iar e-mailul este cea mai vulnerabilă cale de atac (96%). De la scrisorile ce anunță câștiguri la loterie, la schimbarea conturilor bancare pentru plățile pentru furnizori, tentativele de înșelăciune ce urmăresc obținerea unor date confidențiale, parole de acces pentru aplicații de tip bancar, aplicații de comerț electronic, date despre cardurile de credit, tehnicile de manipulare a identității unei persoane sau a unei instituții se remarcă printr-o mare diversitate și, de ce nu, printr-o oarecare doză de ingeniozitate.

Vorbind despre companii, principala cauză pentru vulnerabilitatea angajaților în fața acestui gen de capcane este cât se poate de simplă: lipsa de instruire. În practica de consultanță am întâlnit destule organizații care nu numai că nu au o politică de IT, dar nici angajații nu au beneficiat de o instruire elementară. Alte organizații se ocupă de instruirea IT numai la angajare, neglijând importanța continuității și actualizării informațiilor, pe măsură ce tehnologiile de manipulare evoluează. Pe de altă parte, niște cursuri de pregătire extrem de tehnice pot devin plictisitoare. Cea mai eficientă metodă este cea a scenariilor scurte, în timpul ședințelor de team-building, în care angajații sunt puși în fața unor situații concrete, din lumea reală care arată pericolele reale ale atacurilor de inginerie socială.

Ce se poate face: Pe lângă elaborarea și diseminarea politicilor de Securitate IT, angajații trebuie să fie instruiți tot timpul, la intervale de timp periodice, într-o manieră cât mai interactivă, care să faciliteze asimilarea informațiilor.   Desigur, nici asta nu poate fi o garanție. Potrivit cercetărilor, 4% dintre oameni fac întotdeauna clic pe un atașament suspect. Prin urmare, este necesar să executați periodic teste de simulare a unor atacuri de phishing, pentru a verifica dacă antrenamentul a fost eficient și dacă angajații respectă cele mai bune practici și politici de securitate. Asta în paralel cu implementarea de instrumente de filtrare anti-spam pentru a reduce riscul și mai mult.

  1. Accesul neautorizat la resursele organizației

Ce se întâmplă: 55% dintre adulții care sunt angajați ai unei organizații permit ca membrii familiei sau prietenii să aibă acces la resursele de comunicare sau de calcul la domiciliu. Orice membru ale familiei sau orice prieten poate avea acces involuntar sau intenționat la date sensibile, precum listele de clienți și furnizori, conturile bancare ale organizației sau datele despre conducere și coleg. Ce este mai rău, există pericolul real ca un intrus să descarce programe malware care ar putea permite accesul la datele corporative, aplicațiile cloud și spațiile de stocare.

Ce se poate face: Introducerea ca element obligatoriu în Politica de Securitate a unor instrucțiuni cuprinzătoare privitoare la utilizarea resurselor de calcul și de comunicare ale companiei. Principala responsabilitate revine liderilor de departamente sau echipe, care trebuie să asigure punerea efectivă în aplicare a disciplinei de Securitate, vitală atât pentru siguranța datelor personale, dar mai ales a celor de business. O altă măsură recomandată este implementarea unor controale de securitate corespunzătoare pe dispozitive și sisteme, asigurarea faptului că toate dispozitivele sunt protejate prin parolă și autentificare multi-pas pentru toate dispozitivele și aplicațiile organizației. Există corporații care gestionează utilizarea propriilor dispozitive de către angajați prin Politica BYOD (Buy your own device), stabilind regulile de folosire a telefoanelor, tabletelor sau laptopurilor personale la locul de muncă, în deplasare sau acasă.

