Central de atendimento +55 (24) 2232-5850 - contato@future.com.br

gdpr

3 agosto 2018
adm.future
0
Categories: Blog, Notícias, Segurança

Nova Lei de Proteção de Dados pessoais: desafios e oportunidades

A administração de dados pessoais de consumidores e cidadãos é um tema crítico para empresas e governos. O maior desafio nesse processo é garantir que informações sensíveis não sejam acessadas por indivíduos não autorizados. Segundo estimativa do Gartner, o investimento global em segurança da informação em 2017 foi de aproximadamente US$ 85 bilhões, um valor recorde e um aumento de 7% sobre o investimento aplicado em 2016. Para 2018, a estimativa é que o montante chegue a US$ 93 bilhões, dada a importância que o tema representa para toda a sociedade.

Apesar disso, 2017 também foi o ano que testemunhou altas perdas causadas por ciberataques, como os ramsonwares WannaCry e Petya/notPetya, que geraram prejuízos estimados entre US$ 5 e US$10 bilhões.

Além da ação de cibercriminosos, em 2018 também acompanhamos um episódio de vazamento de dados envolvendo a Cambridge Analytica. A empresa foi banida do Facebook sob acusação de violar informações de 87 milhões de usuários da rede social nos Estados Unidos. Os dados foram capturados a partir de um “inocente” aplicativo de teste psicológico, chamado “thisisyourdigitallife”, e possivelmente utilizados para disseminar fake news durante as eleições norte-americanas.

Diante desse cenário, é esperado que preocupações com privacidade e controles aplicados às informações compartilhadas entre usuários e empresas tenham tomado grandes proporções. Em maio deste ano, entrou em vigor o Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês), um rigoroso conjunto de regras sobre privacidade válido para a União Europeia, que também afeta pessoas em outras partes do mundo, inclusive no Brasil.

A GDPR promove a proteção de dados dos usuários com a proposta de que o indivíduo saiba quais informações fornece a órgãos públicos e companhias em troca de serviços. A empresa que requisita acesso aos dados dos consumidores também deve esclarecer o motivo da solicitação e para qual finalidade os dados serão utilizados.

No Brasil, um projeto de lei bastante similar ao GDPR está em trâmite no governo. O texto com uma proposta geral de proteção de dados pessoais foi aprovado recentemente pelo Plenário do Senado e seguiu para a sanção presidencial.

Assim como o GDPR, o projeto de lei visa garantir maior controle dos cidadãos sobre suas informações pessoais. O texto exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa privada, e obriga a oferta de opções para o usuário visualizar, corrigir e excluir essas informações. É uma maneira de disciplinar a forma como as informações são coletadas e tratadas em qualquer situação, especialmente em meios digitais.

Se sancionada, a lei entra em vigor daqui a um ano e meio e valerá tanto para atividades e pessoas em território nacional, quanto para coletas feitas fora do País, que estejam relacionadas a bens ou serviços ofertados a brasileiros.

Benefícios aos usuários

O projeto lista uma série de responsabilidades aos órgãos públicos e privados e assegura diversos direitos aos usuários: além de ter acesso e controle sobre os dados que compartilha, o consumidor terá direito à portabilidade dessas informações.

A legislação também firma um compromisso com as empresas para que assegurem a integridade dos dados contra vazamentos e roubos, e exige que o usuário seja comunicado caso haja qualquer incidente de segurança.

Oportunidades para os negócios

Ao estabelecer garantias e responsabilidades às empresas, a lei prevê um importante impacto nos negócios entre o Brasil e parceiros estrangeiros. Com a aprovação, o País passa a atender a exigências de outros países e regiões, que já contam com regras de proteção de dados pessoais, como a União Europeia.

A legislação endereça os desafios da Transformação Digital em âmbito social e econômico, decorrente do avanço da tecnologia nos processos automatizados e é um passo importante para a inserção do País em foros internacionais. Proporciona um ambiente de negócios seguro que potencializa a atração e materialização de investimentos na ordem de R$ 250 bilhões (Brasscom e Frost & Sullivan) em tecnologias de transformação digital até 2021.

