Securitate IT sau protejarea datelor personale?

Există o mulțime de materiale care spun că poți să ai securitate IT dar să nu asiguri protecția datelor personale. În cursul CISM se prezintă „security program„ iar în cursul CIPM se prezintă „privacy program„.

A fost o vreme cînd distincția era clară și ușor aplicabilă. Dincolo de ce spune teoria, cît diferă între ele cele două subiecte, astăzi? Pun de la bun început concluzia personală: depinde de context!

***********

Scriu aceste rînduri din biroul de la facultate, de la parterul unei clădiri, după ce am văzut o ofertă cu o listă de „peste 100 de documente GDPR„. Locul în care mă aflu are fereastră. Lumina naturală intră în încăpere. Dacă o deschid, aerisesc încăperea, ascult „muzica naturii„ și ce mai dezbat studenții…. Nu pot folosi fereastra ca mijloc de evacuare în cazul unui incident nefericit: are gratii.

Fereastra este un „activ„ care trebuie protejat? Fereastra este și un „control„/„măsură de protecție„? Dacă o uit deschisă, înseamnă că am devenit vulnerabil? Depinde de context: etajul 1 versus parter.

Fie că este închisă, fie că este deschisă, fereastra nu mă împiedică să îmi îndeplinesc sarcinile. Dar așa cum eu stau și privesc din interior pe fereastră, alții se pot uita din exterior. Pentru ca acest lucru să nu se întîmple am perdea și storuri („controale„).

Controlul numit „perdea„ nu îmi protejează însă doar intimitatea mea și nu în totalitate. Îl poate împiedica pe un potențial curios să vadă ceva în încăpere. Nu să și asculte. Trebuie să stau mereu cu fereastra închisă?

Teoria din CISM ne învăța că un program de securitate înseamnă politici, proceduri, ghiduri, standarde, structurii organizatorice, tehnologie proiectate cu scopul de a proteja activele critice (inclusiv IT) ale unei afaceri.

Teoria din CIPM ne spune că un program pentru protecția datelor personale înseamnă cam același lucru cu două deosebiri: nu se spune nimic despre tehnologie și se referă doar la date personale (privacy).

Așa cum am scris însă mai sus, „draperia„ nu este un control care asigură doar „intimitatea„: împiedică și să se vadă ce „active sînt în birou„.

Prin urmare, în practică nu prea se poate „privacy program„ fără „security program„. Iar securitate IT fără tehnologie chiar nu există.

.

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google

Comentezi folosind contul tău Google. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.