GDPR (Regulamento Geral de Proteção de Dados)

O que é o GDPR (Regulamento Geral de Proteção de Dados)?

O GDPR (Regulamento Geral de Proteção de Dados) é a lei de proteção de dados pessoais da UE (União Europeia) que visa proteger a privacidade dos cidadãos do bloco econômico. Promulgado em maio de 2018, ele impõe um conjunto unificado de regras a todas as organizações que processam dados pessoais originários da UE, independentemente da localização.

Como o GDPR se aplica a qualquer organização que processe dados pessoais originários da UE, incluindo organizações sediadas em outras partes do mundo, é importante que todas as organizações avaliem a conformidade e cumpram as obrigações estabelecidas no regulamento.

As consequências da não conformidade são significativas, com multas que chegam a €20 milhões ou 4% da receita anual mundial da empresa controladora, o que for maior.

Quais dados precisam ser protegidos pelo GDPR?

Dados pessoais são considerados quaisquer informações que podem ser usadas para identificar uma pessoa. Exemplos:

• Nomes
• Números de identificação
• Dados de localização
• Características identificáveis, sejam elas físicas, fisiológicas, genéticas, comerciais, culturais ou sociais
• Informações de contato, como números de telefone e endereços
• Números de cartão de crédito ou dados bancários
• Números de funcionários ou de clientes
• Dados da conta
• Registros e números de placas de veículos

Além da proteção de dados pessoais gerais mencionada acima, o GDPR também exige um nível mais alto de proteção para dados pessoais confidenciais. São dados pessoais confidenciais:

• Dados genéticos, biométricos e de saúde
• Dados raciais e étnicos
• Afiliações políticas
• Afiliações religiosas ou convicções ideológicas
• Filiação sindical 

Embora o GDPR se aplique especificamente a dados pessoais originários da UE, muitas empresas optam por aplicar os requisitos a todos os clientes, independentemente da localização, pois pode ser impraticável, complexo e dispendioso manter duas ou mais políticas de dados e infraestruturas de apoio. Por esse motivo, muitos consumidores que vivem fora da UE também se beneficiam da segurança proporcionada pelo GDPR.

O que o GDPR diz sobre cibersegurança?

A proteção de dados é um componente central da cibersegurança e da conformidade com o GDPR.

O GDPR descreve seis princípios específicos exigidos das empresas ao processar dados pessoais:

1. Legalidade, justiça e transparência
2. Limitação de propósito
3. Minimização de dados
4. Limitação de armazenamento
5. Integridade e confidencialidade
6. Responsabilidade abrangente

Embora o GDPR ofereça orientação específica às organizações com relação ao processamento de dados pessoais da União Europeia, as diretrizes exigem que as empresas usem seu próprio julgamento – ou consultem especialistas – para garantir a conformidade.

Por exemplo, o Artigo 5(1)(f) estabelece que as organizações devem manter a “segurança adequada dos dados pessoais, levando em conta os conhecimentos técnicos disponíveis e implementando medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco”.

Isso levanta vários pontos de preocupação importantes e extremamente consequentes para as organizações:

• O que constitui “segurança adequada dos dados pessoais”?
• O que constitui “medidas técnicas e organizacionais adequadas”?
• O que constitui “um nível de segurança adequado ao risco”?
• Como o risco cibernético é um conceito em evolução, como a empresa pode garantir que as ferramentas, políticas e processos implementados fornecem cobertura suficiente para garantir a conformidade geral de forma contínua?

O GDPR também especifica vários outros pontos importantes que afetam a conformidade de uma organização. Por exemplo, qualquer comprometimento de dados que represente um risco para as pessoas deve ser reportado dentro de 72 horas após a organização tomar conhecimento do caso. Isso ressalta a necessidade de uma organização ter um plano detalhado de resposta a incidentes, bem como sistemas que permitam à organização avaliar rapidamente a ocorrência e reunir as informações necessárias que devem ser reportadas às autoridades relevantes.

Quais controles de segurança você deve considerar?

Como o GDPR baseia-se em grande parte na avaliação do nível específico de risco da organização e na implementação de medidas “adequadas” com base nesse risco, não há uma solução de segurança padrão delineada no GDPR.

Dito isso, existem várias práticas recomendadas que as organizações devem seguir para compreender os seus riscos e proteger a sua organização contra comprometimentos de dados e possíveis ramificações legais associadas ao GDPR.

Implementar ferramentas e políticas robustas de IAM

Um dos principais princípios do RGPD é que os dados pessoais coletados pela organização devem ficar acessíveis apenas aos funcionários que possuem uma necessidade específica e crítica desses dados como parte de suas responsabilidades profissionais diárias. Isso ajuda a garantir que o acesso a dados pessoais identificáveis e a dados pessoais confidenciais seja limitado ao menor número possível de pessoas.

O IAM (identity and access management, gerenciamento de identidade e acesso) é um framework que permite à equipe de TI verificar a identidade de um usuário e confirmar seus direitos de acesso. Embora o IAM seja amplamente aplicável a qualquer sistema, rede ou ativo, no contexto do RGPD, ele concentra-se no acesso a dados.

