Sari la continut

Vorbește cu Republica și ascultă editorialele audio

Vă mulțumim că ne sunteți alături de nouă ani Ascultați editorialele audio publicate pe platformă. Un proiect de inovație în tehnologie susținut de DEDEMAN.

Sunt expus, dar mă tratez? Pregătiți-vă pentru ziua de 25 mai 2018, când intră în vigoare Regulamentul pentru Protecția Datelor cu Caracter Personal

40 milioane de date despre carduri bancare și 70 milioane de date cu caracter personal au fost raportate în 2014 de Home Depot drept compromise în urma unui atac cu malware, același malware care în 2013 a atacat sistemele marelui retailer american Target, accesând sistemele companiei prin credențialele furate de la un furnizor de servicii care le asigura mentenanța aparatelor de aer condiționat.

Costul trimestrial suportat de Target ca urmare a acestui incident a fost estimat la 150 milioane de dolari americani. De altfel, un raport al Ponemon Institute estima costul mediu per incident de securitate cu compromiterea de date cu caracter personal la 3,79 milioane de dolari americani la nivelul anului 2015. Sunt doar câteva exemple de companii mari care, din lipsa unor măsuri minime de securitate și protectie a informației, au ajuns să piardă nu numai date cu caracter personal ale clienților și valoarea acțiunilor lor la bursă, dar în special credibilitate și bunul nume pe care și-l construiseră în zeci de ani de activitate.

Din această perspectivă, activitățile de evaluare și măsurare a riscului cu privire la prelucrarea și protecția datelor cu caracter personal necesare în pregătirea conformității cu noul Regulament General privind Protecția Datelor cu Caracter Personal trebuie privite în primul rând ca o oportunitate. În articolele anterioare, din 13 martie și din 27 martie, am sumarizat și exemplificat doar câteva dintre cerințele și efectele noului Regulament, care își produce efecte începând cu 25 mai 2018. Poate părea cinic să vorbești de oportunitate în condițiile în care Regulamentul prevede amenzi de până la 20 milioane de euro sau 4% din cifra de afaceri globală a unei companii, dar în realitate este un moment în care companiile, în special cele de dimensiuni medii și mari, ori cele care prelucrează în mod constant și la scară largă date cu caracter personal, ar trebui să ia foarte în serios această „curățenie de primăvară" în propriile sisteme și proceduri. 

Este nevoie de un proces planificat și structurat pentru a identifica ce tipuri de date colectează, pe ce baze legale, unde sunt stocate, care sunt sistemele de prelucrare a acestora, cum sunt administrate și protejate aceste date, cât de sigure sunt sistemele, rețele și PC-urile utilizate în prelucrarea lor, cum sunt administrate datele și accesul la acestea din interior sau exterior. Evaluarea stadiului actual al companiei față de cerințele Regulamentului este o etapă absolut necesară pentru a descoperi „găurile” din această matrice de conformitate, după care urmează implementarea acelor politici, procese, soluții legale și tehnice necesare pentru a atinge un nivel satisfăcător de conformitate cu cerințele Regulamentului și, nu în ultimul rând, sesiuni serioase de training a personalului. Periodic, toate acestea trebuie testate pentru a se asigura eficiența lor.

Un rol esențial atât în aceste etape pregătitoare, cât și în implementarea conformității îl joacă tehnologia. Regulamentul însuși face numeroase referiri directe sau indirecte la  tehnologie în cadrul celor 97 articole.  De exemplu, unul dintre principiile statuate în articolul 5 al regulamentului este acela ca datele cu caracter personal să fie prelucrate într-un mod care asigură securitatea adecvată, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale, prin luarea de măsuri tehnice și organizatorice corespunzătoare. Aspectul este mai departe detaliat în art 32 din Regulament care vorbește foarte clar de  obligația operatorilor de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare, dar și capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul unui incident de natură fizică sau tehnică. Articolul 25 vorbește despre „privacy by default and by design”, cu obligația de a pune în aplicare măsuri tehnice și organizatorice adecvate, precum pseudonimizare și criptare pentru reducerea la minim a datelor cu caracter personal prelucrate și a impactului în cazul în care acestea sunt accesate de persoane neautorizate. Accesul restricționat la date „on a need basis” pare evident pentru toți cei care se gândesc la accesul datelor, însă sunt multe exemple în care baze de date cu informațiile a milioane de clienți erau complet neprotejate sau foloseau credențiale standard, iar contul de administrator era partajat de către toți cei care accesau datele dinspre aplicații.

