Protecția datelor personale – Masuri de securitate IT

Introducere

Incidentul a fost declanșat de un atac cibernetic. Hackerii au blocat accesul la sistemele firmei și au obținut informații confidențiale: nume, CNP-uri, salarii, adrese, funcții. Datele au ajuns unde n-ar fi trebuit să ajungă.

De ce? Pentru că firma nu implementase măsuri minime de securitate. Iar asta înseamnă încălcarea articolului 32 din GDPR. Autoritatea a aplicat o amendă și a impus măsuri corective: reguli interne, verificări periodice, instruirea angajaților.

Dacă lucrezi cu datele angajaților, ale clienților sau ale colaboratorilor – chiar și într-o echipă mică, chiar și singur – ești responsabil să le protejezi. Nu e doar o obligație legală. Ține de încrederea celor cu care lucrezi și, mai ales, de continuitatea businessului tău.

Te ajut mai jos să înțelegi exact ce ai de făcut – fie că ai o rețea cu 5, 10 sau 25 de calculatoare, un server local și servicii cloud, fie că ești soloprenor cu un laptop și câțiva colaboratori externi.

.

1. Măsuri tehnice

1.1 Antivirus și anti-malware pe fiecare endpoint (PC/laptop)

Instalează un antivirus pe fiecare calculator sau laptop pe care se lucrează. Nu contează cât de mică e echipa — orice dispozitiv conectat la Internet e expus.

Chiar și o soluție gratuită, cum e Windows Defender, oferă o protecție de bază, suficientă pentru majoritatea firmelor mici.

Ideal ar fi să alegi un antivirus care include și protecție împotriva tentativelor de phishing. Asta reduce riscul ca cineva din echipă să deschidă un email periculos sau să introducă date pe un site fals.

Verifică periodic dacă toate calculatoarele au antivirusul activ și actualizat. Amenințările se schimbă de la o zi la alta, iar un program neactualizat nu face față.

1.2 Firewall și securitatea rețelei

Firewall-ul controlează ce intră și ce iese din rețeaua firmei tale. Blochează conexiunile nedorite și oprește accesul din exterior la calculatoarele interne.

Poate fi activat ca program pe fiecare calculator sau o funcție configurată direct pe router. În multe cazuri, firewall-ul din Windows și cel din router sunt suficiente, dacă sunt activate și configurate corect.

Pentru rețele mai complexe, poți folosi un echipament dedicat — un router modern sau un firewall de tip UTM, care oferă și control parental, VPN sau filtrare de conținut.

Dacă ai server local, îți recomand să separi rețeaua în zone diferite. De exemplu, stațiile de lucru să nu fie în aceeași rețea cu zona de invitați sau cu dispozitivele personale.

Această segmentare limitează riscul ca un calculator compromis să afecteze restul infrastructurii IT. În practică, înseamnă mai mult control și mai puține puncte slabe în rețea.

1.3 Backup periodic al datelor, cu păstrare offline

Backup-ul nu e opțional. Dacă pierzi datele din cauza unui atac, a unei erori sau a unei defecțiuni, ai nevoie de o copie care poate fi restaurată rapid.

Folosește soluții automate de backup. Poți începe cu instrumentele incluse în Windows sau cu aplicații gratuite care salvează fișierele importante pe un hard extern, pe un NAS sau în cloud.

Păstrează cel puțin o copie de rezervă în afara rețelei. Dacă rețeaua ta este compromisă, backup-urile conectate la ea pot fi șterse sau criptate.

Regula 3-2-1 pentru backup:

– 3 copii ale datelor
– 2 tipuri de medii (de exemplu: local și cloud)
– 1 copie păstrată în altă locație (offline sau offsite)

Nu te baza pe backup-uri pe care nu le-ai testat. Verifică periodic dacă poți recupera datele fără probleme. O copie care nu se deschide nu te ajută cu nimic.

GDPR prevede: trebuie să fii capabil să restabilești datele rapid, dacă apare un incident. Asta nu se poate fără un sistem de backup bine pus la punct.

1.4 Criptarea datelor sensibile

Dacă stochezi date personale, financiare sau informații confidențiale, ar trebui să folosești criptarea.