  1. Spune-mi cum îl cheamă pe cățelul tău ca să știu ce parolă ai

Ce se întâmplă: 66% dintre cei care nu utilizează un instrument de gestionare a parolei recunosc faptul că preferă să se întoarcă la parolele vechi. Aceasta poate fi o practică foarte riscantă, pentru că odată ce un cont este compromis, un atacator are acces la o varietate mai largă de active. Dincolo de reutilizarea parolei, alte riscuri includ utilizarea parolelor evidente (de ex. 12345678, abc, 1111 sau admin), lipsa unor politici de actualizare regulată și partajarea parolelor cu colegii de birou sau cu rudele.

Ce se poate face: În primul rând o instruire elementară a angajaților în legătură cu alegerea parolelor. Sunt firme care au astfel de prevederi în normele sau codurile interne de conduită. O politică de stabilire și actualizare a parolelor este obligatorie pentru orice organizație prelucrează date personale, fiind inclusă în politica generală IT. Orice instruire trebuie să înceapă cu un sfat elementar: ”Nu lipiți parolele de acces pe monitoarele PC-ului”…

4: Conturi privilegiate ca sursă de riscuri

Ce se întâmplă: Prin conturi cu privilegii ridicate se înțeleg acele conturi care beneficiază de o serie de facilități de acces la resursele companiei, precum conturile de top management sau cele de administrator de sistem. Sunt studii care relevă că cele mai folosite parole ale administratorilor de sistem sunt ”admin” sau ”12345678”. În alte cazuri, chiar dacă parola e destul de puternică, controalele de securitate pentru prevenirea utilizării necorespunzătoare sunt adesea inadecvate. Doar 38% dintre organizații actualizează parolele de administrare o dată pe trimestru; restul o fac mai rar. Dacă profesioniștii IT nu reușesc să actualizeze și să securizeze parolele conturilor privilegiate, atacatorii le pot sparge mai ușor și pot avea acces la rețeaua organizației.

Ce se poate face: O măsură preventivă absolut necesară este alocarea statutului de cont privilegiat doar atunci când este nevoie pentru executarea unor operațiuni administrative, În restul timpului, trebuie să funcționeze aceleași restricții de acces pe care le au toate celelalte conturi din organizație. Pare complicat, dar nu e: în loc să acordați drepturi administrative mai multor conturi, alocați privilegiile în mod selectiv, pe baza nevoilor necesare pentru anumite aplicații și sarcini și numai pentru o scurtă perioadă de timp în care acestea sunt necesare. De exemplu, este bine să se stabilească conturi administrative și salariale separate pentru personalul IT; conturile de administrator ar trebui să fie utilizate numai pentru a gestiona anumite părți ale infrastructurii.

  1. Livrarea greșită a unor mesaje critice

Ce se întâmplă: potrivit unui raport Verizon, livrarea necorespunzătoare este una dintre cele mai frecvente erori umane care poate conduce la vulnerabilități și breșe de date. O cifră alarmantă: 62% dintre erorile umane din domeniul asistenței medicale sunt reprezentate de erorile de expediere. Iată și un caz real: 250 de dosare medicale ale unor pacienți cu afecțiuni pulmonare au fost expediate de un spital din Scoția pe adresa unei bănci, în loc de cea a unei clinici de specialitate.

Ce e de făcut: Măsura cea mai elementară este criptarea tuturor documentelor ce conțin date sensibile și care sunt trimise prin e-mail. În plus, se pot folosi casete pop-up prin care îi atenționați pe expeditori să verifice de două ori adresa de expediere atunci când trimit date personale cu caracter special. O măsură mai sigură, dar puțin mai costisitoare este implementarea unei soluții de prevenire a pierderilor de date (DLP) care monitorizează un eveniment care poate duce la scurgerea de informații și care acționează automat, de exemplu, împiedicând utilizatorii să trimită date sensibile în afara rețelei de compania.

Concluzii

Vestea proastă este că erorile umane pot reprezenta cam 40-50% dintre sursele de vulnerabilitate care pot conduce la apariția unor breșe de Securitate. Restul de 50-60% e reprezentat de folosirea inadecvată a resurselor tehnice și de cauzele externe. Pericolul reprezentat de cauzele cu sursă umană este real. E perfect posibil ca o companie care e super protejată tehnologic în domeniul securității cibernetice, să fie vulnerabilă prin greșelile angajaților.

