Limpar
Limpar
HomeSegurança da informaçãoGDPR EU: Como preparar minha empresa?

GDPR EU: Como preparar minha empresa?

0 12 de março de 2018
Segurança da informação

Saiba como preparar sua empresa para a nova regulamentação que já está causando grandes mudanças em diversas empresas ao redor do mundo.

Já explicamos o que é a GDPR, o porquê de sua criação e como ela afeta o mercado mundial e o nacional (inclusive sugerimos a leitura desses dois artigos que publicamos antes de iniciar a leitura desse texto). Chegou o momento de falarmos em maneiras práticas de como preparar sua empresa para a GDPR EU (também conhecida como EU GDPR ou somente GDPR).

Muitas empresas pensam que para uma proteção de dados efetiva, basta adquirir um bom antivírus ou algum software que bloqueie um tráfego mal-intencionado. Contudo, para se adequar não somente as normas que a GDPR estabelece, mas também ao real cenário de ataques cibernéticos que aumenta a cada dia, é preciso mais do que um antivírus corporativo de última geração.

É preciso estabelecer agora o “GDPR State of Mind”

Com todo o impacto causado pela GDPR, a proteção de dados pessoais passa a se tornar fundamental para as empresas. Nesse momento, é imprescindível que as políticas de segurança das empresas se baseiem em uma estrutura de regras claras, de responsabilização dos indivíduos e que assegurem uma resposta rápida para as violações que ocorram.

Quando falamos de Segurança da informação, nos apoiamos em 3 pilares, que chamamos de 3P’s: Pessoas, Processos e Produtos. Dois desses 3 pilares se encaixam perfeitamente no que estamos chamando de GDPR State of Mind, pessoas e processos.

Dessa forma, separamos em tópicos o que acreditamos ser a base para estabelecer o tão necessário GDPR State of Mind. Entenda mais.

1. Basear políticas no ISO/IEC 27001

Primeiro vamos entender o que é ISO. A sigla que significa International Organization for Standardization pode ser traduzida como Organização Internacional de Padronização. Assim podemos entender que ISO são normas que padronizam algum seguimento de negócios, seja um produto ou serviço, utilizando normas para aprimorar a qualidade dos seguimentos. Estar em conformidade com o ISO comprova que o determinado seguimento segue as melhores práticas globais do mercado que ele se encaixa.

A ISO/IEC 27001 é a norma voltada para área de gestão de segurança da informação. Ela descreve como colocar em prática sistemas de gestão de segurança da informação.

Estar em conformidade com a ISO/IEC 27001 atesta o compromisso da empresa com a segurança das informações que transitam pela mesma, algo fundamental para GDPR EU.

Dessa forma, basear suas políticas nas melhores práticas da segurança da informação é construir a espinha dorsal da segurança de sua empresa em uma base sólida, além de ser a base para alcançar conformidade com a GDPR.

2. Planeje todos os possíveis cenários

O planejamento precisa fazer parte da fundação de suas políticas de segurança. Pode parecer muito básico, e de fato é, porém, o planejamento é negligenciado de várias formas.

Se sua empresa já tem as políticas estabelecidas é importante revisar todas as atividades de processamento de dados. Analise todo o ambiente e avalie a aplicabilidade da GDPR para cada área específica.

Caso você esteja começando a pensar em políticas de segurança agora, é de extrema importância analisar todos os possíveis cenários que possam ocorrer violações de dados. Busque cases, referências para nortear seu planejamento. Uma alternativa é entrar em contato com alguma empresa especializada e confiável para auxiliar nesses planejamentos.

É sempre bom ressaltar que o planejamento é a base para que todo o restante do processo seja fluido e efetivo. Um planejamento mal feito afetará todas suas operações de forma negativa.

3. Cultive a cultura de segurança em todos os colaboradores

Essa parte é fundamental. Nenhuma política é cumprida no papel. É preciso que as pessoas acreditem e confiem nela. Dessa forma, segurança de dados se tornará algo cultural na organização, e a conformidade com a GDPR virá naturalmente.

Dê treinamentos a todos os colaboradores, apresentem os riscos de uma exposição de dados. Apresente os danos que essas violações podem causar. Danos não só ao financeiro da empresa, mas também a eles em suas vidas particulares, até porque não são só as empresas que sofrem com esses problemas de violações e roubo de dados.