A proteção dos dados compartilhados online é responsabilidade de usuários, empresas e órgãos públicos. A criação de um mecanismo que assegure e proteja essas informações e que esteja alinhado ao dinamismo econômico de um país criativo, como o Brasil, é um passo muito importante que estamos dando frente aos desafios que a transformação digital acarreta e é essencial para estimular uma maior segurança e competitividade aos negócios, assim como assegurar responsabilidade com as informações que compartilhamos e das quais também fazemos uso.

Fonte: CIO.

Read More
25 julho 2018
adm.future
0
Categories: Blog, Notícias

10 dicas para se adaptar agora mesmo ao GDPR

A proteção de dados pessoais inicia uma nova era em todo o mundo. A partir de agora, empresas no Brasil que tenham relacionamentos de negócio com companhias europeias terão que se adequar a nova regulamentação de proteção de dados europeia (GDPR), que entrou em vigor no último mês de maio.

O GDPR tem como objetivo principal estabelecer formas de proteção dos dados dos cidadãos da União Europeia e suas informações privadas. O Brasil também está seguindo essa tendência com o PLC 53/2018 – Projeto de Lei para Proteção de dados pessoais, que segue muitas diretrizes da base europeia e já foi aprovado pelo Senado Federal.

“Para as empresas brasileiras se adaptarem, o primeiro passo é traçar um diagnóstico completo da base de dados da companhia, com levantamento de informações como compreensão dos tipos de dados que a empresa possui, quais áreas lidam com esses dados e quais sistemas fazem o tratamento dessas informações. Adicionalmente, é essencial que a empresa possua alguma política de segurança da informação ou até mesmo uma política de proteção de dados”, destaca Vitor Pedrozo, diretor da área de Forensic, Investigations & Dispute Services – FIDS da Grant Thornton.

Confira as dicas:

  1. Implemente mecanismos para a proteção de dados, considerando a estrutura organizacional da empresa
  2. Atenda a estrutura necessária: tenha uma política de proteção de dados e um manual ou política de tratamento de dados padrão
  3. Identifique de dados pessoais e criação de registro de atividades de processamento de dados
  4. Implemente de uma avaliação de impacto de proteção de dados (AIPD) para as atividades relacionadas ao tratamento de dados
  5. Adapte e faça atualizações no que tange a matéria de dados quanto às responsabilidades e ao consentimento
  6. Desenvolva procedimentos necessários para o processamento de dados (especialmente o direito de acesso e de exclusão desses dados)
  7. Desenvolva um procedimento eficiente para o tratamento de violação de dados
  8. Analise medidas existentes para garantir a segurança dos dados (confidencialidade, integridade, disponibilidade, resiliência) – conceito de segurança de dados/segurança da informação
  9. Ajuste contratos existente ou prepare cláusulas específicas e contratos (responsável pelo processamento, prova de garantias suficientes, acordo de confidencialidade)
  10. Avise sobre a proteção de dados e realize treinamentos sobre o tema

Política de privacidade no Brasil

O Projeto de Lei que está aguardando sanção presidencial garante maior controle dos cidadãos sobre suas informações pessoais, exigindo consentimento para coleta e uso de seus dados, tanto pelo poder público quanto pela iniciativa privada. Também proíbe o tratamento dos dados para a prática de discriminação ilícita ou abusiva como, por exemplo, cruzamento de informações para divulgação de promoções e serviços. Em ambas as normas, preveem as empresas precisam indicar um responsável pela proteção de dados, um Data Protection Officer (DPO).

O projeto prevê ainda a criação da Autoridade Nacional de Proteção de Dados (ANPD) para reportar casos de vazamentos de dados pessoais e até a possibilidade de aplicação de multas e penalidades para empresas que tiverem os dados violados. “Entre os pontos da lei, destaco a distinção entre dados pessoais e dados sensíveis; obrigatoriedade do consentimento do usuário para coleta de informações; adoção de medidas de proteção e segurança no tratamento dos dados e possibilidade de alteração e exclusão do dado pessoal”, comenta Pedrozo.

A Future pode auxiliar você e sua empresa a se adaptar ao GDPR. Clique aqui e entre em contato conosco!

Fonte: IT Forum 365.

Read More
20 junho 2018
adm.future
0
Categories: Blog, Notícias

GDPR: Mais equilíbrio e transparência na utilização dos dados

A governança da segurança da informação é um fator primordial não só para preservar os dados, mas envolve diretamente responsabilidades legais, gestão, qualidade, preservação das informações no ambiente organizacional, continuidade do negócio e, também, nossa vida pessoal.