Criptarea face ca datele să nu poată fi citite de nimeni care nu are accesul autorizat. E esențială atât pentru datele salvate local, cât și pentru cele transmise prin rețea sau stocate în cloud.

Pe Windows, poți activa BitLocker. Pe Mac, ai FileVault. Ambele sunt gratuite și incluse în sistemul de operare.

Dacă un laptop e pierdut sau furat, datele rămân inaccesibile dacă discul e criptat. În lipsa criptării, întregul conținut poate fi extras în câteva minute.

Pentru fișiere sensibile trimise prin email, folosește arhive parolate sau servicii care permit criptare la transfer. Iar pentru site-ul firmei, HTTPS este obligatoriu — fără el, datele transmise pot fi interceptate.

Criptarea este recunoscută în GDPR ca măsură recomandată și face parte din controalele de bază în ISO 27001. Nu implică costuri suplimentare, dar reduce semnificativ riscul de expunere a datelor.

1.5 Utilizarea autentificării cu doi factori (2FA)

Activează autentificarea în doi factorii (2FA) pentru conturile importante. E una dintre cele mai eficiente măsuri împotriva accesului neautorizat.

Emailul de business, contul de cloud, panoul de administrare al site-ului și aplicațiile financiare ar trebui să aibă 2FA activ. Majoritatea serviciilor oferă această funcție gratuit, prin aplicații precum Google Authenticator sau Microsoft Authenticator.

Dacă cineva îți află parola, nu va putea accesa contul fără codul generat pe dispozitivul tău.

1.6 Folosește un manager de parole

Folosește și parole puternice, diferite pentru fiecare cont. Reutilizarea parolelor e o practică riscantă. Dacă o singură platformă e compromisă, toate celelalte conturi devin vulnerabile.

O aplicație de gestionare a parolelor te ajută să eviți asta. Poți stoca parole complexe și unice fără să le reții pe toate. Ai nevoie doar de o parolă principală.

Soluții ca Bitwarden, 1Password sau LastPass sunt ușor de folosit, inclusiv pe telefon. În plus, multe dintre ele au versiuni gratuite.

GDPR impune limitarea accesului neautorizat la datele personale. Autentificarea în doi pași și parolele bine gestionate te ajută să respecți această cerință, fără investiții mari.

1.7 Securitatea serverului local și a site-ului web

Dacă folosești un server local – pentru fișiere, aplicații sau email – asigură-te că ai măsuri de protecție active.

Instalează un antivirus dedicat pentru server și actualizează sistemul de operare și aplicațiile folosite. Asta include și firmware-ul, dacă folosești un NAS.

Nu acorda acces de administrator utilizatorilor obișnuiți. Pentru conexiuni remote, folosește VPN și limitează accesul doar din locații de încredere.

Dacă serverul conține date personale, activează logurile de acces pentru a putea urmări cine, când și de unde a accesat informațiile. E important ai aceste informații, mai ales în cazul unui incident.

În ceea ce privește site-ul:

– activează HTTPS cu certificat SSL
– actualizează constant platforma și modulele (ex: WordPress și pluginurile folosite)
– folosește un firewall web

Cloudflare este o soluție gratuită care oferă protecție DDoS și filtru de trafic rău intenționat. Se configurează ușor și adaugă un nivel important de securitate.

Securizarea serverului și a site-ului nu înseamnă neapărat costuri mari. Înseamnă disciplină, configurare corectă și alegerea unor unelte potrivite.

Un server compromis sau un site spart poate duce la pierderi de date și de încredere. Prevenția te scapă de mult mai multe bătăi de cap.

2. Măsuri organizatorice și de configurare

Nu toate măsurile de securitate au nevoie de software sau echipamente scumpe. Unele dintre cele mai importante țin de organizare, reguli și educația celor care folosesc sistemele IT.

Poate părea un detaliu minor, dar multe probleme apar tocmai pentru că nu există proceduri sau pentru că oamenii nu știu ce au voie să facă.

Standardul ISO 27001 pune accent pe ambele tipuri de măsuri: tehnice și organizaționale. Iar GDPR le cere explicit prin articolul 32.