Vestea bună este că, fiind de natură internă, organizația poate adopta și implementa măsurile de control cele mai adecvate pentru reducerea sau chiar eliminarea surselor de vulnerabilitate datorate erorilor umane. Cu alte cuvinte, putem avea controlul asupra a 40-50% dinte cauze. Cum putem face asta? Prin adopția, implementarea și asimilarea politicilor interne la nivel de companie, care ne pot ajuta să reducem riscurile de breșă în mod adecvat. Căci un proiect de asigurare a conformității GDPR se bazează pe triada: OAMENI – PROCESE – TEHNOLOGIE.

Conform unuia dintre cele 7 principii PIA, o companie trebuie să fie Proactivă, nu Reactivă. Adică să țină cont de riscurile potențiale înainte ca acestea să se transforme în breșe. Pentru asta, orice organizație trebuie să-și îmbunătățească capacitățile de detectare a vulnerabilităților, astfel încât să poată răspunde cu promptitudine evenimentelor suspecte sau necorespunzătoare. Cum putem face asta? Prin soluții și metode de monitorizare a comportamentului utilizatorilor care să ne permită să urmărim activitatea tuturor utilizatorilor, inclusiv a celor care beneficiază de privilegii.

Dar cel mai important factor de prevenire a erorilor umane ale angajaților este sensibilizare acestora în legătură cu propria răspundere pentru siguranța datelor personale prelucrate. Cum putem face asta? Proiectând și implementând o adevărată cultură GDPR.

 

 

CÂT SUNTEM DE MULȚUMIȚI DE FUNCȚIA DE DPO?

Știm cu toții că funcția de responsabil cu protecția datelor personale ridică o serie de probleme, atât prin importanța rolului jucat în orice organizație, dar și prin caracterul său de noutate. Cum alegem un DPO, care este fișa postului, care sunt criteriile recomandate pentru selecția candidaților, ce condiții de muncă îi oferim, ce îi punem la dispoziție, cât de mult ne bazăm pe recomandările sale? Iată o serie de întrebări simple, dar esențiale pentru buna activitate, formarea profesională și demonstrarea eficienței activității de data protection officer.

Ce au făcut francezii?

Plecând de la aceste premise și de la faptul că autoritatea de supraveghere din Franța a înregistrat deja peste 18000 de DPO, Délégation Générale à l’Emploi et à la Formation Professionnelle (DGEFP) a demarat împreună cu Agenția pentru Formare Profesională a Adulților (l’Agence pour la Formation Professionnelle des Adultes – AFPA) un studiu care vizează o mai bună înțelegere a problemelor legate de ocuparea forței de muncă și competențele legate de punerea în aplicare a GDPR. Studiul acoperă condițiile reale de exercitare a acestei noi meserii, ținând cont de particularitățile specific formei de activitate: DPO intern, DPO intern mutualizat, DPO extern sau Profesionist responsabil cu protecția datelor. Chestionarele au fost la dispoziția celor interesați până la data de 15 aprilie 2019. Această inițiativă s-a bucurat de susținerea autorității reglementare a datelor din Franța și a CNIL (Comisia Națională pentru Informatică și Libertăți) și asociația franceză corespunzătoare protecției datelor (AFCDP).