Com a implementação do GDPR na Europa, é importante esclarecer alguns aspectos ainda pouco explorados. Embora muitos artigos foquem nas penalidades, pouco se fala sobre como as empresas podem se preparar utilizando boas práticas de governança de dados, de forma que as penalidades sejam evitadas. Precisamos difundir muito mais os reais benefícios, afinal não podemos mais atuar nos ambientes digitais sem os devidos cuidados, controles e garantias de privacidade para as instituições e pessoas físicas.

A GDPR é o início da uniformização, higienização de dados, padronização da Educação Digital, tema fundamental para a continuidade do crescimento e evolução digital.

Mas em que consiste o General Data Protection Regulation, GDPR? É uma regulamentação de proteção de dados, que tem por objetivo proteger todos os cidadãos da União Europeia de violações de privacidade em um mundo cada vez mais conectado, interligado e com um volume de dados crescente a cada ano.

Essa regulamentação é a mudança mais importante relacionada à privacidade de dados nos últimos 20 anos, uma vez que a última diretiva relacionada ao assunto foi estabelecida em 24 de outubro de 1995 pelo Parlamento Europeu com o nome de Diretiva 95/46/CE.

Apesar do princípio fundamental de privacidade dos dados dos cidadãos da União Europeia ser preservado por meio dessa diretiva, foram consideradas diversas mudanças, considerando penalidades perante as organizações que não respeitaram as novas regras.

A GDPR foi aprovada em 14 de abril de 2016 pelo Parlamento da União Europeia, sendo que começam hoje as penalidades a todos os estados membros da UE (Alemanha, Áustria, Bélgica, Bulgária, Chipre, Croácia, Dinamarca, Eslováquia, Eslovênia, Espanha, Estônia, Finlândia, França, Grécia, Hungria, Irlanda, Itália, Letônia, Lituânia, Luxemburgo, Malta, Holanda, Polônia, Portugal).

O escopo da regulamentação aplica-se tanto ao controlador dos dados quanto aos processadores. O controlador é qualquer organização que coleta dados e o processador é qualquer organização que processe os dados em nome do controlador.

O que são os dados pessoais, de acordo com a GDPR?

Segundo a regulamentação GDPR, dados pessoais são informações relacionadas a uma pessoa que possam ser usadas para identificá-la – direta ou indiretamente. Pode ser um nome, foto, endereço de e-mail, dados bancários, postagem em sites de redes sociais, informações médicas, dados de GPS, cookies ou até mesmo um simples endereço IP do computador.

A regulamentação GDPR informa que as organizações que processam e controlam dados de pessoas residentes da União Europeia só poderão utilizá-los com o consentimento do mesmo. Além disso, o consentimento deverá ser pedido de forma inteligível, facilmente acessível, usando linguagem clara e simples. Usuários menores de 16 anos só poderão ter seus dados processados com o consentimento dos pais ou responsáveis. Já crianças menores de 13 anos não poderão ter seus dados processados e controlados.

Assim, o usuário é o real proprietário de seus dados pessoais e terá o direito de ter o conhecimento sobre as informações por ele concedidas ao controlador dos dados: quais dados estão sendo processados, quem está processando as informações e qual finalidade. O controlador dos dados deverá disponibilizar uma cópia, de forma gratuita, em formato eletrônico, caso o usuário solicite.

O usuário também terá o direito de realizar a portabilidade dos dados de uma controladora para outra, ou até mesmo ter um “backup” dos seus dados. O direito ao esquecimento também é um ponto importante da GDPR, uma vez que o usuário terá o direito de solicitar ao controlador que apague seus dados pessoais e interrompa a disseminação dos mesmos.

Qualquer violação de dados pessoais que resulte em risco para os direitos e liberdades dos indivíduos residentes da União Europeia deverá ser notificada pelo controlador dos dados em um prazo de até 72 horas, após ter tomado conhecimento da violação.

Qualquer pessoa que tenha sofrido danos por processamento ilegal de seus dados terá direito a receber uma indenização, desde que esteja inserido nos parâmetros da regulamentação da GDPR.

