Conferința ISACA – 2019. Data privacy. Mission impossible. Sesiunea III
Pe 20 noiembrie a avut loc a treia ediție a Conferinței anuale a ISACA Romania Chapter: „Shaping cyber technology. The beauty and the risk”, organizată de ISACA (Information Systems Audit and Control Association) și de Revista CARIERE la Hotel Caro, București.
Conferința a reunit specialiști și lideri din tehnologie și din domenii adiacente. Împreună, aceștia au analizat și explorat numeroasele aspecte al evoluției tehnologice rapide, cu schimbările și provocările aferente.
Subiecte precum machine learning, robotică, inteligența artificială, digitalizare, transformare, confidențialitatea datelor, securitate cibernetică etc. sunt preocupările și provocările noastre de zi cu zi. Domeniul este complex și dinamic, implicațiile sunt majore, prin urmare este nevoie ca actorii relevanți să comunice, să se întâlnească, să analizeze, să exploreze și să găsească împreună răspunsuri și soluții funcționale, adaptate la realitatea în care trăim.
Viitorul nu mai este liniar, așadar este important să acționăm conștient și să nu neglijăm viteza, amplitudinea și impactul evoluției tehnologice, pentru a putea a evolua și noi, în consecință.
Citește și:
Conferința ISACA – 2019. Shaping cyber technology. The beauty and the risk. Sesiunea I
Conferința ISACA – 2019. Artificial Intelligence & Robotics. The good, the bad, the ugly. Sesiunea II
SESIUNEA III: Data privacy. Mission impossible
Confidențialitatea și protecția datelor este o temă permanentă de gândire și de discuție, atât pentru organizații, cât și pentru oamenii de rând. Există multe principii ghidatoare și reglementări legislative, dar acestea nu țin întotdeauna pasul cu evoluția tehnologiilor. În plus, oamenii și corganizațiile trebuie să înțeleagă corect legislația și conceptele aferente (viață privată, intimitate, confidențialitate, protecția datelor etc.) și să știe ce au de făcut pentru a asigura securitatea datelor, pentru a se proteja și pentru a-și asuma răspunderile ce le revin în acest sens.
Keynote speech – Speaker: Noriswadi Ismail, Managing Director, Ankura
Noriswadi Ismail a pus în discuție realizarea transferurilor de date la nivel internațional, a prezentat provocările și dificultățile aferente, a studiat situația la nivel mondial (Regatul Unit și Asia) și impactul acesteia asupra României.
Studiile indică o creștere majoră a numărului de atacuri de tip ransomware și a probabilității repetării producerii unor breșe de securitate. A scăzut, însă, timpul necesar identificării acestora. Cauza principală a producerii breșelor de securitate este factorul uman și procesele, iar costurile aferente continuă să crească.
Cybersecurity in the context of NIS and GDPR – Andrei Balint, CIPP/E, CIPM, CIPT, IAPP International Trainer, Romsym Data
Pe măsură ce organizațiile se orientează către modele digitale de afaceri, acestea generează o cantitate de date aflată în creștere exponențială, date care sunt partajate între organizații, parteneri și clienți. Informațiile digitale au o valoare din ce în ce mai mare pentru toate părțile implicate – inlcusiv pentru atacatori – ceea ce face ca protejarea datelor și securitatea cibernetică să fie extrem de importante.
Procesele și instrumentele utilizate pentru a preîntâmpina exfiltrarea datelor atenuează efectele datelor exfiltrate și asigură confidențialitatea și integritatea informațiilor sensibile.
Protecția acestor date se realizează cel mai bine prin aplicarea unei combinații între proceduri de criptare, protecție a integrității și tehnici de prevenire a pierderilor de date. Întrucât organizațiile continuă să migreze către cloud computing și accesul mobil, este important ca exfiltrarea datelor să fie limitată și raportată, diminuându-se, în același timp, efectele compromiterii datelor.
În acest sens, trebuie să fie cunoscute canalele unde se află datele, trebuie să fie monitorizat modul în care acestea sunt utilizate (in interiorul și în afara organizației) și să fie asigurată protecția datelor în timp real, pentru ca acestea să nu dezvăluite sau sustrase.
Third-Party Risk Management: Overcoming Today’s Most Common Security & Privacy Challenges
Speaker – Dominic Schmidt-Rieche, Privacy Consulting Manager of Central & Southern EMEA OneTrust
Gestionarea riscurilor aferente terțelor părți – cum sunt furnizorii – este o problemă globală ce cade sub incidența legilor și reglementărilor cu privire la confidențialitate, viață privată și securitate. Este nevoie de conceperea și implementarea unor proceduri care să garanteze buna funcționare a relației și colaborării dintre organizație și furnizorii săi.