Dentro do IAM, existem diversas estratégias de acesso seguro que uma organização pode considerar, incluindo:

• Zero Trust: uma estrutura de segurança que exige que todos os usuários, estejam eles dentro ou fora da rede da organização, sejam autenticados, autorizados e validados continuamente quanto à configuração e postura de segurança antes de ter seu acesso a aplicações e dados concedido ou mantido.
• POLP (princípio do privilégio mínimo): um conceito e prática de segurança de computadores que concede aos usuários direitos de acesso limitados com base nas tarefas necessárias ao seu trabalho. O POLP garante que apenas usuários autorizados, cuja identidade foi verificada, tenham as permissões necessárias para executar trabalhos em determinados sistemas, aplicações, dados e outros ativos.
• MFA (autenticação multifatorial): um recurso de segurança que concede acesso ao usuário somente após a confirmação de sua identidade com uma ou mais credenciais além de nome de usuário e senha. Isso pode incluir um código de segurança enviado por mensagem de texto ou e-mail, um token de segurança de um aplicativo autenticador ou até mesmo um identificador biométrico.

Desenvolver e implementar um programa de formação em cibersegurança, incluindo o Treinamento em Privacidade de Dados

O foco do GDPR é proteger os dados de qualquer tipo de risco. Isso pode incluir os métodos e ferramentas de cibersegurança que resguardam os dados e os protegem contra violações externas, bem como as medidas tomadas e as políticas aplicadas para garantir que os dados sejam tratados de forma adequada internamente pelos funcionários.

Embora os cibercriminosos dependam de vários métodos para atacar uma organização, um dos mais comuns – e geralmente mais fáceis – é atingir os funcionários por meio de ataques de phishing coordenados ou outras técnicas de engenharia social. Para minimizar esse risco, as organizações precisam desenvolver um programa abrangente de treinamento de funcionários em cibersegurança que eduque as pessoas sobre os riscos comuns de segurança, promova um comportamento responsável na web e descreva as etapas a serem seguidas quando acreditarem que estão sofrendo um ataque.

Além disso, os funcionários que têm acesso a dados pessoais confidenciais devem passar por treinamento especial sobre privacidade de dados para garantir a aplicação das medidas necessárias para protegê-los.

Implemente uma solução abrangente de DLP

A DLP (data loss prevention, prevenção contra perda de dados) faz parte da estratégia geral de segurança de uma empresa que se concentra nos seguintes aspectos: detecção e prevenção de perda, vazamento ou uso indevido de dados por meio de ataques, transmissões de exfiltração e uso não autorizado.

A DLP também é uma forma de as empresas identificarem e classificarem informações pessoais confidenciais e garantirem que as políticas de dados da empresa cumpram os regulamentos relevantes, incluindo o GDPR. Uma solução de DLP adequadamente projetada e configurada simplifica os relatórios para atender a esses requisitos de conformidade e auditoria.

Além da identificação e classificação de dados pessoais confidenciais, algumas soluções de DLP podem rastrear quando esses dados são acessados, compartilhados ou baixados e fornecer alertas aos membros relevantes da equipe.

Implante técnicas de ofuscação de dados, incluindo pseudonimização e anonimização com DLP

Outro componente da DLP tem a ver com a proteção de dados por meio de técnicas de ofuscação.

A ​​ofuscação de dados é o processo de disfarçar dados confidenciais ou sigilosos para protegê-los contra acesso não autorizado. As táticas de ofuscação de dados podem incluir:

• Mascaramento de dados: o mascaramento de dados, ou anonimização de dados, é uma técnica de ofuscação de dados por meio da qual dados confidenciais, como chaves de criptografia, informações pessoais ou tokens de autenticação e credenciais, são extraídos de mensagens de log. O mascaramento de dados altera o valor dos dados ao usar o mesmo formato para os dados mascarados.
• Pseudonimização: a pseudonimização de dados é uma técnica de ofuscação de dados em que as organizações podem desidentificar um registro de dados substituindo campos de dados pessoais identificáveis por uma entrada fictícia ou pseudônimo.
• A criptografia de dados protege os dados, convertendo texto simples em informações codificadas (texto cifrado), que só podem ser acessadas por meio de descriptografia com a chave de criptografia correta.
•  Tokenização: a tokenização de dados é o processo de substituição de um dado confidencial por outro valor, conhecido como token, que não tem significado ou valor intrínseco. Ela torna os dados inúteis para um usuário não autorizado.

Considere implementar uma solução de IRM para organizações ou indústrias de alto risco

Uma ameaça interna é um risco à cibersegurança que vem de dentro da organização. Em geral, ela é proveniente de um funcionário atual ou antigo ou de outra pessoa que tenha acesso direto à rede da empresa, a dados confidenciais e propriedade intelectual (PI), bem como conhecimento dos processos de negócios, políticas da empresa ou outras informações que possam ajudar a realizar esse tipo de ataque.