Primele rezultate ale acestui studiu puse la dispoziție de CNIL oferă deja câteva răspunsuri foarte interesante:

  • La întrebarea “Credeți că recomandările dvs. sunt ascultate și sunt urmărite în mod regulat de managerul (managerii) dvs.?” 13% din specialiștii DPO interni au răspuns în mod surprinzător “Niciodată sau niciodată”, în comparație cu numai 8% dintre profesioniștii DPO externi care au dat același răspuns.
  • La întrebarea “În contextul misiunii unui DPO, credeți că ați luat în considerare cu succes respectarea GDPR de către managerii dvs.?” 18% dintre responsabilii DPO interni recunosc faptul că încă nu au reușit, în comparație cu doar 6% dintre cei care acționează ca DPO externi.
  • La întrebarea “Sunteți mulțumit de postul dvs. de specialist în protecția datelor?” 37% dintre cei care activează ca DPO interni și 45% dintre respondenții cu rol DPO extern apreciază că sunt “destul de mulțumiți”.

Ca o primă concluzie ce reiese din studiul întreprins de autoritățile franceze este faptul că un DPO extern are mult mai multă șanse să se impună într-o organizație și să poată influența evoluția acesteia către un stadiu ideal de conformitate.

A doua concluzie este, și nu ne miră deloc asta, că cel mai important factor de rezistență în transformarea unei organizații este chiar nivelul de management. Am zis că nu mă miră, pentru că exact aceasta este și una dintre concluziile personale în urma proiectelor de implementare și ale interacțiunilor cu cei pe care i-am instruit. Citiți articolul: ”10 SFATURI PENTRU MANAGERI, NU LĂSȚI PE MÂINE…”

Ce putem face ca să creștem procentajele eficienței activității de DPO într-o organizație?

În primul rând totul depinde de cel care asigură această funcție, fie că este angajat ”cu fișa postului”, supervizer GDPR pentru mai multe organizații, consultant DPO extern sau simplu responsabil cu adopția GDPR într-o companie. Un DPO trebuie să ia foarte în serios misiunea sa și să-și asigure în primul rând sprijinul din partea structurii de conducere. Orice efort de implementare GDPR este în primul rând un proiect, iar orice proiect trebuie să aibă un manager de proiect și un sponsor. Ori dacă tocmai sponsorul nu înțelege importanța alinierii la GDPR și nu susține echipa menită sa asigure acest lucru, atunci nici proiectul nu are șanse prea mari de reușită.

De aceea, crearea unei culturi GDPR într-o organizație trebuie să aibă în vedere, pe lângă asigurarea liantului în triada: legislație-organizare-tehnologie (L-O-T), sensibilizarea structurilor manageriale în susținerea eforturilor întregii organizații. Căci un proiect GDPR este bazat pe OAMENI – PROCESE – TEHNOLOGIE.

Ce vă propunem pentru a realiza o radiografie a nivelului de eficiență DPO în România?

Toți cei care activează ca DPO (intern, extern sau doar cu rolul de responsabil GDPR) sunt rugați să contribuie la realizarea unei EVALUĂRI A GRADULUI DE SATIFACȚIE DPO ÎN ROMÂNIA.

Pentru a participa la această EVALUARE sunteți rugați să completați Formularele de mai jos, menționând:

I. Cele mai importante 5 motive de satisfacție în activitatea GDPR în care sunteți implicați

II. Cele mai importante 5 motive de insatisfacție (la nivel de organizație)

III. Care sunt cele mai importante lucruri (intern și extern) de care aveți nevoie pentru eficientizarea activității dvs? (minim 2 recomandări)

Rezultatele acestei EVALUĂRI vor fi prezentate în cadrul Conferinței GDPR Talks din data de 21 Mai care are ca temă analiza fenomenului GDPR în România la un an de la intrarea în vigoare a GDPR. Toți cei care completează formularul vor primi Rezultatele acestei Evaluări.

Pentru Agenda și înscriere la conferință

APĂSAȚI AICI

Nu uitați să completați Formularul! Răspunsurile dvs. vor fi anonimizate. Adresa de e-mail este necesară doar în scopuri de comunicare.

 

Nota Confidentialitate: Datele Dvs. personale incluse in acest formular vor fi prelucrate doar in scopul pentru care au fost solicitate. Analiza răspunsurilor dvs. pentru Evaluare se face prin anonimizare. Citiți Politica de Confidentialitate.