Listamos as áreas com maior probabilidade de serem negligenciadas
Publicado:
Leitura 8 minutos
O Regulamento Geral de Proteção de Dados da União Europeia (GDPR) é uma grande mudança de como as empresas abordaram a proteção de dados no passado, de quão receptivas devem ser suas equipes de segurança e quão claramente elas podem dizer onde os dados pessoais residem. É sobre a questão dos dados pessoais que as empresas estão usando cada vez mais.
Com a proximidade do prazo final de 25 de maio, é bastante provável que as organizações ainda tenham copiosas quantidades de informações pessoalmente identificáveis (PII) – desde dados de cookies até identificadores de dispositivos e endereços IP – em sistemas distintos localizados on-premise e na nuvem.
O que é PII e como pode ser usado?
Sob o GDPR, o processamento de dados pessoais é mais amplo do que nas legislações de proteção de dados locais anteriores. O Artigo 2 do GDPR declara que o regulamento se aplica ao “processamento de dados pessoais, total ou parcialmente, por meios automatizados e ao processamento, que não por meio automatizado de dados pessoais, que fazem parte de um sistema de arquivamento.”
Então, como você define dados pessoais?
Nos termos do artigo 4.º, os dados pessoais significam “qualquer informação relativa a uma pessoa singular identificada ou identificável (sujeito dos dados); uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos do físico, fisiológico, identidade genética, mental, econômica, cultural ou social daquela pessoa natural ”.
Isso pode incluir endereços IP e dados de cookies e, com o GDPR apresenta conceitos mais recentes como solicitações de acesso (SARs), direito ao esquecimento / direito de exclusão e portabilidade de dados, os cidadãos da UE agora têm o direito de saber quais dados são coletados. E isso é uma preocupação para as empresas quando as PII podem estar em qualquer lugar, desde plataformas sociais e de e-mail a sistemas de RH, HCM e CRM. (Para um mergulho mais profundo sobre PII, consulte ” O que é informação pessoal identificável (PII)? Como protegê-la sob o GDPR“).
O primeiro passo é um exercício de definição de escopo
A falta de conscientização sobre onde os dados residem tem incomodado as organizações. Pegue a cadeia britânica Wetherspoons, por exemplo, que aparentemente apagou seu banco de dados de mais de 500 mil e-mails e começou de novo, supostamente sob a crença de que não poderia obter consentimento renovado, nem gerenciar e proteger adequadamente esses dados pessoais.
“Sentimos, no balanço, que preferimos não ter endereços de e-mail para os clientes. Quanto menos informação do cliente tivermos, o que agora é quase nada, então o menor risco associado aos dados ”, disse a empresa em um comunicado à Wired na época.
Nick Ioannou, diretor de TI da empresa de arquitetura Ratcliffe Groves, do Reino Unido, diz que as organizações precisam primeiro identificar se são processadores ou controladores de dados, bem como quais dados já possuem. “O primeiro passo é identificar quem tem acesso aos dados de PII e se eles são um controlador ou um processador. Isso também está ligado a onde seus dados estão, por exemplo, um sistema de e-mail baseado em nuvem. Em seguida, analisa os riscos e a segurança em torno dos dados, juntamente com a identificação de qualquer processamento automatizado. Entender as leis que afetam seus negócios que substituem o GDPR também é importante para cumprir suas obrigações GDPR corretamente.”
As etapas para encontrar PII inesperadas
O GDPR lista as seis razões legais para o processamento de dados pessoais: consentimento, contrato, obrigação legal, interesses vitais, tarefa pública e interesses legítimos. A razão pela qual isso é importante é que, depois de ter identificado as PIIs que você tem e onde estão, ainda é preciso identificar a base legal para tê-la ou alterar seus processos, para que você pare de pedir PIIs que não precisa.
