RGPD: S21Sec partilha medidas para uma compliance à prova de tudo

Em vista da eminência do prazo final para a compliance, a S21Sec apresentou uma análise sistemática do RGPD objetivo a objetivo para uma compliance verdadeiramente resiliente

RGPD: S21Sec partilha medidas para uma compliance à prova de tudo

Com o 25 de maio essencialmente à porta, o RGPD torna-se um tópico cada vez mais urgente. Em muitos casos, o problema é que o RGPD oferece guias sobre o que deve ser garantido, mas não como – isto é, não oferece medidas concretas para garantir a compliance.

No fina de abril, a S21Sec e a Cisco receberam um grupo de clientes finais para apresentar a sua visão conjunta sobre cibersegurança e proteção de dados, e discutir as implicações tecnológicas do RGPD.

O evento contou com a participação de Sofia Tenreiro, diretora-geral da Cisco Portugal, que detalhou a evolução da estratégia de segurança da Cisco, incluindo a aquisição de cerca de 200 empresas maioritariamente na área de segurança nos últimos anos.

“Acreditamos que as soluções específicas de segurança são muito importantes, e por isso temos de ter um portfólio vasto que consiga responder a todas as necessidades dos clientes. Mas para além disto, tudo o que vendemos tem soluções de cibersegurança embebidas, porque a segurança não pode ser apenas responsabildade do IT, nem pode estar presente apenas nas soluções específicas, uma vez que tudo o que existe na empresa poderá ser alvo de ataque.”

Sofia Tenreiro reforçou, contudo, que “a cibersegurança não é só tecnologia: tem uma componente muito forte de processos, e tem também uma componente muito forte de pessoas, e só trabalhando nestes três vetores conseguimos ter as nossas empresas protegidas, não só contra os hackers mas também questões como o RGPD."

No evento, a S21Sec apresentou uma análise sistemática do RGPD objetivo a objetivo para uma compreensão abrangente e concreta das medidas a tomar para uma compliance verdadeiramente resiliente.

A análise oferece, por objetivo dois cenários: um “controlo puro”, o cenário ideal de compliance total, e o “controlo compensatório”, no qual, não sendo o cenário anterior uma opção, seja alcançada uma aproximação razoável do objetivo por detrás do mesmo.

Idealmente, dever-se-ia trabalhar no sentido de implementar controlos puros em todos os tópicos a abordar – e na maioria dos artigos delineados abaixo não existe outra opção. Contudo, os controlos compensatórios oferecem um espaço de manobra decisivo para organizações cuja arquitetura de IT e/ou simples falta de preparação não permitam uma compliance ideal a tempo do prazo limite.

 

Abrangência territorial

O Regulamento é aplicável ao processamento de dados pessoais provenientes da UE, quer o processamento tome lugar dentro ou fora da União Europeia

  • Controlo Puro: Aplicar os controlos tanto in-premises como em ambientes cloud
  • Soluções: Soluções que ofereçam controlo e monitorização de acesso a dados aos serviços de cloud utilizados

 

Minimização de dados

Os dados pessoais armazenados devem ser adequados, relevantes, e limitados ao estritamente necessário para o propósito do seu processamento

  • Controlo puro: Os sistemas de informação são concebidos especificamente para a recolha mínima de dados para o propósito consentido
  • Controlo compensatório: Masking gerido de partes específicas dos datasets, tornando-os inacessíveis aos utilizadores dos sistemas de informação e mesmo administradores de bases de dados.
    • Justificação: impossibilidade ou dificuldade de substituir sistemas de informação legacy
  • Soluções:
    • Sistemas de gestão de bases de dados com capacidades de masking/obfuscação
    •  Sistemas de informação específicos que giram o masking/obfuscação dos SGBD externamente

 

Direito de acesso aos dados

Quando requerido, o controlador deve fornecer ao proprietário dos dados uma cópia de todos os seus dados pessoais a serem processados

  • Controlo: Os sistemas de informação são dotados de mecanismos de identificação dos dados de cada indivíduo
  • Soluções:
    • Soluções de data discovery capazes de navegar repositórios de dados estruturados e não-estruturados
    • Personal Data Catalogs que ofereçam acesso controlado e expedito aos dados

 

Direito a ser esquecido

O proprietário dos dados tem direito à eliminação total e atempada dos mesmos a pedido