Quando se trata de conformidade com o GDPR, o IRM (Insider Risk Management, Gerenciamento de Riscos Internos) pode ser uma consideração importante, já que muitas vezes os colaboradores internos podem causar mais danos do que os atores de ameaças externos quando trata de dados pessoais. O IRM é uma solução que mostra as atividades de alto risco de usuários, ajudando as equipes do SOC (Security Operations Center, Centro de Operações de Segurança) e do Departamento de Ameaças Internas a detectar, investigar e responder rapidamente ao comprometimento de dados confidenciais causado por funcionários internos. Por exemplo, os funcionários internos geralmente sabem onde os dados estão localizados, como acessá-los e, em alguns casos, quais são as brechas nos sistemas de detecção. A confiança implícita e o acesso concedido aos funcionários, juntamente com seu conhecimento institucional, podem dificultar a distinção entre atividades arriscadas e uso autorizado.

O IRM está se tornando cada vez mais importante à medida que os modelos de trabalho remoto ou híbrido continuam a crescer e os funcionários têm mais acesso do que nunca a sistemas e dados por meio de mais aplicações e sistemas de mensagens para aumentar a produtividade.

Atualmente, a DLP e o IRM são duas soluções de segurança distintas e separadas. No entanto, à medida que a proteção de dados se torna um elemento central da maioria dos programas de cibersegurança, essas duas soluções estão começando a convergir.

Desenvolva um plano de resposta a incidentes (IR)

Como o GDPR especifica que as organizações devem reportar um comprometimento de dados à Autoridade de Proteção de Dados dentro de 72 horas, as organizações que gerenciam dados pessoais europeus devem ter um plano claro para lidar com essas ocorrências.

Resposta a incidentes (IR) é o termo abrangente usado para descrever as etapas que as empresas realizam para se preparar, detectar, conter e se recuperar de um comprometimento de dados.

Uma das partes mais importantes do plano de IR em relação ao GDPR é a notificação de incidentes. Isso inclui todas as notificações, tanto internas como externas, que devem ser feitas após um incidente ter sido analisado e priorizado. Este aspecto do plano também deve incluir requisitos de relatórios específicos do GDPR ou de quaisquer outros regulamentos relevantes.

Proteção de endpoint e gerenciamento de vulnerabilidades

Os endpoints são o nexo para a perda de dados valiosos. Os dados corporativos não apenas fluem e permanecem armazenados nos dispositivos, como também são usados para autenticar usuários e identidades e acessar repositórios de código, workloads na nuvem, aplicativos de SaaS (software-as-a-service, software como serviço) e arquivos. Isso torna a proteção de endpoint – a abordagem de cibersegurança para defender endpoints de atividades maliciosas – um elemento importante para manter a conformidade com o GDPR.

Da mesma forma, o gerenciamento de vulnerabilidades – o processo contínuo e regular de identificar, avaliar, relatar, gerenciar e remediar vulnerabilidades cibernéticas em endpoints, workloads e sistemas – é outra medida crítica de segurança. O gerenciamento de vulnerabilidades é uma categoria ampla, que pode incluir atualizações e correções de software para proteção contra as ameaças e explorações mais recentes.

Aproveite o SIEM e a SOAR para automatizar fluxos de trabalho e agilizar as atividades de conformidade do GDPR

O GDPR exige das organizações uma série de relatórios. Soluções de segurança centralizadas, como SIEMs e SOARs (Security Orchestration, Automation and Responses – Orquestração, Automação e Respostas de Segurança), geralmente incluem capacidades de conformidade integradas que reúnem automaticamente dados de diferentes ferramentas e softwares e agregam esses dados em um único relatório. Esses relatórios podem ser personalizados para manter a conformidade com os requisitos obrigatórios do GDPR, bem como outras regulamentações.

Os sistemas de SIEM e SOAR também podem ser configurados para emitir alertas quando ocorrerem violações. Isso fornece às equipes de TI insights valiosos sobre possíveis riscos e ajuda as equipes a resolvê-los mais rapidamente, o que não apenas limita o impacto potencial do ataque, mas também reduz os casos de não conformidade.

Como a CrowdStrike pode ajudar com a conformidade com o GDPR

A cibersegurança desempenha um papel fundamental na proteção de dados e na conformidade com o GDPR. As ofertas de produtos de última geração, os serviços profissionais e a experiência global da CrowdStrike podem ajudar as organizações a cumprir suas obrigações com o GDPR.

A plataforma CrowdStrike Falcon^® foi projetada com a proteção de dados em mente. O modelo de crowdsourcing baseado em nuvem da CrowdStrike foca a identificação de IOAs (indicators of attack, indicadores de ataque) em tempo real para deter as ameaças desconhecidas do amanhã, em vez de apenas os comprometimentos conhecidos do passado.

A plataforma Falcon também capacita os clientes a impedir ataques por meio da implementação de proteções de última geração com transparência, portabilidade, minimização de dados e proporcionalidade. Isso garante a proteção das empresas e outros interesses legítimos, como aqueles nos Preâmbulos 47, 48 e 49 do GDPR.