avocatnet.ro 
GDPR nu prevede doar obligații privind prelucrarea datelor personale sau informarea persoanelor vizate de acea prelucrare. Firmele trebuie să își ia măsuri de securitate pentru evitarea riscurilor care apar odată cu prelucrarea datelor (de exemplu, incidentele de securitate).
Mai mult, măsurile de securitate anterior-menționate trebuie și să fie testate, în scopul folosirii unor măsuri corespunzătoare și conforme. O astfel de obligație reiese din articolul 32 (1) (d) GDPR, unde este menționată expres obligația implementării unui „proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării”.
Una din modalitățile de testare ale măsurilor de securitate folosite, conform unui articol scris de Laura Downes și apărut pe blog-ul „IT Governance European Blog”, este testul de penetrare. În esență, testele de penetrare vă oferă oportunitatea de a vă testa nivelul efectiv de securitate al măsurilor folosite și vă ajută să înțelegeți care sunt cele mai potrivite măsuri de securitate.
Totuși, acesta este scopul, dar ce implică testele de penetrare? În esență, într-un articol de pe același blog, un autor - Nick Calver - menționează că testele de penetrare ar putea fi văzute ca o simulare. În cadrul testelor de penetrare, cineva testează nivelul de securitate al sistemului folosind aceleași tehnici pe care le-ar folosi un hacker, pentru a vedea dacă și unde sunteți expuși.
Ce se va întâmpla, de fapt, conform procedurii aristilabs, o companie specializată în servicii de securitate cibernetică: clientul îi va da acces de bază persoanei care face testul de penetrare în sistemul/sistemele clientului. Practic, e vorba de un acces autorizat la chestiuni elementare pe care le poate face cineva pe un sistem informatic.
În continuare, persoana care a primit acces de bază, va încerca să acceseze documente și informații cu privire la care n-a primit acces. Cu alte cuvinte, e vorba de documente care sunt, în mod normal, accesibile administratorului de sistem și care ar putea conține date personale.
În esență, persoana care face testul de penetrare va încerca să acceseze cât mai multe date, în scopul de a face o analiză completă a sistemului și a descoperi toate posibilele probleme de securitate.
Odată terminat testul (în punctul în care se consideră că toate punctele slabe din punct de vedere al securității au fost descoperite), persoana care face testul îi va trimite clientului un raport cu toate descoperirile, în scopul remedierii problemelor de securitate.
Avantajul este dat de faptul că aplicabilitatea nu este una teoretică, ci este una practică, în timp real, care, utilizând aceleași procedee pe care le-ar utiliza un hacker, oferă o modalitate de testare cât mai obiectivă posibil.
În același timp, un test de penetrare implică anumite costuri ridicate, dar asta se datorează exact modalității de desfășurare a testelor. Conform Analytics Insight - o platformă de analiză de date, printre altele -. testarea implică accesarea sistemului de către expertul în securitate care implementează testul și, de asemenea, implică mai multe discuții cu expertul în securitate.
MrFB