Além disso, é de extrema importância que as empresas tenham alguém, seja um colaborador ou algum consultor externo, para ser responsável por todo esse setor de segurança de dados da empresa. Alguém capacitado, com bagagem e autoridade para desempenhar seu papel de forma eficaz.

Inclusive a GDPR EU designa um nome para esse cargo específico, denominado DPO, que em algumas empresas será um cargo obrigatório. Iremos explicar no próximo tópico.

4. DPO, o responsável pela segurança de dados da empresa

O Encarregado da Proteção de Dados, também chamado de DPO (Data Protection Officer) é o colaborador responsável pela conformidade da proteção de dados pessoais que transitam pela empresa.

Entre suas funções, podemos citar a de orientar colaboradores sobre as melhores práticas e aconselhar as partes no que diz respeito a avaliações de impacto sobre a proteção dos dados.

Existem 3 situações principais que serão necessárias a existência de um DPO.

  1. Organização de autoridade pública – Empresa possua poderes amplos para regular a propriedade pública ou que tenha controle sobre manutenções de infraestrutura pública.
  2. Empresas que estejam envolvidas no monitoramento sistemático de dados de usuários em larga escala.
  3. Organizações e empresas que processam grandes volumes de dados de usuários pessoais.

Reforce sua segurança para a GDPR EU com ferramentas capazes de te proteger e otimizar seus processos

Já falamos de planejar todos os possíveis cenários, estabelecer políticas, instaurar uma cultura em seus colaboradores e até de um novo cargo que será necessário em algumas empresas e organizações. Podemos resumir todos esses tópicos na parte de “Inteligência” da empresa. Agora, iremos tratar da parte “estrutural”, que inclui desde softwares como antivírus até partes físicas como servidores e firewalls. Esse tópico específico se encaixa no 3º “P” que falamos no início do texto, o que corresponde a produtos.

É de extrema importância ressaltar que não existe uma parte mais importante. Todas são fundamentais para que a roda da segurança de dados possa girar naturalmente. Sem a parte de Inteligência, o estrutural não consegue bloquear as ameaças, e sem o estrutural a inteligência também não consegue evitar violações.

Entenda agora sobre excelentes ferramentas capazes de tornar o trabalho de segurança de seus dados realmente efetivo e fluido.

Firewall – Sua primeira barreira contra violações externas

O Firewall é o equipamento responsável por bloquear ameaças que vem da internet para dentro de sua rede. É como se ele fosse o primeiro bloqueio de ameaças externas.

Existem vários tipos e modelos diferentes dessa ferramenta, portanto, iremos tratar dos dois principais no quesito “proteção efetiva”. O primeiro deles é o Firewall UTM, uma solução mais indicada para pequenas e médias empresas que não utilizam uma taxa de transmissão tão alta. O segundo é o Next Generation Firewall (NGFW), uma solução voltada para empresas que utilizam uma elevada taxa de transmissão.

É importante falar que isso são recomendações, mas nada impede que uma pequena empresa utilize o NGFW, nem que uma grande empresa utilize o UTM. O ideal é entender a real necessidade de seu empreendimento e extrair o máximo do equipamento adquirido.

Se você ficou com dúvida de qual é o mais indicado para sua empresa, leia esse post que explicamos as diferenças entre NGFW e o Firewall UTM.

O mais importante para a GDPR nesse caso, são as funcionalidades que o firewall precisa fornecer. Dessa forma vamos explicar abaixo quais são essas funções e porquê são importantes para a GDPR EU.

Sistema de Prevenção de Invasão – IPS (Intrusion Prevention System)

O IPS é um sistema que analisa o fluxo de tráfego da rede a fim de encontrar ameaças. Esse sistema detecta ameaças através do seu comportamento, ou seja, o IPS entende o método que o atacante utiliza para atacar sua rede. Dessa forma é possível proteger sua rede de ameaças conhecidas e desconhecidas.

Para saber mais a fundo sobre o IPS, acesse nosso post que explicamos mais detalhadamente porque ele é fundamental para sua rede.

