Ce înseamnă Privacy / Confidențialitatea datelor în contextul legii 677/2001 și a noilor reglementărilor GDPR? Checklist de securitate 2018 și recomandări de instrumente utile.
Prezentare susținută de Dan Bărbulescu și Claudiu Ceia - CivicTech România, pe 6 iunie 2018, în cadrul Școlii Digitale pentru ONG-uri: ONG Online.
Școala Digitală pentru ONG-uri este un program anual creat de Asociația Techsoup pentru a ajuta angajați și voluntarii organizațiilor neguvernamentale din România și Republica Moldova să beneficieze de training profesionist și la îndemână online în utilizarea tehnologiei sau soluțiilor online disponibile lor. Mai multe pe https://ongonline.techsoup.ro/.
Instrumente de fundraising online și resurse de tehnologie pentru ONG-uri
Securitate și Confidențialitatea Datelor Personale la ONG-uri
1. Securitate și Confidențialitatea
Datelor Personale la ONG-uri
Claudiu Ceia
FULL STACK DEVELOPER
p e n de
Dan Bărbulescu
ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
2. Dan Bărbulescu
ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
Securitate și Confidențialitatea Datelor Personale la ONG-uri
1
Securitate și Confidențialitatea Datelor Personale la ONG-uri
Securitatea personală în
mediul online
01. Proprietatea digitală
02. Securitatea personală
03. Furtul de identitate
04. Legislația și prevenția
Securitatea organizațională
01. Personal IT
02. Manageri, Custozi informații
03. Angajați, Voluntari
04. Furnizori
05. Parteneri
06. Utilizatori
07. Auditori
Claudiu Ceia
FULL STACK DEVELOPER
3. Securitate și Confidențialitatea Datelor Personale la ONG-uri
Securitate și Confidențialitatea Datelor Personale la ONG-uri
3
Despre securitate
● totalitatea activităților desfășurate și a mijloacelor utilizate
pentru a garanta controlul asupra unei proprietăți
● nu este un produs sau o calitate a unui obiect
● o problemă deschisă, care se actualizează permanent
Dan Bărbulescu
ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
4. Securitatea personală în mediul online
Securitate și Confidențialitatea Datelor Personale la ONG-uri
4
Proprietatea digitală
● conturi, date, drepturi privind resurse digitale etc.
● greu de inventariat/urmărit
● nu poate fi “furată”
● poate fi distrusă sau compromisă
Dan Bărbulescu
ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
5. Securitatea personală în mediul online
Securitate și Confidențialitatea Datelor Personale la ONG-uri
5
Securitatea conturilor online
● titular unic
● parole
○ greu de ghicit
○ ușor de reținut/introdus
○ “seifuri” de parole
● multi-factor authentication
Dan Bărbulescu
ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
6. Securitatea personală în mediul online
Securitate și Confidențialitatea Datelor Personale la ONG-uri
6
Securitatea datelor
● vizibilitate publică
● dispozitive de stocare
○ casare/distrugere
● acces discreționar
● criptare
Dan Bărbulescu
ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
7. Securitatea personală în mediul online
Securitate și Confidențialitatea Datelor Personale la ONG-uri
7
Identitatea online
● componentă importantă în orice domeniu
● date de identitate
● conturi
● confidențialitate, intimitate
Dan Bărbulescu
ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
8. Securitatea personală în mediul online
Securitate și Confidențialitatea Datelor Personale la ONG-uri
8
Furtul de identitate
● fraudă fiscală
○ sume mici
● Infracționalitate
○ digitală
○ crimă organizată
○ piața neagră
Dan Bărbulescu
ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
9. Securitatea personală în mediul online
Securitate și Confidențialitatea Datelor Personale la ONG-uri
9
“Peștitul” online
● phishing - un act de impostură
● se combate ușor:
○ NU VĂ PANICAȚI
○ atenție la detalii
○ proceduri, verificări
○ gândire critică
Dan Bărbulescu
ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
10. Securitatea personală în mediul online
Securitate și Confidențialitatea Datelor Personale la ONG-uri
10
Breșele de securitate
● greu de combătut
● pot produce “avalanșe”
● evaluarea impactului
● notificarea părților afectate
Dan Bărbulescu
ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
11. Securitatea personală în mediul online
Securitate și Confidențialitatea Datelor Personale la ONG-uri
11
Legislația și prevenția
● Legea nr. 677 din 21 noiembrie 2001 pentru protecția
persoanelor cu privire la prelucrarea datelor cu caracter
personal și libera circulație a acestor date
● General Data Protection Regulation (GDPR) (EU) 2016/679
● proceduri, ghiduri de bună practică
Dan Bărbulescu
ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
12. Securitatea personală în mediul online
Securitate și Confidențialitatea Datelor Personale la ONG-uri
12
Legislația și prevenția
● răspunderea entităților care operează cu date personale
● minimizarea riscurilor
○ operare cu date minimale, justificate
○ corectare, ștergere și/sau anonimizare
● dreptul de opoziție
Dan Bărbulescu
ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
13. Securitatea personală în mediul online
Securitate și Confidențialitatea Datelor Personale la ONG-uri
13
Am fost compromis?
● siguranța este o prioritate
● de-autorizarea sesiunilor și a aplicațiilor
● schimbarea parolelor
● revizuirea setărilor, a activității etc.