Primeiro, como você acha as PIIs? Aqui estão apenas alguns exemplos de onde as PIIs podem residir fora dos principais sistemas operacionais:
Na opinião de Ioannou, “a Regulamentação Geral de Proteção de Dados é realmente analógica e digital. Então a primeira coisa a fazer é dar um passo atrás em todos os lugares onde as coisas são escritas, impressas, digitalizadas ou criadas e armazenadas. O Shadow IT pode conter muitos dados pessoais que podem não estar disponíveis, além de drives e unidades de memória USB removíveis, além de backups. ”
Stewart diz que você precisa procurar em todos os lugares, literalmente. “Isso inclui armários, armazenamento de terceiros, servidores de arquivos. O primeiro passo é deixar claro quais são os dados pessoais – a classificação das informações é um pré-requisito para que você conheça os dados pessoais quando os vir. Ouvi falar de várias organizações que efetivamente tiveram que começar a pesquisar dados pessoais novamente porque não haviam formalizado o que estavam procurando.”
Talvez depois do escândalo da Cambridge Analytica, até a cadeia de suprimentos sinta os efeitos do GDPR: “A cadeia de suprimentos é definitivamente um lugar importante para se observar. Eu também sugiro recursos de backup e arquivamento. Também tenha em mente que o GDPR está pousando no meio da maior migração do conhecimento humano na história. ”
Stewart está se referindo à rápida mudança do armazenamento on-premise para a nuvem. “Embora isso não seja uma coisa ruim, os drivers geralmente reduzem os custos de armazenamento ou são movidos antes que um disco fique sem espaço. Portanto, a maioria das organizações está realizando migrações de conteúdo que não entendem completamente. Haverá todos os tipos de dados pessoais sensíveis que foram movidos para a nuvem sem que se tenha percebido isso. ”
Nic Miller, agora um CISO virtual, mas anteriormente CISO na empresa de gestão de fundos de hedge da Europa, Brevan Howard, também vê muitos dados reais sendo usados em sistemas de teste. Ele acredita que dados não estruturados serão o ponto cego para muitas organizações. “Pastas compartilhadas, unidades temporárias, etc. Não há uma maneira simples de pesquisar dados pessoais … lembrando que os dados pessoais são uma rede mais ampla do que os PIIs mais bem compreendidos.”
“Muitas empresas usarão serviços de terceiros para vários serviços de funcionários, folha de pagamento, pensões, seguros, etc. Todas essas empresas terão grandes quantidades de dados confidenciais na maioria de suas equipes”, diz Miller. “Não olhe apenas para isso através de uma lente de due diligence, no entanto”, alerta.
Como as organizações avançam?
“O GDPR fala sobre a implementação de ‘medidas técnicas e organizacionais apropriadas para garantir um nível de segurança apropriado ao risco’, de modo que, para provar que temos as medidas apropriadas, nossa infraestrutura e processos de TI precisam ser documentados e os riscos avaliados, comenta Ioannou . Shadow IT, retenção, direitos, compartilhamento e controle de acesso precisam ser analisados, juntamente com quase todos os processos de negócios e onde as obrigações GDPR impactam esses processos. ”
“Duas atividades principais devem ser prioritárias”, enfatiza Stewart. “Primeiro, coloque em prática um processo para gerenciar o risco do projeto e implementar padrões de segurança desde o momento de sua concepção. Segundo, defina dados pessoais, execute um processo de descoberta para encontrá-lo na BAU e, em seguida, realize uma avaliação de risco de alto nível usando um processo de triagem de um núcleo de controles importantes que você acredita fornecer para dados pessoais. Por exemplo, revisões de controle de acesso, registro e monitoramento, gerenciamento de vulnerabilidades, etc. podem ser parte de um “top ten”.
Stewart prossegue dizendo que, embora as tecnologias de criptografia e pseudonimização sejam “ótimas … elas são frutas muito boas na árvore”. Whitfield concorda, acrescentando que é bom proteger dados e se “não usados corretamente podem deixar você com uma falsa sensação de proteção.”
“Muitas organizações ainda estão lutando para fazer o básico”, diz Stewart, citando um exemplo de um banco internacional que não sabe “quantos servidores eles têm e para o que estão sendo usados. Acho difícil acreditar em alegações de que eles estão “no topo da” conformidade com o GDPR”.
Nik Whitfield adverte sobre ser sugado por soluções de fornecedores também. “Não deixe que os fornecedores de tecnologia guiem sua estratégia. Os produtos que oferecem “conformidade com o GDPR” fornecem soluções apenas para partes muito específicas do problema. “
Redação
15 horas atrás
Redação
18 horas atrás
Redação
19 horas atrás
Redação
19 horas atrás
Login
