Atunci cînd o organizație se confruntă cu un eveniment care ajunge la cunoștința ANSPDCP, autoritatea solicită, printre altele, „informații privind adoptarea de măsuri tehnice și organizatorice„. Să nu uităm că managementul organizației trebuie să demonstreze „responsabilitate„. Cele ce le scriu în continuare reprezintă perspectiva mea, de auditor, și nu cea a unui „expert GDPR„….. 1.Referințe…
După lecturarea si analizarea legii de mai multe ori pot spune că este stufoasă, neclară ca terminologie și….pe ici pe colo incompletă. Doar două argumente: majoritatea intră sub incidența GDPR și acolo există o terminologie/cerințe. Băncile au reglementări/recomandări/ghiduri specifice (a se vedea EBA) Mi-aș fi dorit să regăsesc în lege sintagme precum: „stadiul actual al…
Pe Facebook sînt disponibile o mulțime de teste de personalitate, aplicații, jocuri care mai de care. Toate au în comun un lucru: sînt gratuite. Utilizatorul nu plătește nimic, ba chiar, de cele mai multe ori este foarte mîndru să le împărtășească cu alții. Așa crede el…. Din comoditate, aproape nimeni nu citește „Terms and Conditions„…
La final de 2018 s-a promulgat Legea nr. 362/2018: Legea privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice. (transpunerea Directivei NIS). Printre cerințele legii o regăsim și pe următoarea: operatorii de servicii esențiale implementează un sistem de management al riscului (Art. 25) alin. 5 f). (Legea mai zice și că…
(O completare la articolul anterior) În puține cazuri am întîlnit „IT risk assessment„, „vulnerability assessment„ sau „pen test„ care să fi fost privite altfel decît izolat, la nivelul unor echipamente/subsisteme. Rezultatul obținut în urma unor astfel de activități nu oferă însă recomandări pentru protejarea afacerii. Afli ceva, dar nu știi cu exactitate/suficient de detaliat impactul…
Există o mulțime de materiale care spun că poți să ai securitate IT dar să nu asiguri protecția datelor personale. În cursul CISM se prezintă „security program„ iar în cursul CIPM se prezintă „privacy program„. A fost o vreme cînd distincția era clară și ușor aplicabilă. Dincolo de ce spune teoria, cît diferă între ele…
Într-un interviu pentru Harvard Business Review din septembrie, Helen Nissenbaum (Information Science profesor la Cornell Tech) afirma : For example, as part of GDPR, we’re now constantly seeing pop-ups that say, “Hey, we use cookies — click here.” This doesn’t help. You have no idea what you’re doing, what you’re consenting to. A meaningful choice…
Anunțat pentru începutul anului viitor, iată că deja primele două publicații au devenit disponibile (încă două se anunță pentru luna decembrie): COBIT 2019 Framework: Introduction and Methodology COBIT 2019 Framework: Governance and Management Objectives COBIT 2019 Framework: Design an Information and Technology Governance Solution COBIT 2019 Framework: Implementing and Optimizing an Information Technology Governance Solution…
Ieri, presa a preluat „notificarea„ lansată de unul din actorii implicați în dezvăluirile Rise Project în legătură cu „valiza„ din Teleorman. „Vă solicit să procedaţi imediat şi să îmi respectaţi dreptul la ştergerea datelor „dreptul de a fi uitat” prevăzut de art 17 din Regulament. Vă solicit a-mi comunica ştergerea datelor cu caracter personal prevăzută…
Cam de cîtă tehnologie este nevoie pentru a asigura protecția datelor personale? Am scris protecția datelor și nu conformitatea cu GDPR :). Conformitatea va fi rezultatul protecției. Simplu spus, facem o evaluare de riscuri și de acolo rezultă exact ce ne mai trebuie. Prin urmare, răspunsul la întrebarea de la început diferă de la caz…
