A Lei de Proteção de Dados, chamada também de GDPR brasileira, foi sancionada no dia 14 de agosto de 2018 pelo presidente da República, Michel Temer, com alguns vetos relacionados à criação da Autoridade Nacional de Proteção de Dados (ANPD). Ainda assim, a lei vai demandar um investimento contínuo e adaptação para proteger a privacidade dos clientes e garantir o cumprimento das regras. A CA, que é nossa parceira, destacou 10 questões que ajudarão você a avaliar como está o seu nível de preparação para a GDPR:
1. Você consegue encontrar seus dados?
Com grandes quantidades de dados corporativos espalhados em diferentes sistemas e plataformas, encontrar manualmente dados sensíveis não é algo real. Um dos seus investimentos primários em tecnologia deveria ser em software que automaticamente fará uma varredura nos sistemas, para identificar o local do dado sensível que foi perdido, abandonado ou escondido.
2. Você consegue classificar e proteger seus dados?
Uma vez encontrado, o próximo passo é classificar os dados de acordo com a Regulamentação e a sensibilidade Organizacional. Você pode então tomar decisões de Negócios para serem adequadamente asseguradas, criptografadas, arquivadas ou deletadas, e provar aos auditores que os controles estão estabelecidos.
3. Você consegue gerir o acesso de empregados aos dados?
Uma estratégia comum ao cumprimento de gestão de dados é periodicamente validar os usuários que possuem acesso aos recursos corporativos. Durante a certificação do acesso, gerentes devem revisar as listas de pontos de acesso privilegiados dos seus funcionários diretos, e ainda confirmar ou rejeitar a necessidade deste acesso. Além disso, você deve estar apto a demonstrar através de relatórios ou campanhas de certificação de acessos que você é aderente à Regulamentação.
4. Você consegue gerir os seus dados de teste?
A GDPR impacta o tipo de dado que pode ser usado em ambientes não-produtivos. Você precisa entender exatamente qual dado você tem, quem está utilizando, e restringir seu uso para atividades nas quais consentimento foi dado. Evitar usar dados de produção em ambientes de teste é a melhor política. No seu lugar, utilize geração artificial de dados, para criar a informação necessária para realizar os testes com sucesso.
5. Você consegue gerir as aplicações que processam seus dados?
APIs são o único caminho razoável para fazer aplicações vigentes que incluam dados pessoais compatíveis com esta nova Regulamentação, e ao mesmo tempo evitando modificações de alto custo em aplicações existentes. APIs podem ser seguradas, governadas e aprimoradas pela implementação de soluções adequadas de software.
6. Você consegue evitar abusos de contas de usuário privilegiadas?
A realidade é que a maioria das violações de dados é resultante da exploração de contas de usuários privilegiados, sejam obtidos maliciosamente ou usadas inadequadamente por um usuário válido. Para limitar ameaças internas, você precisa implementar controles de segurança que possam tanto gerir quanto governar acessos privilegiados, mantendo em mente o princípio de menor privilégio.
7. Você consegue equilibrar a facilidade de acesso a dados com segurança?
Em relação à GDPR, você precisa equilibrar a facilidade de acesso em função dos dados que podem ser acessados. Como você garante que somente as pessoas certas estão acessando dados sensíveis, e somente quando isto é legalmente permitido? Uma solução de gestão de acesso compreensiva, que inclua capacidades seguras de acesso único, pode fornecer controles por web adequados para todos usuários a partir de um ponto centralizado.
8. Você consegue gerir dados em diretórios?
Uma quantidade representativa de dados pessoais está localizada em diretórios. O seu serviço de diretório deve permitir um direcionamento da árvore de diretórios por vários servidores, permitindo a você especificar onde os dados pessoais estão fisicamente arquivados. Isso pode também ajudar a selecionar como os dados são replicados através de nódulos, proibindo que dados saiam de uma região específica.
9. Você consegue limpar contas de usuários não-utilizadas?
Contas de usuários tendem a proliferar, e por isso é importante identificar contas não-utilizadas além de um intervalo específico de tempo, e remover IDs, direitos, e permissões de usuários não-utilizados, e os perfis e conexões de grupo que cada usuário possui, mas não utiliza.
10. Você consegue identificar vazamentos de dados em tempo real?
Vazamentos de dados acontecerão, e quando acontecerem, quão rapidamente você saberá e tomará ação a respeito? Parte do seu cumprimento com a GDPR demanda inspecionar e proteger dados essenciais à missão da sua Organização, fornecendo às partes interessadas notificações em tempo real e imediatas sobre violações pertinentes, acesso e mudança de atividades para sistemas e recursos com segurança crítica.
Conteúdo cedido pela CA Tecnologies.
Copyright © 2018 CA. Todos os direitos reservados. Todas as marcas comerciais, serviços e logotipos aqui referenciados pertencem a suas respectivas companhias. Este documento é somente para o propósito informacional. CA não assume responsabilidade pela precisão e completude da informação. Às extensões permitidas pelas Leis vigentes, CA fornece este documento “da maneira como é”, sem garantias de nenhum tipo, incluindo, mas não se limitando a, quaisquer garantias de comerciabilidade, adequação ao propósito e não-infringimento. No não-evento a CA poderá ser responsabilizada por qualquer perda ou dano, direto ou indireto, do uso deste documento, incluindo, mas não se limitando a, prejuízos financeiros, interrupções de Negócios, boa fé ou perda de dados, mesmo se a CA expressamente aconselhou no avanço da possibilidade de tais danos. 200-262112_0518.