Deixo em baixo os 5 pontos que cada organização deve ter em consideração:
Ponto 1. Conheça os seus dados: identifique as Informações Pessoais Identificáveis que sua a organização tem e quem tem acesso a elas;
Ponto 2. Gerenciar os dados: estabeleça as regras e processos para aceder e usar esses dados pessoais;
Ponto 3. Proteja os dados: implemente e garanta que os controles de segurança estejam em vigor para proteger as informações e responder às violações de dados;
Ponto 4. Documentação e cumprimento: documente os seus processos, execute solicitações de dados e relate quaisquer problemas ou violações de dados dentro das diretrizes;
Ponto 5. Melhoria Contínua: acompanhe o mundo digital em constante mudança, reveja e melhore constantemente os seus processos e procedimentos de privacidade e de proteção de dados;
Agora que já sabe quais os principais pontos, vamos ao detalhe de cada um deles:
Ponto 1
As principais questões que devem ser colocadas são:
Quem tem acesso às informações (e sabe quando estão acedendo)?
Porque essas pessoas acedem a essa informação, será realmente necessário?
Qual é o propósito desses acessos, existem alternativas?
Ponto 2
Quem, porquê e o quê? Não surpreendentemente, depois de entender e classificar por completo os seus dados, muitas organizações percebem que o acesso a esses dados não é cuidadosamente gerido. Este é o momento para criar os fluxos de trabalho, processos e garantir que as pessoas tenham acesso somente aos dados quando for necessário para a sua função de negócios. Reveja também os seus contatos efetuando um novo pedido de consentimento e reveja-os sempre que necessário. O RGPD obriga cada organização a dizer exatamente o que está a recolher, a finalidade dessa recolha e onde eles vão ser usados e, finalmente, quanto tempo você armazena esses mesmos dados. Ao mesmo tempo, implemente o processo para tornar possível responder às solicitações de pessoas perguntando o que você está a armazenar, bem como a possibilidade de solicitar uma alteração ou exclusão desses dados. Por último, mas não menos importante, você deve avaliar e identificar o controle de acesso físico e lógico das equipas internas. Não é incomum que a equipa interna de TI, por exemplo, tenha acesso a todos os dados. Será realmente necessário? Documente e garanta que haja auditorias quando as equipas precisarem desse acesso para poder executar o seu trabalho.
Ponto 3
Existem muitos artigos de Segurança de Informação sobre como proteger os seus dados. Implementar e garantir a proteção de dados depende muito de ferramentas e tecnologia. Embora as ferramentas e a tecnologia sejam essenciais para proteger os dados, isso não é suficiente. Proteger os seus dados vem do artigo 25 e é mais do que apenas tecnologia. Isso significa que você deve disponibilizar os seus dados sempre que forem solicitados ou disponibilizá-los novamente o mais rápido possível, atualizados, quando algo acontecer ( falha de segurança, desastre…). Colocar a segurança nas suas portas, tanto física como digital, é necessário, mas vai muito além disso: restringir o acesso, auditar quem tem acesso e faz o quê, monitorizando e implementando proteções contra malware. Por fim, garantir as cópias de segurança com software sólido, encriptado e um plano de disponibilidade com testes e validações regulares são essenciais. Acreditamos que o backup e a recuperação devem-se tornar uma parte obrigatória de todos os novos projetos e incorporados no tecido de cada organização.
Também é importante perceber que, apesar dos melhores esforços, as proteções de dados podem ser violadas. Planos e processos para este tipo de eventos devem ser introduzidos. A maioria das organizações já ouviu falar sobre o princípio da notificação em caso de violação. Se você descobrir uma violação, você é obrigado a notificar as autoridades o mais rapidamente possível ( 72h no máximo ).
Implemente um plano que especifique as responsabilidades de cada equipa no caso de um incidente. Por último, mas não menos importante, não se esqueça do impacto da avaliação dos dados. Sempre que você precisar realizar manutenções ou atualizações, haverá um risco associado a ela, faça testes antes de os colocar em produção.
Pontos 4 e 5
Temos os dois últimos pontos juntos: Documentação e Cumprimento, bem como a Melhoria Contínua.
Primeiro, é importante que cada processo na sua organização seja documentado. Os dados em si podem ser classificados e seguros, mas e a infraestrutura ou serviços subjacentes? E se os dados forem movidos de um local para outro? Se um funcionário mudar de um departamento para outro, ele receberá os direitos corretos para as suas novas responsabilidades e os seus antigos direitos serão apagados? Os dados que você está a recolher (o que foi relevante à 6 meses atrás) ainda são relevantes hoje em dia? (Dica: Execute as tarefas do ponto 1 regularmente)
Os seus parceiros alteraram a maneira como lidam com seus dados?
Os dados da sua organização são encriptados quando necessário nos diversos dispositivos ou quanto enviados para outras entidades?
Estas são apenas algumas das perguntas que você deve questionar-se constantemente. A documentação não só ajuda no caso de uma auditoria, mas também de apoio ao seu responsável interno pela proteção de dados (ou qualquer pessoa que atue como tal, dependendo do tamanho da sua organização). O responsável pela proteção de dados poderá usar essa documentação para rever os fluxos de trabalho, alterar o acesso a determinados dados e garantir que a empresa permaneça em conformidade com a legislação.
Muitas perguntas exigem pesquisas manuais ou algum esforço para concluir, mas outras podem ser automatizadas por meio de relatórios ou recorrendo a softwares.
Já referi que a tecnologia não conseguirá resolver todos os requisitos da legislação. Por isso, o responsável pela proteção de dados precisa receber relatórios e ter uma visibilidade de todas as origens de dados.
Essas informações serão fornecidas a partir de várias fontes: os dados reais em si, os dados da infraestrutura, o perfil de segurança e proteção de dados (revisão e controlo de acessos, possíveis violações ...), pesquisas manuais e muito mais.
Conclusão: O caminho para a conformidade com o RGPD não termina em 25 de maio de 2018. Este é apenas o começo.
Uma única solução técnica para documentar e monitorizar não existe.
Certifique-se que investiga a partir de cada solução quais os dados que podem e devem ser classificados para que o responsável pela proteção de dados possa monitorizar e rever, se necessário.
Para ajudar ao cumprimento do RGPD a Quantinfor criou uma série de produtos e soluções que ajudam nos pontos de segurança dos dispositivos e periférica, encriptação de dados, monitorização da infraestrutura e formação aos utilizadores.
Destacamos, caso tenha interesse os produtos Q.Safe IT e o software ERP PHC.
Fontes: Veeam Software, Kaspersky Labs, Sigma Favorite
Autor: João Mota, Eng ( CTO – Quantinfor, Lda )