More

    IT Security vs. Privacy 

    Citind recent niste materiale care acopera subiecte generale despre securitate IT am gasit o scurta nota care mentiona ca multi oamenii nu fac distinctie intre doua concepte-cheie: IT Security si Privacy

    Am decis sa fac un mic test lansand un poll pe LinkedIn pe aceasta tema, cu intrebarea:

    Consideri confidentialitatea si securitatea doua concepte distincte in IT? (Au fost furnizate trei optiuni clasice de raspuns: Da / Nu / Nu stiu)

    • 64% au spus Da
    • 36% au spus Nu 
    • Nimeni nu a spus ca nu stie

    In Romania, apare inca un element care ingreuneaza aceasta diferenta. Cand traduci Privacy apare cuvantul Confidentialitate, care este de asemenea unul dintre componentele principale ale securitatii IT, totusi diferit. 

    Mai jos oferim putina claritate, deoarece in aceasta era digitala este crucial sa intelegem diferenta dintre aceste doua subiecte strans legate si suprapuse.

    Ce reprezinta IT Security?

    Securitatea IT este un domeniu ce vizeaza protejarea datelor, sistemelor si retelelor de amenintarile cibernetice. 

    Conform IBM, Securitatea IT, reprezinta practica de protejare a activelor IT ale unei organizatii – sistemele informatice, retelele, dispozitivele digitale, datele – impotriva accesului neautorizat, incalcarii de date, atacurilor cibernetice si altor activitati malitioase. 

    Exista trei componente principale ale securitatii IT care ghideaza actiunile si controalele implementate in scopul de aparare (In limba engleza cele trei reprezinta CIA triad): 

    1. Confidentialitatea (Confidentiality) 
    2. Integritatea (Integrity)
    3. Disponibilitatea (Availability) 

    Confidentialitatea

    Are rolul de a protejeaza datele impotriva divulgarii neautorizate de informatii.

    Incidente notabile de securitate IT referitoare la Confidentialitate:

    • Incidentul de securitate al Equifax (2017): A expus date personale ale a 147 de milioane de persoane din cauza unei vulnerabilitati a aplicatiei web
    • Incidentul de securitate al Yahoo (2013-2014): A afectat toate cele 3 miliarde de conturi, dezvaluind nume, adrese de email si parole

    Exemple de controale pe care organizatiile le implementeaza pentru a proteja Confidentialitatea:

    Controlul accesului, Criptarea datelor, Autentificare si autorizare, Clasificarea datelor, Audituri si monitorizare regulate, Eliminare si stergere securizata a datelor.

    Exemple de actiuni sau controale pe care fiecare individ le poate lua pentru a proteja Confidentialitatea:

    Utilizarea unor parole puternice, Activarea autentificarii in doua pasi, Criptarea datelor personale, Utilizarea serviciilor VPN, Instalarea software-ului de Securitate – AV, Controlul accesului la dispositive, Securizarea retelelor Wi-Fi, Atentie la schemele de phishing, utilizarea filtrelor de ecran pentru confidentialitate, limitarea partajarii informatiilor.

    Integritatea

    Are rolul de a proteja datele impotriva modificarilor neautorizate.

    Incidente notabile de securitate IT referitoare la Integritate:

    Stuxnet (2010): A vizat facilitatile nucleare iraniene, modificand parametrii de functionare ai centrifugelor pentru a provoca daune fizice.

    DigiNotar (2011): Eliberarea de certificate digitale frauduloase, compromitand integritatea comunicatiilor web.

    Exemple de controale pe care organizatiile le implementeaza pentru a proteja Integritatea: Validarea Datelor, Controlul Versiunii si Managementul Schimbarilor, Verificare si Functii Criptografice de Hash, Semnaturi Digitale, Audituri si Reconciliere regulate, Controale de Acces, Copii de Siguranta si Redundanta, Securitatea Retelelor si Comunicarii, Politici de Securitate si Training, Managementul Actualizarilor, Raspuns la Incidente.

    Exemple de actiuni sau controale pe care fiecare individ le poate lua pentru a proteja Integritatea:

    Utilizarea Software-ului Antivirus, Actualizarea regulata a Software-ului, Utilizarea Functiilor de Verificare a Fisierelor, Activarea Restaurarii Sistemului, Realizarea de Copii de Siguranta Regulate, Utilizarea Controlului de Acces pentru Utilizatori, Monitorizarea Activitatii de Retea, Verificarea Surselor de Descarcare; Instalarea Actualizarilor de Securitate, Implementarea Permisiunilor de Fisiere.

    Disponibilitatea

    Are rolul de a proteja impotriva negarii neautorizate a accesului (ex: oprirea accesului catre servicii sau accesul la date).