Dan Bărbulescu
ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
14. Securitatea personală în mediul online
Securitate și Confidențialitatea Datelor Personale la ONG-uri
14
Dan Bărbulescu
ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
15. Claudiu Ceia
FULL STACK DEVELOPER
Securitatea organizațională
Securitate și Confidențialitatea Datelor Personale la ONG-uri
15
16. Claudiu Ceia
FULL STACK DEVELOPER
Responsabilitățile membrilor echipei
Securitate și Confidențialitatea Datelor Personale la ONG-uri
16
● Sys-admins, programatori, tehnicieni
● Personal help-desk
Personalul IT / Cine?
17. Claudiu Ceia
FULL STACK DEVELOPER
Responsabilitățile membrilor echipei
Securitate și Confidențialitatea Datelor Personale la ONG-uri
17
● implementează bune practici de securitate în cod și în
administrarea serverelor
● protejează rețeaua internă
● implementează controale de acces (separation of duties,
principle of least privilege)
Personalul IT / Checklist
18. Claudiu Ceia
FULL STACK DEVELOPER
Responsabilitățile membrilor echipei
Securitate și Confidențialitatea Datelor Personale la ONG-uri
18
● coordonatori sau manageri de proiect
● responsabili cu colectarea și stocarea informațiilor
● rol de administrator într-un sistem informatic
Manageri, Custozi informații / Cine?
19. Claudiu Ceia
FULL STACK DEVELOPER
Responsabilitățile membrilor echipei
Securitate și Confidențialitatea Datelor Personale la ONG-uri
19
● clasificarea informațiilor
● documentarea procedurilor de securitate
● analiza riscurilor în implementarea sistemelor
Manageri, Custozi informații / Checklist
20. Claudiu Ceia
FULL STACK DEVELOPER
Responsabilitățile membrilor echipei
Securitate și Confidențialitatea Datelor Personale la ONG-uri
20
● oricine are acces la sisteme interne (Google Drive, canale
private de comunicare, etc.)
● oricine are acces în clădire, sau se poate conecta la rețeaua
internă
Angajați, Voluntari / Cine?
21. Claudiu Ceia
FULL STACK DEVELOPER
Responsabilitățile membrilor echipei
Securitate și Confidențialitatea Datelor Personale la ONG-uri
21
● urmăresc bune practici de securitate personală
● raportează riscuri și incidente de securitate managerilor de
proiect
● urmăresc bune practici de securitate organizațională
Angajați, Voluntari / Checklist
22. Claudiu Ceia
FULL STACK DEVELOPER
Responsabilitățile membrilor echipei
Securitate și Confidențialitatea Datelor Personale la ONG-uri
22
● parte terță responsabilă cu implementarea unei soluții
● parte terță care oferă o soluție “la cheie”
Furnizori / Cine?
23. Claudiu Ceia
FULL STACK DEVELOPER
Responsabilitățile membrilor echipei
Securitate și Confidențialitatea Datelor Personale la ONG-uri
23
● urmează instrucțiuni specifice de securizare a informației
● semnează un contract de clasificare a informației (NDA)
● implementează un set de proceduri propriu pentru securizarea
informației
Furnizori / Checklist
24. Claudiu Ceia
FULL STACK DEVELOPER
Responsabilitățile membrilor echipei
Securitate și Confidențialitatea Datelor Personale la ONG-uri
24
● alte ONG-uri parte din proiect
● companii private sau instituții
● persoane implicate în dezvoltarea proiectului care nu fac parte
din ONG
Parteneri / Cine?
25. Claudiu Ceia
FULL STACK DEVELOPER
Responsabilitățile membrilor echipei
Securitate și Confidențialitatea Datelor Personale la ONG-uri
25
● colaborează cu managerii / coordonatorii de proiect
● colaborează cu personalul IT
● colaborează cu angajați, utilizatori și furnizori
Parteneri / Checklist
26. Claudiu Ceia
FULL STACK DEVELOPER
Responsabilitățile membrilor echipei
Securitate și Confidențialitatea Datelor Personale la ONG-uri
26
● cei care au acces privilegiat la informații
● cei care accesează produsul digital
● cei ale căror date sunt stocate în sistem
Utilizatori / Cine?
27. Claudiu Ceia
FULL STACK DEVELOPER
Responsabilitățile membrilor echipei
Securitate și Confidențialitatea Datelor Personale la ONG-uri
27
● să înțeleagă utilizarea corectă a produsului
● să citească și să fie de acord cu termenii și condițiile produsului
● cum și dacă datele lor sunt distribuite către părți terțe
● să cunoască și să implementeze bune practici de securitate
personală
Utilizatori / Checklist
28. Claudiu Ceia
FULL STACK DEVELOPER
Responsabilitățile membrilor echipei
Securitate și Confidențialitatea Datelor Personale la ONG-uri
28
● cei care analizează securitatea organizației, din toate punctele
de vedere
● de preferință include și părți terțe
Auditori / Cine?
29. Claudiu Ceia
FULL STACK DEVELOPER
Responsabilitățile membrilor echipei
Securitate și Confidențialitatea Datelor Personale la ONG-uri
29
● analizează procedurile și politicile de securitate implementate
(sau nu)
● adresează probleme critice, fie cu impact major, fie probleme
ușor de rezolvat în comparație cu riscul asociat
● adresează toate celelalte potențiale riscuri
● analiză periodică, la intervale regulate, dar și continuă
Auditori / Checklist
30. Claudiu Ceia
FULL STACK DEVELOPER
Referințe
Securitate și Confidențialitatea Datelor Personale la ONG-uri
29
Securitate personală
https://passwordsgenerator.net
https://keepass.info
https://haveibeenpwned.com
Securitate organizațională
https://www.openbugbounty.org
https://securityespresso.org
https://www.hackerone.com
https://snyk.io