Medidas Técnicas Organizativas do RGPD – e agora?

As empresas também têm a ganhar com a aplicação das principais medidas previstas pelo Regulamento Geral de Proteção de Dados. É o que aqui explica Bruno Rodrigues, da APDPO.

Desde a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD) que têm sido bastantes as questões levantadas quanto à adequação técnica das organizações, de modo ao seu cumprimento.

Se por um lado, existem organizações europeias que em muito excedem a segurança imposta pelo RGPD, por outro lado, e na maioria das PMEs portuguesas, o estado de evolução do IT Security e proteção de dados é, em geral, muito reduzido.

Sendo que essa evolução, dispendiosa em termos de horas de trabalho e recursos financeiros, é de todo recomendável e bem-vinda para o bem da proteção de dados da empresa e dos seus sistemas informáticos. É com este intuito que apresento algumas recomendações genéricas de como abordar a problemática.

 

1 – Visão técnica do RGPD da ótica do Estado

Com a entrada em vigor do RGPD, não tardou que o atual Governo publicasse no seu entender, e de forma genérica, quais as áreas técnicas que toda a administração pública deve atender. Este é, sem dúvida, um importante passo para as organizações privadas uma vez que, segundo entendo, irá ajudar as empresas a escolher quais as áreas que requerem intervenção imediata do ponto de vista da Segurança de Dados ficando, desta forma, a conformidade das entidades privadas equiparadas às entidades públicas.

De salientar que estar em conformidade não significa, de forma alguma, que a organização está efetivamente segura. É, no entanto, um bom começo. Para tal, basta consultar a Resolução do Conselho de Ministros n.º 41/2018.

Esta resolução distingue três camadas de atuação, de extrema importância – Front-End, Aplicacional e de Base de Dados. Estas três camadas, numa perspetiva de processos de segurança encontram-se englobadas numa matéria intitulada IT Security Governance.

 

2 – Confidencialidade, Integridade e Disponibilidade

Um dos pilares base da Segurança Informática é o CIA – Confidentiality, Integrity & Availability (em português CID – Confidencialidade, Integridade e Disponibilidade). Usado desde os primórdios das redes informáticas, serve para dotar as organizações de três conceitos fundamentais de segurança informática que deverão ser aplicados ao máximo a todas as situações das organizações, inclusive na proteção de dados:

  • Confidenciality – Significa que os dados estão guardados de uma forma segura e apenas acessíveis a pessoas ou processos autorizados para tal. Simplificando, significa que protegemos os dados de acessos não autorizados;
  • Integrity – Proteção dos dados contra modificações não autorizadas, perdas, furtos e divulgação não autorizada;
  • Avaibility – Os sistemas devem garantir redundância e disponibilidade, não devendo existir nem um “único ponto de falha”.

CIA Protecao de Dados

 

 

3 – O software Security Development Lifecycle

Um dos focos da resolução do Conselho de Ministros é no desenvolvimento de software. Este é um dos temas de maior relevo no panorama atual de segurança informática e muito se poderia escrever sobre o tema.

Quero fazer apenas uma introdução ao tema mencionando uma ferramenta, que sendo limitada, em muito pode ajudar os Data Protection Officers a trabalhar com as equipas de desenvolvimento na proteção de dados – https://www.microsoft.com/en-us/SDL.

Para além dos diversos “guias” disponíveis nesta página e em outras (aconselho sempre a consulta da OWASP sobre o tema), a Microsoft desenvolveu um software, que irá permitir às organizações entender rapidamente os ataques que devem ter em consideração, no processo de desenvolvimento de software.

Em cada fase do processo, nos diversos componentes e em projetos que vão desde um simples site até sistemas completos de ERP, a organização mesmo em projetos desenvolvidos por entidades externas tem de ter uma compreensão dos diversos ataques que podem potencialmente comprometer os dados pessoais assim como, quais as medidas que estão a ser implementadas para os mitigar.

A segurança dos dados e da organização visa proteger utilizadores, os seus clientes e os stake holders de potenciais ataques e de perdas de informação e deve ser sempre vista em forma de camadas, em que as medidas técnicas devem visar as garantias do CIA nas diversas áreas da empresa.

Mais em Comunicação