Você tem uma empresa ou trabalha em uma que possui relacionamento com clientes e parceiros Europeus? Fique atento ao GDPR e sobre como ele impacta no negócio da sua organização.
A não ser que voce tenha estado em uma caverna isolada, nos últimos meses, já deve ter ouvido falar na GDPR, a nova legislação da Comunidade Européia. O GPDR é a sigla em inglês para General Data Protection Regulation, que traduzido significa “Regulamento Geral de Proteção de Dados”, que é a norma mais recente criada e aprovada para ampliar a proteção de dados pessoais de cidadãos da União Européia (UE). Tal norma se aplica para todas as empresas estabelecidas na Europa e até mesmo para empresas privadas ou públicas fora dos limites territoriais, mas que possuem relação de negócio com clientes e parceiros europeus.
Os legisladores da União Européia estão dando um novo passo nos requisitos de segurança de dados, olhando para a segurança de informação da organização com outra perspectiva: a dos consumidores. A UE já aprovou leis de proteção de dados ao consumidor, mas o GDPR, pela primeira vez, inclui penalidades financeiras significativas se as empresas não conseguirem proteger as informações coletadas.
Com vigência definida para iniciar em maio de 2018, este regulamento afeta qualquer organização que faz negócios dentro da União Europeia e coleta informações pessoais identificáveis ??(PII) de cidadãos da UE (independentemente de onde sua sede está localizada). A lei também traz consequências severas se você for considerado não cumpridor: as penalidades podem ser de até 4% da receita anual global da empresa ou 20 milhões de euros (o que for maior).
Se a sua organização tem sido diligente em abordar as regulamentações existentes, incluindo PCI DSS, HIPAA ou SOX, ou uma das muitas leis de proteção de dados específicas de países da União Européia, talvez você já tenha uma boa base. Mesmo assim, você pode ter mais a considerar com as ramificações do GDPR, especialmente considerando que a nova norma substitui os regulamentos existentes, incluindo a Diretiva de Proteção de Dados da União Europeia. Para complicar, o Regulamento Geral de Proteção de Dados não é um tamanho único para todos os tipos de regulamentação. Na verdade, aumenta a obrigação de uma organização à medida que aumenta a percepção de risco.
Exemplo: As organizações com mais de 250 funcionários precisarão aderir às regras mais rigorosas do que aquelas com menos de 250 funcionários.
O GDPR também exige mudanças em como e onde as organizações armazenam dados de clientes e mais importante: como elas concedem acesso a esses dados, para funcionários, contratados e parceiros de negócios. Além disso, determina que as organizações relatem qualquer violação de dados envolvendo dados do cliente em menos de 72 horas. Isso exige que os modelos de segurança existentes evoluam de evitar a violação de dados na camada de rede, para detectar e remediar eventos em tempo real.
Por muitos anos, as empresas têm se concentrado em criar barreiras no perímetro da rede como um meio de proteger seus aplicativos e dados internos. No entanto, com um número crescente de violações ocorrendo devido a credenciais comprometidas, as organizações estão percebendo que a maneira de mitigar esses riscos é implementar uma governança de identidades. Na medida em que as organizações adotarem esses controles de governança mais fortes, elas se encontrarão melhor posicionadas para atender aos requisitos de GDPR que estão por vir.
Confira as 4 principais dicas para não ser pego de surpresa
Coloque sua “casa de identidade” em ordem ou como evitar receber uma multa gigante.
Agora é a hora de colocar sua casa de identidades em ordem, antes que as fases de aplicação de penalidades entrem em vigor.
- Identifique seus dados confidenciais
Primeiro, identifique os dados de clientes que precisam ser protegidos pelo GDPR e entenda que eles provavelmente estão espalhados em sua organização. Podem estar em sistemas estruturados como, por exemplo: aplicativos ou bancos de dados, ou pode existir como dados não estruturados – como uma planilha do Excel – localizados em sistemas de arquivos, portais de colaboração, ou até mesmo em sistemas de armazenamento em nuvem como DropBox ou Google Drive. - Determine quem tem acesso
Em segundo lugar, defina quem deve ter acesso aos dados do cliente e concilie-os com quem tem. Este, é claro, deve ser um processo contínuo, não um evento único. Certifique-se de incluir todos os aplicativos e plataformas de armazenamento de arquivos (no local e na nuvem) nos quais você está armazenando dados de cliente. - Crie controles preventivos e detectivos
Os usuários devem ter acesso apenas aos recursos que precisam e não mais que isto. A regra de ouro é “tudo é muita coisa”. Procure criar a cultura do “Privilégio mínimo”, para que as pessoas entendam que o acesso a dados confidenciais devem ser restritos. - Automatize e monitore
É aqui que as ferramentas de governança de identidade podem ajudar a garantir que os usuários não consigam acessar dados confidenciais de maneira imprópria.
Saiba o que muda para os profissionais da área de Tecnologia de Segurança da Informação
