Nuno Mendes, CEO da Whitehat em 2018-5-25

OPINIÃO

O RGPD e as soluções tecnológicas de segurança para a conformidade

A entrada em vigor do novo Regulamento Geral de Proteção de Dados (RGPD) vem colocar uma série de desafios às empresas na forma como utilizam os dados pessoais – incluindo a sua gestão, armazenamento e proteção

Obviamente que, sendo este um problema levantado pela tecnologia é também através da tecnologia (e de algum bom-senso!) que poderá ser resolvido, de forma a mitigar os potenciais efeitos negativos na atividade das empresas cuja atividade depende em maior ou menor grau da recolha e utilização de dados pessoais.

Porque, como neste momento já todos sabemos, este não é um problema que afeta apenas as maiores organizações – embora a responsabilidade (e consequência da não-conformidade) destas seja mais grave – mas sim todas e quaisquer empresas, incluindo as PMEs. No fundo, é algo que diz respeito e irá afetar todas as organizações que recolham e/ou processem dados pessoais, pelo que será muito importante compreender os seus fundamentos, requisitos e impacto.

Mas o que são dados pessoais?

Um bom ponto de partida para se perceber o impacto da entrada em pleno vigor do RGPD, é que o seu objetivo visa proteger e dar controlo dos dados pessoais aos seus titulares, pessoas singulares no espaço europeu, substituindo leis nacionais (que em Portugal é a Lei de Proteção de Dados 67/98) e unificando-as de forma a que haja tratamento e responsabilidades iguais na proteção dos dados pessoais.
Mas o que são “dados pessoais”?

No âmbito deste novo regulamento, entende-se por dados pessoais toda e qualquer informação, independentemente do seu suporte, que permita a identificação ou torne identificável o seu titular. Isto inclui nomes, moradas, idade, género, religião e NIF mas também endereço email, endereço IP, entre outros, incluindo som e imagem que possam levar à identificação da pessoa em causa.

Desde logo, o regulamento obriga a que todas as organizações que recolham e/ou processem dados pessoais – e que para isso já receberam o consentimento dos seus titulares – devem por defeito e conceção (um conceito referido no regulamento como “Privacy by default” e “Privacy by design”) implementar medidas de proteção de forma a garantir a privacidade e confidencialidade dos dados recolhidos.

As soluções técnicas e os serviços de segurança

Este artigo não pretende ser uma recolha exaustiva de todas as vertentes do RGPD que afetem as empresas, mas sim uma chamada de atenção a um ponto muito sensível: o da segurança dos dados e do seu tratamento. O artigo 32 do RGDP (“Segurança do Tratamento”) refere que devem ser implementadas medidas técnicas e organizacionais para assegurar um nível de segurança apropriado ao risco, tendo em conta as técnicas mais avançadas, os custos de aplicação face aos riscos, probabilidade e gravidade variável.

Na prática, isto traduz-se em quatro categorias de medidas:

  1. Pseudonimização e cifragem de dados pessoais;
     
  2. Medidas capazes de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento;
     
  3. Medidas capazes de restabelecer a disponibilidade e acesso a dados pessoais de forma atempada, no caso de um incidente físico ou técnico que as impeça ou prejudique;
     
  4. Processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas aplicadas para garantir a segurança do tratamento.

Uma vez que hoje há facilidade na descentralização dos dados, muito associada à melhoria da produtividade, (ex.: utilização em mobilidade de computadores portáteis, acessos remotos, transporte de dados em pendrives, discos externos) e consequentemente um aumento do risco de perda ou roubo dos mesmos, torna-se importante compreender o fluxo de circulação dos dados dentro da organização desde o instante em que são recolhidos, depois processados e conservados.