12 principais desafios das organizações

A organização ICO.ORG.UK considera 12 desafios das organizações referentes ao GDPR.

1 – Treinamento

As organizações deverão garantir que as pessoas mais estratégicas da organização tenham ciência das mudanças provocadas pelo GDPR, além da consciência do possível impacto financeiro para a organização em caso de descumprimento da regulamentação.

2 – Informações Armazenadas

As organizações deverão documentar quais são os dados dos usuários armazenados, como eles serão armazenados, como é realizada a cadeia de tratamento das informações por meio da organização, dando a possibilidade ao usuário de apagar, transferir ou cancelar a custódia dos dados, a qualquer momento, tendo a possibilidade dessas ações serem auditadas.

3 – Direitos Individuais

A cobertura de todos os direitos individuais dos usuários deverá ser garantida pelas corporações. O cidadão terá direito de solicitar que as empresas deletem, transfiram e apaguem seus dados eletronicamente. Em caso de descumprimento desses direitos, o usuário terá aporte jurídico baseado na regulamentação GDPR.

4 – Requisições de Acesso

As organizações deverão atualizar os procedimentos internos de forma a lidar com as requisições dos usuários, garantindo a proteção e privacidade dos dados dentro de um acordo de nível de serviço.

5 – Base Legal para processamento de dados

As organizações deverão identificar as bases jurídicas para justificar o processamento dentro do GDPR.

6 – Consentimento

As organizações deverão revisar o gerenciamento de concessões das informações dos usuários e atualizar os consensos, caso esses não estejam dentro das regras de compliance da GDPR.

7 – Menores de Idade

As organizações deverão organizar seus sistemas e processos internos de forma a validar a verificação etária de todos os usuários, garantir o consentimento dos pais ou responsáveis, em caso de crianças menores de 16 anos.

8 – Vazamento de dados

A organizações deverão se certificar de que detenham os procedimentos internos corretos para detectar, denunciar, reportar e investigar violações de dados pessoais dos usuários.

9 – Proteção por Design e Protection Impact Assessment [Pia’s]

As organizações deverão estar familiarizadas com os PIA´s de forma a realizá-los nas situações de novos projetos, sistemas, equipamentos e qualquer alteração que envolva dados pessoais, tornando essa necessidade obrigatória para garantir compliance com a GDPR.

10 – Data Protection Officers [DPO]

As organizações terão que nomear um DPO que irá assumir a responsabilidade pela área de proteção e privacidade dos dados da organização. O desafio do DPO irá desde o treinamento da organização até a remodelagem de processos, produtos, serviços e equipamentos, para que estejam de acordo com as normas da GDPR.

11 – Extensão Internacional

Se a organização opera em mais de um país membro da União Europeia, essa deverá determinar qual autoridade (DPA) irá supervisionar a proteção de dados, além de detectar quais países fora da UE manipulam dados de usuários residentes no continente europeu para torná-los aderentes às regras da regulamentação GDPR.

12 – Comunicados de Privacidade

A política de notificação de privacidade das organizações deverá ser revista. Será necessário um plano referente às mudanças de notificações de concessão dos dados do usuário, que terá o controle de quais dados estão sendo utilizados.

O Brasil

O País ainda não possui uma legislação do tipo GDPR, porém está em andamento no Congresso Nacional um projeto de legislação de Proteção de Dados Pessoais, inspirado na GDPR e que será um grande avanço para todos nós. Pensando no mercado, no negócio das nossas organizações que vendem produtos e realizam serviços para todos os países, seguir a GDPR é uma decisão estratégica de negócio.

Se a sua organização ainda não tiver controles adequados para atender à nova lei, a sugestão é que ela deva se programar e definir etapas. A primeira delas é implementar ou aprimorar o processo organizacional de segurança da informação. A Future pode auxiliar sua empresa a ficar em conformidade com o GDPR. Entre em contato conosco!

Com base no exposto acima, qualquer empresa brasileira poderá estar sujeita à jurisdição prescrita pela regulação, caso ofereça seus serviços e produtos diretamente para o mercado de membros da União Europeia. Recomendamos, neste caso, um estudo mais profundo sobre as regras, limites e obrigações impostas pela norma, em face do dever de conformidade.

Fonte: CIO.