Ce poți face concret, fără costuri majore?  Lucruri simple, care țin mai mult de disciplină decât de buget.

2.1 Actualizări regulate ale sistemelor și aplicațiilor.

Actualizările regulate sunt esențiale pentru securitatea oricărui sistem.

Majoritatea atacurilor reușesc pentru că unele componente nu sunt la zi, deși există deja actualizări care corectează vulnerabilitățile cunoscute.

Activează opțiunea de update automat pentru:

• sistemul de operare (Windows, Linux, macOS)
• aplicații (browser, suite tip office, software de contabilitate sau altele)

Alocă lunar o oră pentru a verifica dacă toate stațiile și serverele sunt actualizate complet.

Nu uita de firmware-ul routerelor și punctelor de acces wireless. Și acestea trebuie verificate și aduse la zi periodic.

Este o măsură simplă, dar cu impact în prevenirea incidentelor.

2.3 Controlul accesului și parole sigure.

Controlează atent cine are acces la datele și sistemele firmei.

Fiecare utilizator ar trebui să aibă acces doar la resursele necesare activității sale. Nu folosi conturi partajate și nu acorda drepturi de administrator decât acolo unde este absolut necesar.

Creează conturi individuale pentru toți membrii echipei. Angajații care nu se ocupă de configurări tehnice pot lucra foarte bine cu conturi standard, fără drepturi speciale.

Dacă un calculator este infectat, restricțiile de acces pot limita efectele.

Schimbă parolele implicite imediat după instalarea oricărui echipament sau aplicație. Sunt cunoscute public și frecvent folosite de atacatori.

Folosește parole lungi (minimum 12 caractere) și greu de ghicit. Evită variante evidente – numele firmei, „123456” sau „admin”.

Recomand utilizarea unui manager de parole, astfel încât fiecare cont să aibă o parolă unică, fără a deveni greu de gestionat.

2.4 Proceduri de backup și recuperare testate

Backup-ul nu înseamnă doar să faci copii ale fișierelor, ci și să știi exact ce faci cu ele în caz de nevoie.

Stabilește cine se ocupă de backup-uri, cât de des se fac și unde sunt păstrate. Nu trata această responsabilitate superficial.

Procedura trebuie să fie documentată și cunoscută de cel puțin două persoane din echipă. Dacă cel care se ocupă de backup lipsește, altcineva trebuie să știe cum să verifice și cum să recupereze datele.

Testează periodic procesul de restaurare, cel puțin o dată pe an sau după modificări importante. Nu e suficient să știi că există copii de rezervă – trebuie să știi și că funcționează.

Un plan de backup și recuperare reduce timpii morți și te ajută să revii rapid în activitate, fără pierderi majore. În plus, este o cerință atât în GDPR, cât și în ISO 27001.

2.5 Instruirea  angajaților și colaboratorilor.

Sistemele tehnice pot fi solide, dar totul se poate prăbuși dacă oamenii din echipă nu știu ce să evite.

Cele mai multe atacuri cibernetice se bazează pe greșeli umane: o parolă spusă la telefon, un link accesat dintr-un email fals, un fișier deschis fără să fie verificat.

Îți recomand să organizezi sesiuni de instruire, măcar trimestrial. Nu trebuie să fie formale — pot fi scurte discuții în echipă, adaptate pe înțelesul tuturor.

Pune accent pe lucruri concrete:

– cum recunoști un email de tip phishing
– de ce nu deschizi atașamente suspecte
– ce faci dacă observi un comportament neobișnuit al calculatorului

Include și colaboratorii temporari, mai ales dacă au acces la date sau sisteme. Important este ca fiecare să știe ce are voie să facă și ce trebuie să raporteze imediat.

ANSPDCP cere deja, prin măsuri corective, instruirea periodică a personalului. Este o obligație reală, nu doar o recomandare.

Un angajat atent poate preveni un incident. Unul neatent îl poate declanșa.

2.6 Politici și reguli interne

Nu ai nevoie de un document complicat ca să stabilești reguli clare în firmă. Dar e important să existe, chiar și într-o echipă de 2–3 persoane.