  • Controlo puro: Todos os dados do indivíduo são eliminados dos sistemas, incluindo backups.
  • Controlo compensatório: Todos os dados são anonimizados em todos os sistemas, incluindo backups
    • Justificação: Risco de comprometer a integridade referencial ou outras dificuldades técnicas no contexto dos sistemas de informação
  • Solução:
    • SGBD com capacidades de anonimização 
    • Sistemas de informação específicos que giram a anonimização das SGBD externamente

 

Proteção de dados by design

No momento da determinação da forma de processamento, o controlador deve implementar medidas técnicas apropriadas para garantir a proteção dos dados

  • Controlo puro: Todos os sistemas de informação são concebidos de origem com a segurança dos dados em mente
  • Soluções: Soluções que suportem Secure Software Development Life Cycle (S-SDLC)

 

Garantia de processadores

O controlador deve apenas usar processadores que ofereçam garantias suficientes para a implementação de medidas técnicas e organizacionais adequadas

  • Controlo puro: Os controladores devem submeter todos os processadores a auditorias extensivas e frequentes
  • Controlo compensatório: Os controladores determinam e validam garantias de processadores através do uso de ferramentas de benchmarking como ratings de segurança
    • Justificação: constrangimentos de tempo
  • Soluções: avaliações de segurança por parte de terceiros como forma sistemática dos controladores validarem todos os processadores (recomenda-se o recurso a certificações como ISO 27001)

 

Registo de atividades

Cada controlador tem a responsabilidade de manter um registo das atividades de processamento. Este registo deve conter os recipientes com os quais os dados pessoais foram ao serão partilhados.

  • Controlo puro: Registo de ficheiros sensíveis, registo de autorização de acesso aos mesmos e registo de quem efetivamente acedeu aos mesmos
  • Soluções: Soluções que registem ficheiros sensíveis e autorização de acesso e monitorizem continuamente o acesso aos mesmos

 

Encriptação de dados

O controlador e o processador devem implementar encriptação de todos os dados pessoais

  • Controlo puro: Encriptação dos dados em repouso
  • Soluções: Soluções de backup, SGBD e vaulting com capacidades de encriptação

 

Testes de segurança regulares

O controlador e o processador devem implementar um processo regular de teste, auditoria e avaliação da eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento de dados

  • Controlo puro: Implementação de um Programa de Auditoria técnico
  • Soluções: Solução de gestão de vulnerabilidade com um programa de auditoria e testes de penetração.

 

Notificação de quebras de segurança

Todas as quebras de segurança de dados pessoais devem ser notificadas à autoridade de proteção de dados.

  • Controlo puro: Deteção de atividades atípicas e violação de políticas, e alerta em tempo real das mesmas, especificamente para ficheiros e dados não-SGBD
  • Soluções: Soluções de classificação de ficheiros e uma solução de DLP que monitorize, detete e emita alertas de violações de políticas DLP

 

Notificação detalhada de quebras de segurança

No caso de uma quebra de segurança, o relatório emitido deve descrever em detalhe a natureza da mesma, incluindo, quando possível, as categorias e número aproximado de indivíduos afetados.

  • Controlo puro: Registo estruturado de todos os dados acedidos
  • Soluções: Solução de registo estruturado com a capacidade de registar todas as operações que envolvam dados pessoais

 

Capacidades investigativas

Todas as quebras de segurança de dados pessoais devem ser relatadas à autoridade de proteção de dados em menos de 72 horas, incluindo os factos, as suas consequências e as medidas tomadas para remediar a situação

  • Controlo puro:  Capacidade de olhar para o passado e investigar o timeline relevante para a elaboração de um relatório satisfatório do incidente
  • Solução: Solução que ofereça capacidades forênsicas digitais a dispositivos endpoint e, idealmente, às próprias redes.

 

Deteção de ameaças em tempo (quase) real

Ao definir o valor de uma coima administrativa, é fatorizada a duração da infração.

  • Controlo puro: deteção de comprometimentos da segurança e ameaças eminentes tão cedo quanto possível
  • Soluções: Soluções que ofereçam prova de riscos e ameaças eminentes tão cedo quanto possível:
    • Monitorização Web e de DNS
    • Soluções de analítica comportamental e anti-malware para endpoints e, idealmente, redes.
Tags

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 19 Maio 2019

IT INSIGHT Nº 19 Maio 2019

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.