Read More
25 maio 2018
adm.future
0
Categories: Blog, Notícias

Vamos pensar em privacidade?

Ainda que a sua empresa não esteja baseada em território Europeu, o Regulamento Geral de Proteção de Dados (GDPR), que entra em vigor nesta sexta-feira (25/5), influenciará em algum nível a forma como lidar com as questões de privacidade. De maneira mais direta, se a sua empresa tem operação naquele continente ou se processa dados de cidadãos europeus, o regulamento já se aplica. Com a globalização, não é um cenário improvável que um de seus clientes tenha origem estrangeira. Portanto, não se preparar para lidar com essa nova realidade, pode causar perdas financeiras e, o que parece ainda mais prejudicial, perda da confiança dos clientes.

Outro nível de influência é o debate que o GDPR suscita. Quais razões levaram este grupo de países a aderirem? Como os indivíduos passarão a se comportar após a vigência e resultados do regulamento? E, mais importante, como se preparar para atender às regras e estar em conformidade com o regulamento? Todas essas perguntas orientarão mudanças nas políticas de segurança e compliance das empresas.

A despeito do GDPR, o tema do cuidado com a privacidade não é novo. No entanto, diversos casos recentes de vazamentos de dados apontam para um ultimato. Não é apenas o prazo de vigor do GDPR que se aproxima: é o alerta para as empresas de que é hora de considerar com detalhes quais práticas ajudarão a elevar o nível da segurança da informação. O regulamento europeu é apenas consequência do contexto atual da cibersegurança.

E esse tema também não é inteiramente novo em terras brasileiras. O Marco Civil da Internet prevê uma série de deveres relativos a proteção de dados pessoais e comunicações privadas, além do armazenamento seguro e sigilo dos registros. Mas, o regulamento europeu já versa sobre aquilo que o Marco Civil brasileiro ainda pode avançar: transparência.

Com esta demanda no escopo, toda empresa precisará implementar novos procedimentos administrativos, políticas e controles de segurança que assistam na necessidade de gerir corretamente os dados de clientes. Porque não há privacidade e transparência sem segurança. A notificação obrigatória de falhas, que facilitará o mapeamento de responsabilidades, também oportunizará a adoção de tecnologia para previsão de vulnerabilidades, correção e mitigação de riscos. Por outro lado, a governança de dados, que é crucial para proteger clientes, também envolve segurança desde o escopo. A partir destes requerimentos, emergirá um novo conceito corporativo de qualidade e confiabilidade.

Para endereçar os requisitos de conformidade, muitas empresas deverão passar por uma revolução em termos de quais tecnologias deverão ser adotadas. O desafio vai além da coleta e do armazenamento dos dados. Como e onde armazenar, quais controles de segurança serão implementados, qual a abrangência de cenários de ameaça e de risco são endereçados por estes controles, quais critérios orientarão a gestão dos dados. E ainda mais importante, que tecnologia a empresa pode adotar para desempenhar duas missões: gerir a aderência de todo o ecossistema às regras de conformidade da norma em questão; e a capacidade de reportar os registros armazenados.

Em todo caso, o mindset corporativo precisará respeitar a segurança da informação. Essa será a grande transformação promovida pelo regulamento. Para prover privacidade de dados e ser transparente, será finalmente mandatório encarar a tecnologia de cibersegurança como uma grande aliada capaz de proteger infraestruturas, dispositivos, usuários e dados corporativos de forma mais abrangente.

A Future pode ajudar a sua empresa e ficar em conformidade com o GDPR. Clique aqui e entre em contato conosco!

Fonte: ComputerWorld.

Read More
3 maio 2018
adm.future
0
Categories: Blog, Segurança

Segurança de dados: uma questão de direitos humanos

A ampliação do uso de dados traz consequências diretas para a segurança. Segundo a pesquisa Antes da TI, a Estratégia, realizada pela IT Mídia em 2018, embora as empresas possuam estruturas de TI, existem planilhas em pen drives ou similares em mais de 50% das empresas com faturamento maior do que R$ 2 bilhões.

Esses arquivos paralelos, distribuídos pela empresa sem um controle centralizado representam um risco à privacidade dos usuários, e agora um potencial risco jurídico para muitas empresas.