    Incidente notabile de securitate IT referitoare la Disponibilitate:

    Atacul DDoS (Distributed Denial of Service) asupra Dyn (2016): Un atac masiv a perturbat platforme si servicii internet majore.

    Amazon Web Services (2017): O eroare umana in executia comenzilor a condus la o indisponibilitate extinsa pentru numeroase site-uri web si servicii.

    Exemple de controale pe care organizatiile le implementeaza pentru a proteja Disponibilitatea:

    Sisteme Redundante, Proceduri de Backup si Restore, Analiza Traficului de Retea, Echilibrarea Resurselor Hardware, Protectie impotriva Atacurilor (DDoS), Managementul Actualizarilor, Configuratii de Disponibilitate Ridicata, Testare si Exercitii regulate, Plan de Raspuns la Incidente, Mentenanta Hardware, Solutii de Stocare in Cloud, Controale de Calitate a Serviciului (QoS), Planificare a Capacitatii; Sisteme de Rezerva, Sisteme de Monitorizare si Alertare.

    Exemple de actiuni sau controale pe care fiecare individ le poate lua pentru a proteja Disponibilitatea:

    Backup regulat, UPS (Surse de Alimentare Neintreruptibile), Actualizari regulate de Sistem, Software Antivirus, Securitatea Retelei, Stocare in Cloud, Mentenanta Hardware, Redundanta a Datelor.

    Ce reprezinta Privacy?

    Tradus in romana ca si Confidentialitate, nu este totusi conectat cu componenta IT Security mentionata mai sus.

    Confidentialitatea aici are un scop diferit, se concentreaza asupra modurilor in care organizatiile pot folosi si partaja informatiile pe care le-au colectat de la indivizi.

    Este vorba despre dreptul cetatenilor de a-si mentine informatiile personale in siguranta si de a le utiliza doar in modurile in care au fost de acord. Asigurandu-se ca informatiile personale sunt utilizate in conformitate cu asteptarile utilizatorilor si cerintele reglementarilor.

    Cum se realizeaza acest lucru?

    De multe ori, prin standarde reglementare si guvernate de consideratii etice. Organizatiile cauta sa protejeze securitatea informatiilor private si pot face acest lucru utilizand controale de securitate asa cum sunt cele mentionate mai sus.

    Totusi, confidentialitatea se extinde dincolo de securitate. Confidentialitatea include si modurile in care organizatiile utilizeaza si partajeaza informatiile pe care le colecteaza si le mentin sau impart cu alti terti.

    Principiile de Confidentialitate General Acceptate (GAPP) contureaza 10 practici de confidentialitate pe care organizatiile ar trebui sa se straduiasca sa le urmeze:

    1. Managementul. Entitatea defineste, documenteaza, comunica si atribuie responsabilitatea pentru politicile si procedurile sale de confidentialitate.
    2. Notificare. Entitatea furnizeaza o notificare cu privire la politicile si procedurile sale de confidentialitate si identifica scopurile pentru care se colecteaza, utilizeaza, retine si dezvaluie informatii personale.
    3. Alegere si consimtamant. Entitatea descrie optiunile disponibile individului si obtine consimtamant implicit sau explicit cu privire la colectarea, utilizarea si dezvaluirea informatiilor personale.
    4. Colectare. Entitatea colecteaza informatii personale doar pentru scopurile identificate in notificare.
    5. Utilizare, retinere si eliminare. Entitatea limiteaza utilizarea informatiilor personale la scopurile identificate in notificare si pentru care individul a furnizat consimtamant implicit sau explicit. Entitatea retine informatiile personale doar pentru cat este necesar pentru a indeplini scopurile declarate sau conform legii sau reglementarilor si apoi elimina corespunzator aceste informatii.
    6. Acces. Entitatea furnizeaza individului acces la informatiile personale pentru revizuire si actualizare.
    7. Dezvaluire catre terti. Entitatea dezvaluie informatiile personale tertilor doar pentru scopurile identificate in notificare si cu consimtamantul implicit sau explicit al individului.
    8. Securitatea pentru confidentialitate. Entitatea protejeaza informatiile personale impotriva accesului neautorizat (atat fizic, cat si logic).
    9. Calitate. Entitatea mentine informatiile personale precise, complete si relevante pentru scopurile identificate in notificare.
    10. Monitorizare si aplicare. Entitatea monitorizeaza conformitatea cu politicile si procedurile sale de confidentialitate si are proceduri pentru a aborda plangerile si disputele legate de confidentialitate.

    Aceste principii ofera o baza solida pentru construirea unui program de confidentialitate in orice companie.