Dominic Schmidt-Rieche a prezentat șase pași pentru automatizarea managementului riscurilor aferente terțelor părți: identificarea furnizorilor, schimbul de date, evaluarea și revizuire, diminuarea riscurilor, raportare și vizualizare, monitorizare.
How to react to data breaches – Radu Zmaranda, Associate, CIPP/E bpv Grigorescu Ştefănică
Obligațiile de securitate ale unei organizații nu se referă în exclusivitate la datele personale. SEste necesară implementarea de măsuri adecvate, care să permită detectarea rapidă a breșelor de Securitate. De asemenea, este necesară implementarea de controale la nivel organizațional, cere să permită reacția rapidă la producerea breșelor de securitate.
Organizațiile trebuie să-și cunoască obligațiile. În plus, în cazul producerii unei breșe de securitate, companiile trebuie să identifice și să informeze autoritățile competente – este posibil ca mai multe astfel de informări să fie obligatorii.
DLP System – a solution for GDPR data breach prevention? – Andreea Bira, Avocat, Reff & Associates SCA, Deloitte Legal in Romania; Adrian Bucur, Senior Consultant, Risk Advisory Department, Deloitte Romania
Sistemele de prevenire a pierderii datelor (Data Loss Prevention Systems – DLP) sunt o sabie cu două tăișuri. Pe de o parte, acestea sunt un mod foarte util de asigurare a securității datelor cu caracter personal și a informațiilor pe care le dețin. Pe de altă parte, însă, dacă nu sunt implementate corespunzător, acestea pot fi și o rețetă sigură pentru încălcarea prevederilor legale privind protecția datelor – pentru că sunt unul dintre cele mai intruzive mijloace de monitorizare a angajaților.
Dreptul la viață privată este recunoscut de Curtea Europeană a Drepturilor Omului și de Curtea de Justiție a Uniunii Europene, prin urmare angajatorul trebuie să ajungă la un echilibru între protecția datelor și respectarea dreptului angajatului la viață privată.
Astfel, organizațiile trebuie să asigure că prelucrarea datelor este realizată conform legii și să dispună de controalele organizaționale și tehnice aferente.
Un aspect important este stabilirea temeiului legal pentru prelucrarea datelor. Consimțământul poate fi un temi legal, dar nu întotdeauna. În cazul relației angajator-angajat, consimțământul angajatului rareori poate fi considerat liber acordat. Astfel, trebuie să existe un alt temei legal.
Pe de altă parte, orice prelucrare de date se bazează pe un interes legitim – care trebuie s fie supun unei analize de echilibru, pentru a ne asigura că interesul legitim nu este depășit de drepturile persoanelor vizate. în plus, datele aferente vieții personale a angajatului nu pot fi utilizate în scopuri profesionale (evaluarea performanței, promovare etc).
Un aspect important este și transparența – angajaților trebuie să li se comunice, pentru ca aceștia să înțeleagă în ce măsură sunt monitorizați, în mod real. Astfel, procedurile greoaie, informațiile stufoase, greu de înțeles sau accesat nu reprezintă o probă și nu răspunde cerințelor referitoare la transparență. Informarea trebuie să fie clară, concisă, la obiect.
Toate cele de mai sus trebuie să fie definite clar de către organizație, prin politici și proceduri clare. În acest proces ar fi utilă implicrea responsabilului cu protecția datelor (Data Protection Officer – DPO). În plus, înainte de definirea acestor proceduri, trebuie făcută o analiză de risc cu privire la încălcarea dretului la viață privată, pentru a respecta cerințele GDPR care prevăd „privacy by design, nu privacy by default”.
Este important ca datele să fie defalcate în măcar două categorii, cu atenție specială acordată datelor sensibile. În ce privește păstrarea datelor în sistem, acestea ar trebui să fie șterse după 30 de zile și ar fi de preferat ca această operațiune să fie automatizată. Ar trebui să existe și proceduri privind notificarea autorităților în cazul unei breșe de securitate. Trebuie să fie semnate acorduri de protecția datelor cu furnizorii și terțele părți și să fie făcută o analiză de risc și în acest sens.
Transparența este foarte importantă. Acordarea semnăturilor nu este suficientă, oamenii trebuie să înțeleagă acele reguli și proceduri. Ar fi utile niște programe de awareness în acest sens, în care să fie incluși și tehnicienii care operează soluția DLP, pentru ca aceștia să înțeleagă în ce fel acele reguli afectează viața angajaților. Aceste politici trebuie să fie incluse fîn procesul de change management.
Panel – Data privacy. Mission impossible
În cadrul acestei sesiuni, panelul de discuții a fost format din:
- Dominic Schmidt-Rieche, Privacy Consulting Manager of Central & Southern EMEA OneTrust;
- Andreea Bira , Lawyer with Reff & Associates SCA, Deloitte Legal in Romania
- Vasile Voicu, Manager Solutii Securitate, Telekom Romania;
- Ovidiu Seceleanu, Head of B2B IM Division, Samsung.