O tema foi discutido no workshop Trend Talks – Governança e Privacidade de Dados, como ficar em linha? No IT Forum 2018 que acontece de 27 de abril a 1º de maio. A apresentação reuniu Mendel Szlej, ex-CIO e agora advisor, Patrícia Peck especialista em direito digital e fundadora da Peck Advogados e Sergio Lozinsky, sócio-fundador da Lozinsky Consultoria.

Lozinsky explicou que existe toda uma infraestrutura de segurança que precisa ser constantemente revista e checada. Em um cenário onde Business Intelligence (BI) e Analytics aparecem no topo dos orçamentos das principais empresas do país, qualquer ajuste regulatório impacta a forma como são tratados os dados.

Segurança de dados: uma questão de direitos humanos

Ferir os princípios de transparência quanto à privacidade de dados é o mesmo que ferir os direitos humanos. Com essa diretriz foi formulada a General Data Privacity Regulamentation (GDPR), regulamentação da União Europeia a respeito de proteção de dados. Ela entrou em vigência em 2016, porém a fiscalização e emissão de multas, cujo valor mínimo é de 10 milhões de euros, se inicia em 25 de maio de 2018, conforme esclareceu Peck.

Essa regulamentação que tem força de lei se aplica a qualquer empresa que tenha clientes, funcionários ou acionistas cidadãos da comunidade europeia. Assim, além das multinacionais, grande parte das empresas brasileiras que tem negócios com a Europa pode ser afetada.

Impacto em TI

De acordo com Szlejf, será necessário às áreas de TI encaixarem a GDPR em seus roadmaps de projeto, bem como discutir o tema com as áreas de negócio que também serão diretamente impactadas. Surgirá uma nova figura nas estruturas organizacionais, o Data Protection Office, que terá algumas de suas atribuições ditadas por lei e será um grande vigilante de proteção aos dados pessoais. Ele poderá reportar diretamente ao CEO ou estar alocado em áreas como TI ou Risco, porém necessitará de autonomia para reportar rapidamente à alta direção, e responder a fiscalização.

De uma maneira geral, a importância dos dados está alterando as tarefas e a cultura de TI e mesmo a jurídica. Enquanto advogados tem de lidar com termos técnicos e check-lists em seus regulamentos, executivos de TI devem se preocupar com todos os processos e fornecedores que tem contato com dados pessoais.

A Future possui Soluções que podem auxiliar sua empresa desde o armazenamento, backup e proteção dos seus dados. Saiba mais clicando aqui!

Fonte: ComputerWorld.

Read More
19 março 2018
adm.future
0
Categories: Blog, Segurança

Sua empresa está preparada para o GDPR?

GDPR – General Data Protection Regulation (Regulamento Geral de Proteção de Dados da União Europeia)  – foi desenvolvido pelo parlamento europeu e tem como objetivo garantir a segurança dos dados pessoais dos cidadãos contra vazamentos e roubos virtuais. A nova regra entrará em vigor a partir de maio e promete balançar não só o mercado internacional, mas também o brasileiro.

Ao contrário do que muitos acreditam, o GDPR não está restrito às empresas europeias, mas afetará qualquer companhia que por algum motivo tenha que processar dados de residentes europeus, independentemente da localização. Qual empresa que opera hoje em escala internacional não possui algum tipo de negócio com residentes ou empresas da União Européia? Portanto, a partir de agora, as organizações que mantêm negócios com qualquer cidadão europeu terão de focar ainda mais na proteção de dados dos clientes.

Em caso de vazamento de dados, a empresa terá apenas 72 horas para fazer o comunicado oficial e apresentar um plano de resposta ao incidente. As sanções são bem pesadas, podendi chegar a 4% do faturamento total da companhia ou 20 milhões de euros.

De acordo com levantamento realizado pela Real Protect, empresa especializada em Serviços Gerenciados de Segurança, estima-se que 60% das empresas ainda não iniciaram os preparativos para estar em compliance. Nos Estados Unidos, 2/3 das empresas estão reavaliando seus negócios na Europa.

De forma resumida, o GDPR trata de práticas relacionadas ao gerenciamento de toda e qualquer informação sensível para os negócios. Dessa forma, para estar dea cordo serão necessárias medidas práticas para melhorar tanto as ações dos funcionários quanto a execução da aplicação das políticas de segurança.