Scrie câteva politici simple și asigură-te că toată lumea le înțelege.

Ce-ți recomand să incluzi:

– dacă se folosesc laptopuri personale, acestea trebuie să aibă antivirus activ și actualizat
– ce fel de date pot fi trimise și prin ce canal (evită emailurile personale și aplicațiile necriptate pentru informații sensibile)
– cum se elimină datele care nu mai sunt necesare (nu doar delete, ci ștergere sigură)
– obligația de a bloca ecranul când pleci de la birou
– cum se raportează rapid un incident

Aceste reguli nu trebuie să fie complicate. Doar clare și aplicabile.

GDPR cere ca protecția datelor să fie gândită din start și activată implicit — nu doar adăugată ulterior.

3.  Scenarii practice: de la soloprenori la echipe de colaboratori

Toate măsurile prezentate până acum se aplică și atunci când lucrezi singur sau într-o echipă mică, pe proiecte.

Să luăm un exemplu concret: ești consultant sau specialist care lucrează de pe laptopul propriu și colaborezi ocazional cu alți freelanceri. Probabil nu ai servere, nu ai buget IT dedicat, și nici nu te gândești că cineva te-ar viza intenționat.

Dar dacă prelucrezi date personale — cum ar fi liste de clienți, date de facturare sau contracte — atunci intri direct sub obligațiile GDPR.

Ce poți face, chiar dacă lucrezi singur:

– instalează un antivirus și menține-l actualizat
– activează criptarea discului (BitLocker sau FileVault)
– folosește 2FA pentru email, cloud și conturi sensibile
– salvează backup-uri în cloud și pe un hard extern
– evită să trimiți date sensibile prin canale nesecurizate
– limitează accesul colaboratorilor temporari și revocă-l după ce proiectul s-a încheiat

Dacă oferi acces în Google Drive sau într-un tool de proiect, verifică permisiunile și scoate colaboratorii când nu mai au nevoie.

E bine să documentezi: unde stochezi datele, cine are acces și cum le protejezi. Nu pentru a bifa un formular, ci pentru a putea răspunde la întrebarea „Ce ai făcut ca să protejezi aceste informații?”

Responsabilitatea e aceeași, indiferent dacă ești o firmă cu 20 de angajați sau un profesionist care lucrează de acasă.

Ce măsuri ar trebui să ia un astfel de profesionist individual?

3.1  Securizarea laptopului propriu

Dacă lucrezi de pe laptopul personal, el devine punctul central al activității tale. Trebuie să fie securizat, la fel ca un birou fizic.

Instalează un antivirus actualizat. Dacă folosești Windows 10 sau 11, Windows Defender este integrat și oferă protecție de bază.

Activează firewall-ul inclus în sistemul de operare. Asigură-te că e pornit permanent.

Setează o parolă puternică pentru accesul în sistem. Dacă ești singurul care folosește laptopul, nu înseamnă că poate rămâne neprotejat.

Activează criptarea discului cu BitLocker. În cazul în care laptopul este pierdut sau furat, datele nu vor putea fi accesate fără autentificare.

Menține sistemul de operare și aplicațiile actualizate. Cele mai multe atacuri se bazează pe vulnerabilități vechi, care pot fi evitate cu un simplu update.

3.2 Backup în cloud sau pe hard disk extern

Dacă lucrezi pe cont propriu, pierderea datelor înseamnă oprirea activității. Un backup te salvează.

Dacă folosești Dropbox, Google Drive sau alt serviciu cloud, ai deja o copie sincronizată online. Totuși, sincronizarea în cloud nu este suficientă pentru protecția completă a datelor.

Fă backup și pe un hard disk extern, de preferat ținut deconectat de la laptop. Astfel, dacă ești infectat cu ransomware sau pierzi accesul la cloud, ai o variantă de rezervă.

Salvează periodic documentele importante.

Nu aștepta o problemă ca să începi. Un backup corect te ajută să revii rapid fără pierderi.

3.3 Parole unice și 2FA pentru conturi

Ca soloprenor, ai de gestionat multe conturi: email, cloud, bancă, platforme de lucru, facturare.

