Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Securitate și Confidențialitatea Datelor Personale la ONG-uri

578 views

Published on

Ce înseamnă Privacy / Confidențialitatea datelor în contextul legii 677/2001 și a noilor reglementărilor GDPR? Checklist de securitate 2018 și recomandări de instrumente utile.

Prezentare susținută de Dan Bărbulescu și Claudiu Ceia - CivicTech România, pe 6 iunie 2018, în cadrul Școlii Digitale pentru ONG-uri: ONG Online.

Școala Digitală pentru ONG-uri este un program anual creat de Asociația Techsoup pentru a ajuta angajați și voluntarii organizațiilor neguvernamentale din România și Republica Moldova să beneficieze de training profesionist și la îndemână online în utilizarea tehnologiei sau soluțiilor online disponibile lor. Mai multe pe https://ongonline.techsoup.ro/.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Securitate și Confidențialitatea Datelor Personale la ONG-uri

  1. 1. Securitate și Confidențialitatea Datelor Personale la ONG-uri Claudiu Ceia FULL STACK DEVELOPER p e n de Dan Bărbulescu ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
  2. 2. Dan Bărbulescu ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ Securitate și Confidențialitatea Datelor Personale la ONG-uri 1 Securitate și Confidențialitatea Datelor Personale la ONG-uri Securitatea personală în mediul online 01. Proprietatea digitală 02. Securitatea personală 03. Furtul de identitate 04. Legislația și prevenția Securitatea organizațională 01. Personal IT 02. Manageri, Custozi informații 03. Angajați, Voluntari 04. Furnizori 05. Parteneri 06. Utilizatori 07. Auditori Claudiu Ceia FULL STACK DEVELOPER
  3. 3. Securitate și Confidențialitatea Datelor Personale la ONG-uri Securitate și Confidențialitatea Datelor Personale la ONG-uri 3 Despre securitate ● totalitatea activităților desfășurate și a mijloacelor utilizate pentru a garanta controlul asupra unei proprietăți ● nu este un produs sau o calitate a unui obiect ● o problemă deschisă, care se actualizează permanent Dan Bărbulescu ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
  4. 4. Securitatea personală în mediul online Securitate și Confidențialitatea Datelor Personale la ONG-uri 4 Proprietatea digitală ● conturi, date, drepturi privind resurse digitale etc. ● greu de inventariat/urmărit ● nu poate fi “furată” ● poate fi distrusă sau compromisă Dan Bărbulescu ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
  5. 5. Securitatea personală în mediul online Securitate și Confidențialitatea Datelor Personale la ONG-uri 5 Securitatea conturilor online ● titular unic ● parole ○ greu de ghicit ○ ușor de reținut/introdus ○ “seifuri” de parole ● multi-factor authentication Dan Bărbulescu ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
  6. 6. Securitatea personală în mediul online Securitate și Confidențialitatea Datelor Personale la ONG-uri 6 Securitatea datelor ● vizibilitate publică ● dispozitive de stocare ○ casare/distrugere ● acces discreționar ● criptare Dan Bărbulescu ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
  7. 7. Securitatea personală în mediul online Securitate și Confidențialitatea Datelor Personale la ONG-uri 7 Identitatea online ● componentă importantă în orice domeniu ● date de identitate ● conturi ● confidențialitate, intimitate Dan Bărbulescu ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
  8. 8. Securitatea personală în mediul online Securitate și Confidențialitatea Datelor Personale la ONG-uri 8 Furtul de identitate ● fraudă fiscală ○ sume mici ● Infracționalitate ○ digitală ○ crimă organizată ○ piața neagră Dan Bărbulescu ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
  9. 9. Securitatea personală în mediul online Securitate și Confidențialitatea Datelor Personale la ONG-uri 9 “Peștitul” online ● phishing - un act de impostură ● se combate ușor: ○ NU VĂ PANICAȚI ○ atenție la detalii ○ proceduri, verificări ○ gândire critică Dan Bărbulescu ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
  10. 10. Securitatea personală în mediul online Securitate și Confidențialitatea Datelor Personale la ONG-uri 10 Breșele de securitate ● greu de combătut ● pot produce “avalanșe” ● evaluarea impactului ● notificarea părților afectate Dan Bărbulescu ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
  11. 11. Securitatea personală în mediul online Securitate și Confidențialitatea Datelor Personale la ONG-uri 11 Legislația și prevenția ● Legea nr. 677 din 21 noiembrie 2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date ● General Data Protection Regulation (GDPR) (EU) 2016/679 ● proceduri, ghiduri de bună practică Dan Bărbulescu ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
  12. 12. Securitatea personală în mediul online Securitate și Confidențialitatea Datelor Personale la ONG-uri 12 Legislația și prevenția ● răspunderea entităților care operează cu date personale ● minimizarea riscurilor ○ operare cu date minimale, justificate ○ corectare, ștergere și/sau anonimizare ● dreptul de opoziție Dan Bărbulescu ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
  13. 13. Securitatea personală în mediul online Securitate și Confidențialitatea Datelor Personale la ONG-uri 13 Am fost compromis? ● siguranța este o prioritate ● de-autorizarea sesiunilor și a aplicațiilor ● schimbarea parolelor ● revizuirea setărilor, a activității etc. Dan Bărbulescu ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