Inicialmente, é fundamental ter conhecimento e visibilidade sobre as informações e processos de segurança presentes na infraestrutura de sua empresa. Para isso, sugiro que você:

– Acesse e audite os dados sob sua responsabilidade;
– Reavalie Sistemas e Tecnologias;
– Alinhe objetivos de negócio ao longo da empresa.

É importante ressaltar também que o plano precisa sair do papel para a ação. Os gestores de segurança necessitam de estratégias práticas e que possam ser implementadas para que consigam, de fato, atingir o objetivo e estar em conformidade com o GDPR.E para que você possa, finalmente, responder de forma positiva à pergunta que dá título a este artigo!

Fonte: Computer World

Read More
23 agosto 2017
adm.future
0
Categories: Blog, Notícias, Segurança

GDPR é desafio para responsáveis pela segurança de TI, na Europa e no Brasil

No meio empresarial é recorrente o debate sobre a proteção de dados dos seus clientes. Muitas dúvidas, aliás. No entanto, os mecanismos regulatórios estão surgindo acompanhando uma demanda cada vez maior da proteção da privacidade e da guarda correta das informações pessoais em poder das organizações em seus sistemas.

No Brasil, o Marco Civil da Internet deu um passo importante nesse sentido e regulamentou o uso da rede mundial e da computação em nuvem, estabelecendo direitos e deveres dos cidadãos e empresas com base nos princípios da neutralidade de rede, privacidade e registro dos acessos. A regra, já em vigor deste maio de 2016, terá a companhia a partir de maio de 2018 da Regulamentação Geral de Proteção de Dados (GDPR), que atingirá qualquer empresa ou organização que colete, processa, controla, hospeda ou compartilhe de alguma maneira os dados pessoais dos cidadãos da União Europeia. Assim, empresas privadas ou públicas — podendo ser instituições bancárias e financeiras, incluindo as fintechs —, que possuem relacionamento com clientes europeus no Brasil terão que respeitar o novo regulamento.

Algumas organizações, tanto na Europa como nos EUA, estão mais avançadas que outras quando o assunto é a proteção dos dados pessoais. Os dados mais recentes foram divulgados em janeiro deste ano, quando uma conceituada empresa global de consultoria pesquisou 200 corporações nos EUA, com mais de 500 funcionários, e descobriu que 92% apontaram a conformidade com a GDPR prioridade máxima de suas agendas de privacidade e segurança de dados neste ano. Mais da metade indicou a conformidade com a GDPR como principal prioridade e 38%, entre as principais prioridades. Claro, a conformidade não será barata e 77% dos pesquisados afirmaram que sua organização estava planejando gastar US$ 1 milhão ou mais na preparação para atender à GDPR.

No entanto, não basta ter conhecimento da nova regra e também não basta apenas guardar os dados em um servidor qualquer. As empresas terão que adotar políticas de segurança para que as informações possam receber o tratamento adequado. Por exemplo, a definição do nível de acesso que outras pessoas poderão ter a eles dentro e fora do ambiente corporativo. Para isso, a classificação das informações entra aqui como o instrumental apropriado.

A classificação de dados (data classification) envolve a combinação entre processos, políticas e tecnologias de segurança que provê a informação contextual para políticas de criptografia, DLP (prevenção e proteção contra a perda de dados), governança de dados, funções de archiving. Ela possibilita combinar também camadas locais da rede corporativa com os padrões regulatórios, além das demais políticas de transparência da informação pública, de proteção e privacidade dos dados do usuário. Como se vê, apenas usar a rede corporativa — on premises ou em nuvem — como repositório de dados em pastas e diretórios não consegue levar em conta uma série de processos necessários para a proteção dos dados dos clientes.

Dessa forma, a GDPR apresenta um desafio para os responsáveis pela segurança da informação, que precisarão criar as condições para garantir a conformidade em suas empresas. À medida que as empresas se preparam para a introdução da norma, iniciar a classificação dos dados como um primeiro passo permitirá que a estratégia de proteção e as soluções implementadas sejam construídas em torno dos tipos de dados que você possui e dos níveis de segurança que eles exigem.

Fonte: ComputerWorld.

Read More

Receba conteúdos exclusivos