Violação de Dados Pessoais – Como minimizar os riscos de incidentes?

Violação de Dados Pessoais – Como minimizar os riscos de incidentes?

O novo regulamento obriga a que, por padrão, os novos bens, serviços, produtos, sistemas, dispositivos e processos sejam construídos, desde a fase de desenvolvimento, de acordo com os requisitos de privacidade (privacy by design).
A publicação do Regulamento Geral sobre a Proteção de Dados (RGPD) tem vindo a gerar uma preocupação generalizada nas empresas. A preocupação resulta, desde logo, do valor das coimas que introduz (até vinte milhões de euros ou 4% do volume de negócios mundial da empresa), bem como, das alterações operacionais que pode implicar nas empresas para que estejam em conformidade.
No RGPD, são particularmente relevantes as alterações introduzidas ao papel do regulador, concentrando a sua atividade em ações de fiscalização em substituição do processamento dos pedidos de autorização prévia atualmente em vigor. Esta alteração responsabiliza muito mais as empresas quanto ao cumprimento das regras de privacidade.
A partir de 25 de maio de 2018, as empresas que sofram uma violação de dados têm, obrigatoriamente, de notificar a autoridade de controlo e o titular dos dados pessoais do facto. Nas situações de violações graves, a notificação à autoridade de controlo deverá ocorrer no prazo máximo de 72 horas.
É expectável que as empresas queiram evitar não só as coimas associadas, mas também a publicidade negativa dessas divulgações. Para tal, devem avaliar a sua exposição aos riscos de violações de privacidade e tomar medidas que melhorem a segurança da sua organização.
Quanto mais tempo uma violação demorar a ser detectada, mais constrangedor é para a organização em questão.
Se tomarmos como exemplo o caso do Yahoo temos que a empresa não só permitiu que os criminosos roubassem três biliões de registros de utilizadores, como também demoraram cerca de dois anos a identificar e divulgar o incidente. Um hiato de tempo tão grande limita o que as organizações podem fazer para mitigar os danos.
Se uma violação é detetada rapidamente, as organizações podem assumir o controlo da situação, e comunicar aos clientes as medidas de segurança a adotar, que podem, por sua vez, por exemplo, alterar as suas palavras-chave, verificar transações bancárias fraudulentas ou fazer o que se revelar necessário para repor a segurança.
Para ajudar as organizações a identificar as falhas de segurança é essencial que se mantenham atualizadas. Isso significa:

  • Implementar uma Política de Segurança da Informação;
  • Recorrer à pseudonimização e encriptação por forma a garantir a segurança dos dados;
  • Estabelecer mecanismos de restabelecimento da disponibilidade de acesso aos dados em caso de incidente através de backups;
  • Ter a certeza de que quer os funcionários quer a tecnologia estão atualizados com os novos métodos de ataque e as formas em que os criminosos exploram as organizações;
  • Usar ferramentas de deteção de violação de dados porque para além de manter sistemas, servidores e aplicativos, as organizações precisam de implementar ferramentas de deteção de falhas;
  • Monitorizar a organização por forma a detetar e investigar os incidentes de segurança de forma mais eficaz, o que inclui a elaboração de políticas de segurança e procedimentos internos, controlo ao nível de rede, logins e eventos de infra-estrutura subjacente, aplicações e sistemas de segurança.
  • Formação regular de consciencialização da equipa. A negligência é muitas vezes um fator enorme quando se trata de violações. As organizações devem fornecer a todos os seus funcionários formação regular sobre como identificar ataques e vulnerabilidades e o que devem fazer em seguida. Toda a equipa da organização deve estar preparada. A segurança cibernética não é apenas o domínio dos profissionais da segurança. Os funcionários são uma das principais causas de violação de dados, estejam eles a ter uma conduta maliciosa ou não.

A “Proteção de Dados”  tem estado a desenvolver um profundo conhecimento desta matéria e presta serviços de consultoria e implementação do RGPD à medida de cada empresa. Por outro lado, conscientes das dificuldades de orçamento com que se debate a maioria do tecido empresarial português, está disponível um workshop  cujo tema é “Aprenda a implementar o RGPD”. O desafio deste evento é fazer com que os participantes voltem às suas empresas e iniciem o processo interno de implementação do RGPD.