Nu în ultimul rând, utilizarea tehnologiei ar putea fi extrem de relevantă în a răspunde cerințelor de testare periodică a sistemelor și măsurilor organizatorice, precum și la obligațiilor de a documenta respectarea cerințelor de securitate și protectie. În momentul în care crește vizibilitatea asupra infrastructurii IT și a proceselor prin care datele sunt prelucrate, se pot defini rapoarte automatizate, reducându-se astfel atât timpul necesar obținerii informațiilor, cât și costurile asociate.

Articol scris în colaborare cu: Oana Terteleac, Windows Business Group Lead, și Alex Negrea, Technology Solutions Professional, Microsoft România. 

Urmăriți Republica pe Google News

Urmăriți Republica pe Threads

Urmăriți Republica pe canalul de WhatsApp 

Abonează-te la newsletterul Republica.ro

Primește cele mai bune articole din partea autorilor.

Comentarii. Intră în dezbatere
  • check icon
    Încă un punct de trecut în CV: era necesar, nu?
    • Like 0


Îți recomandăm

Orașul-fantomă de pe teritoriul Uniunii Europene. „O hartă cu linii și simboluri arbitrare, care hotărăsc cine e duşman şi cine prieten”

Sunt literalmente la doi pași de granița Uniunii Europene, dar atmosfera de pe străzi nu are nimic în comun cu cea dintr-o țară europeană. Din momentul în care am arătat pașaportul la punctul de trecere de pe strada Ledra, care leagă Nicosia locuită de grecii ciprioți de Nicosia turcă, lumea s-a schimbat brusc.

Citește mai mult

Marius Istrate -

România, dar și restul țărilor din Europa Centrală și de Est au o relație complicată cu ambiția. Suntem foarte buni la a fi tehnici, sceptici, adaptabili și rezilienți. Suntem mai puțin confortabili să spunem cu voce tare că vrem să construim companii care definesc categorii, creează bogăție, mențin talentul acasă și schimbă traiectoria economică a regiunii.

Citește mai mult

Maradona in 1984, la Napoli

Orice discuție pasională despre istoria fotbalului ajunge, mai devreme sau mai târziu, în același punct fix: eterna comparație Maradona vs. Messi. Este o dezbatere nesfârșită, subiectivă și plină de orgolii. Însă, dacă există un loc în lume unde opinia despre Diego are o greutate aparte, dincolo de orice raționament statistic, acela este Napoli. Maradona în 1984, Napoli/ Foto: Profimedia

Citește mai mult

Levion, trupa metal spiritual cosmic AI - We are one

Dacă până și muzica - care ar trebui să ne unească - a ajuns să ne dezbine, atunci e clar că în politică, religie, fotbal sau creșterea copiilor nici nu mai poate fi vorba de cale de mijloc, dialog sau „împăcare”. Iar, având în vedere că în prezent traversăm din nou o perioadă tulbure din punct de vedere social și politic, este un moment perfect să ascultăm o melodie cu un mesaj pozitiv și unificator: „We are one”.

Citește mai mult

Teste grila / sursa foto: Profimedia

Testele grilă, cu răspunsuri multiple sau alegere simplă, sunt extrem de populare în evaluarea modernă, datorită eficienței lor: pot fi corectate rapid, automatizat, și permit verificarea unui volum mare de informație într-un timp scurt. Cu toate acestea, ele au limite majore și pot deveni instrumente contraproductive, dacă sunt folosite exclusiv sau în domenii nepotrivite.

Citește mai mult