Como as soluções de segurança cibernética podem ajudar na conformidade com o GDPR



Medidas, meios, tecnologias, regras e recursos técnicos (de proteção) são mencionados várias vezes ao longo do texto do RGPD . O regulamento, no entanto, não especifica qualquer implementação de tecnologia de segurança como obrigatória (alguns métodos são sugeridos como soluções opcionais para uso específico). A escolha e a avaliação da adequação são de exclusiva responsabilidade do controlador e processador de dados.
A variedade de possíveis mecanismos técnicos e salvaguardas para o processamento de dados pessoais depende principalmente dos processos de negócios existentes e dos sistemas de TIC subjacentes. As soluções de cibersegurança (ou segurança de TIC) apresentam um subconjunto de possíveis abordagens técnicas para garantir a conformidade, caracterizadas por seu escopo (domínio digital) e objetivo de aplicação (preservando a disponibilidade, autenticidade, integridade, confidencialidade, não repúdio e privacidade).
Um ditado, especialmente apropriado para o RGPD , afirma que "não há privacidade sem segurança" (não necessariamente vice-versa). Então, o que a InfoSec tem reservado para o comprador do GDPR?

Antes, durante e depois

Para ser franco, o objetivo da proteção da cibersegurança reside no próprio ato de compromisso. Como não há como eliminar completamente as ameaças, resta apenas reforçar as defesas e esperar.
Os controles de segurança podem ser classificados em um ou mais dos três grupos: controles preventivo, detetive e corretivo . Mesmo que a divisão ainda não seja familiar para o leitor, seu contexto pode ser inferido intuitivamente: certas medidas podem ajudar a minimizar o risco de um incidente e / ou detectar sua ocorrência e / ou conduzir uma resposta apropriada; ou seja, mitigar as consequências.
Atualmente, a maioria das soluções de segurança cibernética se enquadra em mais de uma das categorias. Por exemplo, as soluções de proteção de rede e de ponto de extremidade impedem o acesso não autorizado, mas ao mesmo tempo monitoram constantemente o uso dos sistemas e podem detectar comportamentos anômalos, além de bloquear determinadas atividades. Um portfólio de gerenciamento de ameaças internas fornece uma barreira psicológica para o potencial criminoso interno, enquanto armazena uma trilha de auditoria forense e fornece funções de correção adicionais.
Por outro lado, algumas soluções são limitadas a um único domínio. Os mais notáveis, mas apenas por conta de uma menção específica no GDPR, são os dados criptografados e pseudonimizados. Inerentemente preventivas, essas soluções fornecem proteção em duas direções: tornar os dados ilegíveis para o usuário não autorizado (não um membro da cadeia de confiança de criptografia) ou alterar / mascarar os dados para remover sua capacidade de identificar um indivíduo (pseudonimização ou dados tokenização).

Maturidade em segurança cibernética

Uma perspectiva diferente sobre a postura de segurança das TIC oferece vários enfoques, que podem estar relacionados à maturidade do modelo de segurança da organização.
A abordagem básica tradicional do InfoSec estava restrita ao perímetro da rede e ao foco do terminal , incluindo principalmente soluções de firewall de rede, antivírus e gerenciamento de patches. Necessidades adicionais de proteção e controle levam ao foco na infraestrutura e nos serviços , oferecendo implementações de SIEM (Security Incident and Event Management), sistemas de detecção / prevenção de intrusões (IDS / IPS), gerenciamento de vulnerabilidades, WAF (Web Application Firewall), etc. é o foco do usuário, que fornece mecanismos seguros de gerenciamento de identidades e monitoramento do comportamento individual. Isso é obtido por meio de ferramentas e métodos como autenticação multifator (MFA), SSO (Logon único), PAM (Privilege Access Management), UBA (User Behavior Analysis) e outras soluções. Finalmente, o foco centrado nos dados concentra-se nos próprios dados, fornecendo classificação, criptografia / pseudonimização, proteção contra vazamento de dados (DLP) e outros.
Embora todas as quatro categorias sofram progresso constante e surjam novos tipos de soluções, a progressão do primeiro para o quarto foco se assemelha aproximadamente ao crescimento da maturidade da segurança cibernética para a maioria das organizações. A proteção adequada dos dados (pessoais) deve, portanto, atender às qualidades correspondentes dos quatro focos de segurança.

Advertência ao Emptor ("Cuidado com o comprador")

Esta pequena lista de possíveis mapeamentos de funcionalidades de cibersegurança para os requisitos de GDPR não é de forma alguma exaustiva. O cenário de segurança está sempre aumentando - embora um passo atrás dos agentes de ameaças. O orçamento InfoSec de uma organização é o resultado final e o gerenciamento de riscos dirige o volante.
No entanto, embora a priorização de possíveis combinações de vulnerabilidades, ameaças e medidas de mitigação apontem para uma direção tecnológica específica, a adequação da solução não depende apenas dos requisitos e da matriz de especificação. A entrega contínua e a atualização / manutenção da solução têm tanta importância para a conformidade contínua quanto os recursos funcionais e operacionais. Para saber mais, consulte  5 fases da avaliação de impacto na proteção de dados do GDPR da UE .
Para concluir: a segurança não é perfeita e a privacidade tem muitas dificuldades. No entanto, simplesmente não podemos dar ao luxo de montar uma Grande Muralha para manter os dados de nosso pessoal. Não basta respeitar sua privacidade por meio de processos de negócios com base legal. Para proteger os dados, as organizações precisam investir na tecnologia de segurança (e continuam a fazê-lo de maneira constante).
Confira a plataforma de conformidade e cibersegurança da Conformio para ajudá-lo a gerenciar um projeto GDPR completo.