Nuno Mendes, CEO da Whitehat em 2018-5-25
A entrada em vigor do novo Regulamento Geral de Proteção de Dados (RGPD) vem colocar uma série de desafios às empresas na forma como utilizam os dados pessoais – incluindo a sua gestão, armazenamento e proteção
Obviamente que, sendo este um problema levantado pela tecnologia é também através da tecnologia (e de algum bom-senso!) que poderá ser resolvido, de forma a mitigar os potenciais efeitos negativos na atividade das empresas cuja atividade depende em maior ou menor grau da recolha e utilização de dados pessoais. Porque, como neste momento já todos sabemos, este não é um problema que afeta apenas as maiores organizações – embora a responsabilidade (e consequência da não-conformidade) destas seja mais grave – mas sim todas e quaisquer empresas, incluindo as PMEs. No fundo, é algo que diz respeito e irá afetar todas as organizações que recolham e/ou processem dados pessoais, pelo que será muito importante compreender os seus fundamentos, requisitos e impacto. Mas o que são dados pessoais? Um bom ponto de partida para se perceber o impacto da entrada em pleno vigor do RGPD, é que o seu objetivo visa proteger e dar controlo dos dados pessoais aos seus titulares, pessoas singulares no espaço europeu, substituindo leis nacionais (que em Portugal é a Lei de Proteção de Dados 67/98) e unificando-as de forma a que haja tratamento e responsabilidades iguais na proteção dos dados pessoais. No âmbito deste novo regulamento, entende-se por dados pessoais toda e qualquer informação, independentemente do seu suporte, que permita a identificação ou torne identificável o seu titular. Isto inclui nomes, moradas, idade, género, religião e NIF mas também endereço email, endereço IP, entre outros, incluindo som e imagem que possam levar à identificação da pessoa em causa. Desde logo, o regulamento obriga a que todas as organizações que recolham e/ou processem dados pessoais – e que para isso já receberam o consentimento dos seus titulares – devem por defeito e conceção (um conceito referido no regulamento como “Privacy by default” e “Privacy by design”) implementar medidas de proteção de forma a garantir a privacidade e confidencialidade dos dados recolhidos. As soluções técnicas e os serviços de segurança Este artigo não pretende ser uma recolha exaustiva de todas as vertentes do RGPD que afetem as empresas, mas sim uma chamada de atenção a um ponto muito sensível: o da segurança dos dados e do seu tratamento. O artigo 32 do RGDP (“Segurança do Tratamento”) refere que devem ser implementadas medidas técnicas e organizacionais para assegurar um nível de segurança apropriado ao risco, tendo em conta as técnicas mais avançadas, os custos de aplicação face aos riscos, probabilidade e gravidade variável. Na prática, isto traduz-se em quatro categorias de medidas:
Uma vez que hoje há facilidade na descentralização dos dados, muito associada à melhoria da produtividade, (ex.: utilização em mobilidade de computadores portáteis, acessos remotos, transporte de dados em pendrives, discos externos) e consequentemente um aumento do risco de perda ou roubo dos mesmos, torna-se importante compreender o fluxo de circulação dos dados dentro da organização desde o instante em que são recolhidos, depois processados e conservados. Tendo em conta que as organizações devem, consoante o nível de risco de perda ou roubo de dados pessoais, implementar as medidas de segurança apropriadas, após tomados os passos organizacionais e administrativos recomendados pelo RGPD (ex.: que dados são recolhidos e onde, qual a sua finalidade, qual o tempo de armazenamento dos mesmos, como são comunicados ou partilhados, onde ficam armazenados, entre outros), devemos focar-nos nos pontos onde reside o maior risco de perda ou roubo de dados, designadamente:
Risco Lógico
Este risco está presente em todas as organizações que adotem o uso de computadores portáteis (incluindo BYOD) e dispositivos de armazenamento portáteis, dado que existe um elevado risco de roubo físico ou perda de dados, tornando assim clara a necessidade de implementar um sistema de encriptação capaz de garantir eficazmente a inteligibilidade dos dados nestas situações (estas medidas de proteção são as recomendadas no artigo 32 do regulamento). A encriptação como solução tecnológica A implementação da encriptação de dados confere um enorme benefício às organizações no âmbito das suas obrigações legais e conformidade com o RGPD, pois além do objetivo principal de garantir a privacidade dos dados pessoais, isenta as organizações da obrigação de comunicar à entidade reguladora em Portugal (a CNPD) e aos titulares dos dados pessoais a ocorrência de roubo ou perda dos dados, o que pode significar uma redução de carga administrativa e burocrática bem como evitar um impacto negativo na imagem institucional. As soluções de encriptação por software facilitam a implementação e gestão da tecnologia de encriptação virtualmente impossível de quebrar, recorrendo à encriptação AES 256 bit em endpoints fixos ou portáteis e usando FDE (Full Disk Encryption). Este método de encriptação integral de discos é o mais eficaz pois garante a segurança total dos dados contidos nos discos rígidos sem permitir lapsos sobre “o que encriptar e onde encriptar” por parte dos utilizadores.
Como endereçar o risco lógico de perda ou roubo de dados pessoais e não só… Como já referi anteriormente, o “risco lógico” de perda ou fuga de dados pessoais poderá requerer mais proteção para além da encriptação física dos discos. Efetivamente, este é o tipo de risco pela qual a segurança se deve “servir em múltiplas camadas”. Se considerarmos que estes riscos podem ser causados por elementos externos (ex.: ataques que exploram vulnerabilidades nos sistemas, engenharia social) ou internos (colaboradores mal-intencionados ou falha-humana), facilmente constatamos que existe uma diversidade quase infinita de cenários que importa considerar. Com base no ponto 1 do artigo 32 e das alíneas a) a d) acima descritas podemos concluir que os sistemas deverão possuir diversas tecnologias que se enquadram nas diferentes medidas de proteção e que vão desde a proteção genérica para mitigar ataques de malware, até à encriptação de dados e passando por sistemas de autenticação de dois fatores – de forma a evitar abusos no acesso aos sistemas e aos dados.
|