Sistema de Detecção de Invasão – IDS (Intrusion Detection System)

O IDS tem a função de monitorar o tráfego da rede, detecta-lo e alertar os gestores da rede sobre ataques e até mesmo tentativas de acesso indevidos. Na grande parte dos casos, ele não bloqueia a ação, mas sim verifica se a ação em questão é ou não uma ameaça para sua rede.

NG Antivírus – O antivírus de próxima geração

Assim como o IPS, o NG Antivírus bloqueia e detecta ameaças baseando no comportamento e na forma que afetam o funcionamento do sistema. Assim que detectadas as ameaças são tratadas e seu comportamento entra para o banco de dados do NG Antivírus, para ser utilizada em análises futuras.

Para saber mais a fundo, leia nosso post a respeito de NG Antivírus.

Sistema de Prevenção de Perda de Dados – DLP (Data Loss Prevention)

O DLP é um recurso com um único foco: prevenir o vazamento de dados. Podem existir diferentes tipos de soluções DLP, porém o que importa nesse caso é a prevenção da perda de dados, (o motivo principal da criação da GDPR).

Endpoint Protection – Uma proteção para a ponta da rede

Quando falamos de uma solução de Endpoint protection, pensamos em todos os aspectos de uma solução de Firewall, porém voltado para o ponto final da cadeia.

O que queremos dizer é que um Endpoint que irá te ajudar a entrar em conformidade com a GDPR precisa contar com recursos como IPS, NG Antivírus, um DLP, pois poderá proteger seus dados caso alguma ameaça ultrapasse a barreira do Firewall, ou até mesmo ataques internos como um pendrive infectado, uma máquina particular de algum colaborador ou de algum visitante que se conecte a rede, e possa infecta-la sem passar pelo Firewall.

Messaging Gateway

Com todos os ataques direcionados a e-mails, como o phishing, é preciso buscar soluções para bloquear esses tipos de ameaças. Geralmente, esses ataques ocorrem com links maliciosos ou anexos carregados de malwares.

O Messaging Gateway é uma solução específica para e-mails. Sua utilização é de extrema importância visto que ela conta com proteção contra spams, ataques direcionados e malwares. Além disso, o Messaging Gateway é uma ferramenta capaz de executar filtragens de conteúdo de forma avançada, prevenindo a criptografia de e-mails e a perda de dados.

Softwares de Gestão de dados

Apesar dessas ferramentas não lidarem especificamente com a proteção e segurança dos dados coletados, utilizados e armazenados por uma empresa, entendemos que ter uma visibilidade de todas as informações que transitam pela rede é fundamental.

Aproximadamente 52% dos dados que transitam em uma empresa são considerados obscuros, ou seja, eles não têm um valor conhecido. Essa estatística é alarmante, pois a única forma de obter uma proteção efetiva é conhecendo o real valor dos dados que transitam em sua rede.

Por isso, sugerimos insistentemente que todos os empreendimentos que precisam estar em conformidade com a GDPR, busquem esse tipo de solução, da mesma forma que eles buscam soluções de proteção de dados.

Algumas funcionalidades que entendemos ser fundamentais desse tipo de software são:

  • Navegação simples e clara
  • Total visibilidade dos dados
  • Clareza nas informações

Para entrar em conformidade com a GDPR EU é fundamental ter conhecimento de seus dados obscuros para então conseguir criar políticas de segurança específicas e eficazes para todos os possíveis cenários.

Conclusão

Após toda essa leitura, podemos resumir toda a estrutura necessária para entrar em conformidade com a GDPR em três pilares fundamentais: pessoas, processos e produtos.

Ao longo de todo o artigo tratamos de estabelecer um pensamento voltado para a segurança, criando políticas específicas a fim de proporcionar uma maior proteção das informações além de citar e explicar diversas ferramentas diferentes para compor um cenário efetivo e em conformidade com a EU GDPR.

Continue atento ao nosso blog pois postaremos mais artigos relacionados à GDPR. Também não esqueça de se inscrever em nossa Newsletter, onde enviamos semanalmente diversos conteúdos, sempre visando agregar valor à seus empreendimentos.


 

 

Hugo Bär

Sócio-diretor da Tripla, responsável pela área de Tecnologia, Inovação e Desenvolvimento de Produtos, com mais de 15 anos de experiência em empresas no Brasil e Europa, nas áreas de redes e segurança da informação

Comments

Comment