Nu folosi aceeași parolă peste tot. Dacă unul dintre servicii e compromis, toate celelalte devin vulnerabile.

Un manager de parole te ajută să folosești parole diferite, complexe și greu de spart, fără să le reții pe toate.

Activează autentificarea în doi pași (2FA) pentru conturile critice. Chiar dacă cineva îți află parola, nu va putea accesa contul fără codul temporar generat pe telefon.
Este o măsură minimă care te protejează eficient, fără costuri.

3.4 Protecția datelor când lucrează cu colaboratori

Dacă lucrezi cu colaboratori și trebuie să le trimiți o listă de clienți sau documente interne, nu trimite fișiere prin email nesecurizat.

Folosește un serviciu de partajare în cloud care îți permite să controlezi accesul – de exemplu, Google Drive cu permisiuni doar pentru cei implicați sau linkuri protejate prin parolă.

Dacă le dai acces la date personale, semnează un acord de confidențialitate (NDA). Reprezintă o minimă protecție juridică și un pas important spre responsabilizarea colaboratorilor.

La finalul colaborării, verifică ce accesuri ai oferit și revocă-le. Șterge conturile temporare, dacă ai creat unele.

Aceasta este o bună practică, dar și o obligație GDPR: ai responsabilitatea să controlezi cine are acces la datele personale și pentru cât timp.

3.5 Conștientizare și bune practici personale

Dacă ești pe cont propriu, nu ai un IT-ist care să-ți spună ce să faci. Asta înseamnă că trebuie să fii la curent cu riscurile digitale și cu metodele de protecție.

Ce presupune asta, concret:

• Nu răspunzi la emailuri suspecte, chiar dacă par urgente și vin “de la bancă”. Dacă ți se cere parola, codul de autentificare sau orice informație sensibilă, verifică de două ori înainte de a face clic sau de a răspunde.
• Dacă lucrezi dintr-o cafenea sau pe o rețea Wi-Fi publică, nu accesa conturi sensibile fără protecție. Folosește un VPN.
• Faptul că ești o țintă mai mică nu înseamnă că ești invizibil. Dimpotrivă, atacatorii mizează pe lipsa protecției.

Dacă totuși ceva se întâmplă:

• te bazezi pe backup-ul configurat anterior
• schimbi imediat parolele conturilor compromise
• dacă sunt afectate date personale, anunți persoanele vizate și, dacă e cazul, notifici ANSPDCP în termen de 72 de ore

Chiar dacă ești singur, ai responsabilitatea completă pentru protejarea datelor.

Informația corectă și pregătirea practică fac diferența.

Concluzie

Incidentul CV PRO CONSULT arată limpede un lucru: protecția datelor nu este un moft sau o formalitate. E o obligație legală și o condiție de încredere în relația cu clienții. Iar încălcarea acestor reguli atrage consecințe – amenzi, expunere publică, pierderi de reputație și încredere.
Chiar și o firmă mică, cu buget limitat, poate preveni astfel de situații. 

Ce contează este să adopți o combinație de:

• măsuri tehnice: antivirus, firewall, backup, criptare, 2FA;
• măsuri organizatorice: actualizări regulate, politici clare, controlul accesului, instruirea oamenilor.

Aceasta este abordarea cerută de art. 32 din GDPR – un nivel de securitate adecvat riscului, obținut prin măsuri tehnice și organizatorice potrivite. Iar multe dintre soluțiile menționate sunt validate și de ISO 27001, standardul internațional pentru securitate cibernetică în organizații.

Gândește-te la securitatea digitală ca la o asigurare practică:

• antivirusul e filtrul de intrare în firmă
• backup-ul e planul B fără de care riști tot
• criptarea protejează datele chiar și când dispozitivele sunt pierdute
• autentificarea în doi pași blochează accesul neautorizat
• iar procedurile clare și instruirea sunt esențiale pentru ca echipa ta să nu greșească

Acest tip de protecție nu este doar despre IT. E despre încredere, responsabilitate și continuitate. Iar fiecare pas pe care îl faci acum reduce riscurile și te poziționează ca un business pregătit pentru lumea digitală în care trăim.