  14. 14. Securitatea personală în mediul online Securitate și Confidențialitatea Datelor Personale la ONG-uri 14 Dan Bărbulescu ARHITECTURĂ SOFTWARE, SECURITATE CIBERNETICĂ
  15. 15. Claudiu Ceia FULL STACK DEVELOPER Securitatea organizațională Securitate și Confidențialitatea Datelor Personale la ONG-uri 15
  16. 16. Claudiu Ceia FULL STACK DEVELOPER Responsabilitățile membrilor echipei Securitate și Confidențialitatea Datelor Personale la ONG-uri 16 ● Sys-admins, programatori, tehnicieni ● Personal help-desk Personalul IT / Cine?
  17. 17. Claudiu Ceia FULL STACK DEVELOPER Responsabilitățile membrilor echipei Securitate și Confidențialitatea Datelor Personale la ONG-uri 17 ● implementează bune practici de securitate în cod și în administrarea serverelor ● protejează rețeaua internă ● implementează controale de acces (separation of duties, principle of least privilege) Personalul IT / Checklist
  18. 18. Claudiu Ceia FULL STACK DEVELOPER Responsabilitățile membrilor echipei Securitate și Confidențialitatea Datelor Personale la ONG-uri 18 ● coordonatori sau manageri de proiect ● responsabili cu colectarea și stocarea informațiilor ● rol de administrator într-un sistem informatic Manageri, Custozi informații / Cine?
  19. 19. Claudiu Ceia FULL STACK DEVELOPER Responsabilitățile membrilor echipei Securitate și Confidențialitatea Datelor Personale la ONG-uri 19 ● clasificarea informațiilor ● documentarea procedurilor de securitate ● analiza riscurilor în implementarea sistemelor Manageri, Custozi informații / Checklist
  20. 20. Claudiu Ceia FULL STACK DEVELOPER Responsabilitățile membrilor echipei Securitate și Confidențialitatea Datelor Personale la ONG-uri 20 ● oricine are acces la sisteme interne (Google Drive, canale private de comunicare, etc.) ● oricine are acces în clădire, sau se poate conecta la rețeaua internă Angajați, Voluntari / Cine?
  21. 21. Claudiu Ceia FULL STACK DEVELOPER Responsabilitățile membrilor echipei Securitate și Confidențialitatea Datelor Personale la ONG-uri 21 ● urmăresc bune practici de securitate personală ● raportează riscuri și incidente de securitate managerilor de proiect ● urmăresc bune practici de securitate organizațională Angajați, Voluntari / Checklist
  22. 22. Claudiu Ceia FULL STACK DEVELOPER Responsabilitățile membrilor echipei Securitate și Confidențialitatea Datelor Personale la ONG-uri 22 ● parte terță responsabilă cu implementarea unei soluții ● parte terță care oferă o soluție “la cheie” Furnizori / Cine?
  23. 23. Claudiu Ceia FULL STACK DEVELOPER Responsabilitățile membrilor echipei Securitate și Confidențialitatea Datelor Personale la ONG-uri 23 ● urmează instrucțiuni specifice de securizare a informației ● semnează un contract de clasificare a informației (NDA) ● implementează un set de proceduri propriu pentru securizarea informației Furnizori / Checklist
  24. 24. Claudiu Ceia FULL STACK DEVELOPER Responsabilitățile membrilor echipei Securitate și Confidențialitatea Datelor Personale la ONG-uri 24 ● alte ONG-uri parte din proiect ● companii private sau instituții ● persoane implicate în dezvoltarea proiectului care nu fac parte din ONG Parteneri / Cine?
  25. 25. Claudiu Ceia FULL STACK DEVELOPER Responsabilitățile membrilor echipei Securitate și Confidențialitatea Datelor Personale la ONG-uri 25 ● colaborează cu managerii / coordonatorii de proiect ● colaborează cu personalul IT ● colaborează cu angajați, utilizatori și furnizori Parteneri / Checklist
  26. 26. Claudiu Ceia FULL STACK DEVELOPER Responsabilitățile membrilor echipei Securitate și Confidențialitatea Datelor Personale la ONG-uri 26 ● cei care au acces privilegiat la informații ● cei care accesează produsul digital ● cei ale căror date sunt stocate în sistem Utilizatori / Cine?
  27. 27. Claudiu Ceia FULL STACK DEVELOPER Responsabilitățile membrilor echipei Securitate și Confidențialitatea Datelor Personale la ONG-uri 27 ● să înțeleagă utilizarea corectă a produsului ● să citească și să fie de acord cu termenii și condițiile produsului ● cum și dacă datele lor sunt distribuite către părți terțe ● să cunoască și să implementeze bune practici de securitate personală Utilizatori / Checklist
  28. 28. Claudiu Ceia FULL STACK DEVELOPER Responsabilitățile membrilor echipei Securitate și Confidențialitatea Datelor Personale la ONG-uri 28 ● cei care analizează securitatea organizației, din toate punctele de vedere ● de preferință include și părți terțe Auditori / Cine?
  29. 29. Claudiu Ceia FULL STACK DEVELOPER Responsabilitățile membrilor echipei Securitate și Confidențialitatea Datelor Personale la ONG-uri 29 ● analizează procedurile și politicile de securitate implementate (sau nu) ● adresează probleme critice, fie cu impact major, fie probleme ușor de rezolvat în comparație cu riscul asociat ● adresează toate celelalte potențiale riscuri ● analiză periodică, la intervale regulate, dar și continuă Auditori / Checklist
  30. 30. Claudiu Ceia FULL STACK DEVELOPER Referințe Securitate și Confidențialitatea Datelor Personale la ONG-uri 29 Securitate personală https://passwordsgenerator.net https://keepass.info https://haveibeenpwned.com Securitate organizațională https://www.openbugbounty.org https://securityespresso.org https://www.hackerone.com https://snyk.io
  31. 31. Ha și t !

×