Moderator panel: Prof. Univ. Dr. Adrian Munteanu, Univ. Alexandru Ioan Cuza
DREPTUL LA VIAȚĂ PRIVATĂ. CONSIMȚĂMÂNT. PROTECȚIA DATELOR
S-a discutat despre drepturi fundamentale (cum este dreptul la viață privată) și drepturi absolute (cum este dreptul la viață). Drepturile fundamentale, oricât ar fi de importante, pot fi îngrădite în situații speciale – când legea o impune, de exemplu.
Dreptul la intimitate al persoanelor vizate trebuie să fie respectat și este nevoie de transparență în prelucrarea datelor.
Trebuie să fim conștienți de dreptul nostru la viață privată și să ni-l protejăm noi înșine. O provocare interesantă în acest sens ar fi să le explicăm copiilor noțiunea de intimitate și viață – în acest fel i-am ajuta și pe ei să înțeleagă subiectul și să se gândească la acest aspect, dar am ajunge și noi să acționăm mai conștient și mai responsabil în acest sens.
De exemplu, multe dintre aplicațiile pe care le utilizăm sunt gratuite, dar, pe de altă parte, pentru a funcționa acestea ne solicită toate datele. Consimțământul asigură conformitate, dar nu și protecție. Operatorii de date se folosesc de consimțământ ca temei și justificare pentru orice prelucrare de date, dar consimțământul nu asigură protecția datelor și nu ne absolvă de responsabilitatea aferentă.
De exemplu, consimțământul acordat pentru cookies este condiționat și, în consecință, nul. În plus, acesta este rareori acordat în cunoștință de cauză – întrucât informațiile pe baza cărora este acordat sunt rareori accesibile omului de rând sau sunt rareori consultate integral, din lipsă de timp.
În ceea ce privește protecția datelor, ne putem baza pe tehnologie până la un punct, dar trebuie să începem și noi să ne protejăm. Telefoanele noastre sunt dotate cu funcționalități de securitate. În plus, putem apela și la containerizare – putem defini în telefon o zonă destinată datelor companiei și una destinată datelor personale. Există și tehnologii avansate ce pot fi folosite în interesul nostru – SIM (Security Incident Management) – care are acces la date aflate în interiorul și în exteriorul companiei.
Companiile trebuie să treacă de la reactivitate la proactivitate și să implementeze măsuri minime pentru prevenție, detecție și răspuns la incidente.
În principiu, trebuie să fiem atenți cum ne cheltuim banii. Iar dacă nu plătim cu bani, atunci plătim cu date și trebuie să fim conștienți de asta.
CULTURA ORGANIZAȚIONALĂ
Organizațiile care doresc să aplice AI sau tehnologii avansate, întrebarea ghidatoare pentru organizații este:
„Dacă ceea ce facem noi aici devine public, iar oamenii ar înșelege ce facem noi cu adevărat aici:
1. ar fi asta o problemă, ne-ar fi rușine de ce facem?
2.ne-ar afecta negativ reputația?
3.ne-ar afecta negativ afacerile?
Organizațiile trebuie să preia în sarcina lor această răspundere, nu să o transfere asupra legilor și reglementărilor. În plus, legislația nu evoluează în pas cu tehnologia, prin urmare legislația nu poate da măsura binelui.
Companiile trebuie să facă lucrurile ghidându-se după principiul binelui, nu din teama de amenzi. Guvernanța trebuie să fie adaptată la cultura organizațională. Procesele, procedurile, legislația trebuie să fie transpuse în practică și urmărite în permanență – printr-o buclă de follow-up și feedback – pentru ca guvernanța să se adapteze mereu la schimbările care apar, de multe ori și în decursul aceluiași an, ca urmare a schimbărilor de business și tehnologie.
Dar este important să nu uităm că misiunea noastră nu este să fim pesimiști, ci să fim orientați pe soluții.
Grațiela Măgdălinoiu – Președinte ISACA Romania, a încheiat a treia ediție a Conferinței anuale a ISACA Romania Chapter reamintindu-ne că nimic nu este absolut gratuit, după cum nu există nici securitate absolută. Important este să fim deschiși și flexibili, pentru a putea ține pasul cu lumea în care trăim.
A treia ediție a Conferinței anuale a ISACA Romania Chapter: „Shaping cyber technology. The beauty and the risk”, a fost organizată de ISACA (Information Systems Audit and Control Association) și de Revista CARIERE.
Mulţumim partenerilor:
Premium partner: ONE TRUST
Partner: MAZARS, Telekom, CertSign, Deloitte, PwC, Romsym, Leader Team Insurance Broker
Connectivity partner: BBTR
Foto credit: Daniel Tolea, Paparatzi Studio, paparatzi.ro