Tendo em conta que as organizações devem, consoante o nível de risco de perda ou roubo de dados pessoais, implementar as medidas de segurança apropriadas, após tomados os passos organizacionais e administrativos recomendados pelo RGPD (ex.: que dados são recolhidos e onde, qual a sua finalidade, qual o tempo de armazenamento dos mesmos, como são comunicados ou partilhados, onde ficam armazenados, entre outros), devemos focar-nos nos pontos onde reside o maior risco de perda ou roubo de dados, designadamente:

  • Computadores portáteis (em muitos casos, desktops também);
     
  • Dispositivos portáteis de armazenamento de dados (ex.: discos rígidos externos, pendrives)


De forma a facilitar a categorização do risco de perda ou roubo de dados pessoais, podemos classificá-lo da seguinte forma:

Risco Físico

  • Os casos em que computadores portáteis ou dispositivos de armazenamento de dados portáteis com dados pessoais podem ser perdidos (ex.: perda num meio de transporte, evento, etc.) ou roubados (ex.: viatura, pessoa);

Risco Lógico

  • Quando existe perda (ex.: apagar dados acidentalmente ou propositadamente de forma ilícita) ou roubo por via digital (ex.: intrusão nos sistemas, fuga de dados por colaborador mal-intencionado, etc.) de dados pessoais;

Este risco está presente em todas as organizações que adotem o uso de computadores portáteis (incluindo BYOD) e dispositivos de armazenamento portáteis, dado que existe um elevado risco de roubo físico ou perda de dados, tornando assim clara a necessidade de implementar um sistema de encriptação capaz de garantir eficazmente a inteligibilidade dos dados nestas situações (estas medidas de proteção são as recomendadas no artigo 32 do regulamento).

A encriptação como solução tecnológica

A implementação da encriptação de dados confere um enorme benefício às organizações no âmbito das suas obrigações legais e conformidade com o RGPD, pois além do objetivo principal de garantir a privacidade dos dados pessoais, isenta as organizações da obrigação de comunicar à entidade reguladora em Portugal (a CNPD) e aos titulares dos dados pessoais a ocorrência de roubo ou perda dos dados, o que pode significar uma redução de carga administrativa e burocrática bem como evitar um impacto negativo na imagem institucional.

As soluções de encriptação por software facilitam a implementação e gestão da tecnologia de encriptação virtualmente impossível de quebrar, recorrendo à encriptação AES 256 bit em endpoints fixos ou portáteis e usando FDE (Full Disk Encryption). Este método de encriptação integral de discos é o mais eficaz pois garante a segurança total dos dados contidos nos discos rígidos sem permitir lapsos sobre “o que encriptar e onde encriptar” por parte dos utilizadores.


Este tipo de soluções permite ao utilizador também encriptar pastas e ficheiros, criar discos virtuais encriptados e encriptar textos e emails através de um plugin para Microsoft Outlook (como é o caso do ESET Endpoint Encryption Pro).

Como endereçar o risco lógico de perda ou roubo de dados pessoais e não só…

Como já referi anteriormente, o “risco lógico” de perda ou fuga de dados pessoais poderá requerer mais proteção para além da encriptação física dos discos. Efetivamente, este é o tipo de risco pela qual a segurança se deve “servir em múltiplas camadas”.
Existem múltiplos vectores de fuga de dados e o seu desconhecimento coloca em perigo qualquer organização que não esteja preparada para lidar proactivamente com todos os riscos.

Se considerarmos que estes riscos podem ser causados por elementos externos (ex.: ataques que exploram vulnerabilidades nos sistemas, engenharia social) ou internos (colaboradores mal-intencionados ou falha-humana), facilmente constatamos que existe uma diversidade quase infinita de cenários que importa considerar.
É, por isso, obrigatória a implementação e integração de diversas soluções multicamada que garantam uma verdadeira proteção de toda a organização.

Com base no ponto 1 do artigo 32 e das alíneas a) a d) acima descritas podemos concluir que os sistemas deverão possuir diversas tecnologias que se enquadram nas diferentes medidas de proteção e que vão desde a proteção genérica para mitigar ataques de malware, até à encriptação de dados e passando por sistemas de autenticação de dois fatores – de forma a evitar abusos no acesso aos sistemas e aos dados.

 

 

Recomendado pelos leitores

Um RGPD para IoT
OPINIÃO

Um RGPD para IoT

LER MAIS

IT CHANNEL Nº 48 Junho 2018

IT CHANNEL Nº 48 Junho 2018

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.