    In functie de tipul de industrie sau jurisprudenta, legile privind confidentialitatea necesita implementarea mai multor dintre aceste principii.

    De exemplu, in Uniunea EuropeanaRegulamentul General privind Protectia Datelor (GDPR) solicita ca organizatiile care gestioneaza datele rezidentilor UE sa proceseze informatiile personale intr-un mod care sa indeplineasca cerintele de confidentialitate. Nu vom intra in mai multe detalii in acest moment, deoarece nu este scopul acestui articol, insa puteti sa aprofundati acest subiect daca sunteti interesait. In afara de GDPR, iata cateva dintre principalele reglementari din intreaga lume privind confidentialitatea:

    • California Consumer Privacy Act (CCPA): Legea Californiei care imbunatateste drepturile de confidentialitate si protectia consumatorilor.
    • Personal Information Protection and Electronic Documents Act (PIPEDA): Legea privind protectia informatiilor personale si documentele electronice din Canada pentru organizatiile comerciale.
    • Legea generala braziliana privind protectia datelor (LGPD): Reglementare comprehensiva a protectiei datelor din Brazilia.
    • Legea privind protectia datelor din 2018 (DPA 2018): Cadrul britanic privind protectia datelor, aliniat cu GDPR.
    • Legea privind confidentialitatea din Australia din 1988 (Cth): Legea australiana care reglementeaza gestionarea informatiilor personale.
    • Proiectul de lege privind protectia datelor personale din India (PDPB): Proiect de lege propus care vizeaza protejarea datelor personale in India.

    Deoarece am mentionat controalele de securitate anterior, iata cateva actiuni sau controale pe care fiecare individ le poate lua din perspectiva confidentialitatii:

    Revizuirea setarilor de confidentialitate, Citirea politicilor de confidentialitate, Limitarea partajarii pe retelele de socializare, Utilizarea navigarii anonime, Administrarea cookie-urilor si a urmaririi, Evitarea utilizarii retelelor Wi-Fi publice pentru tranzactii sensibile, Prudenta la permisiunile aplicatiilor, Minimizarea datelor personale pe dispositive, Renuntarea la initiativele de colectare a datelor.

    Pentru a rezuma, adaugam si un exemplu care arata suprapunerea intre Securitatea IT si Privacy:

    Un exemplu real de suprapunere intre securitatea IT si Privacy (Confidentialitate), dar si de distinctie intre aceste doua subiecte, este situatia dispozitivelor inteligente din casa, cum ar fi cele smart TV, boxe sau alte IoT devices

    Suprapunere: Atat securitatea IT, cat si confidentialitatea se preocupa de protejarea datelor utilizatorului impotriva accesului neautorizat. De exemplu, un dispozitiv inteligent pentru casa necesita masuri puternice de securitate IT (cum ar fi criptarea, controalele de acces si actualizari regulate) pentru a preveni hackerii sa acceseze dispozitivul sau sa intercepteze datele. Aici intervine securitatea IT, asigurandu-se ca dispozitivul este protejat impotriva amenintarilor externe.

    Separare: Confidentialitatea, pe de alta parte, se ocupa de modul in care datele colectate de catre dispozitivul inteligent pentru casa sunt utilizate, partajate si stocate de catre compania din spatele dispozitivului. Chiar daca dispozitivul este securizat impotriva amenintarilor externe, s-ar putea sa existe inca preocupari legate de confidentialitate in ceea ce priveste modul in care datele personale sunt tratate. De exemplu, compania ar putea utiliza datele in scopuri de publicitate directionata sau le-ar putea vinde tertilor, ceea ce ridica preocupari legate de confidentialitate. Aceste preocupari persista chiar daca aspectul securitatii IT este robust.

    Astfel, in timp ce securitatea IT asigura ca dispozitivul este protejat impotriva accesului neautorizat, confidentialitatea (adica partea de Privacy) se ocupa de modul in care datele colectate sunt utilizate si tratate, demonstrand cum aceste subiecte se suprapun, dar raman separate.

    Concluzii

    • IT Security (Securitatea IT) este conectata si se intrepatrunde cu partea de Privacy (Confidentialitate), totusi sunt doua concepte distincte in IT
    • Componenta de Confidentialitate din IT security este baza controalelor de prevenire a divulgarii neautorizare de infoirmatii si nu este acelasi lucru cu notiunea de Privacy tradusa in romana tot ca si Confidentialitate – care aici are rol diferit si se focuseaza asupra modurilor in care organizatiile pot folosi si partaja informatiile
    • Este foarte dificil de scris un articol in limba romana despre acest subiect

    Articol scris de Alexandru IACOB

    Ultimele articole

    Articole similare