GDPR ou RGDP – O que é? Como Cumprir? Tudo que você precisa saber sobre o Regulamento Geral Sobre a Proteção de Dados

Olá Pessoal! Amanha é dia 25 de Maio, e se sua empresa tem negócios na EUROPA você deve estar lendo muito sobre GDPR. Neste post descreveremos todos os detalhes sobre o GDPR (General Data Protection Regulation) ou como conhecido no Brasil RGDP (Regulamento Geral de Proteção de Dados).

Afinal o que é o RGDP?

O RGDP foi estabelecido para entrar em vigor em 25 de maio de 2018, é um regulamento da União Européia (EU) que regulará estritamente as formas como as organizações coletam, gerenciam e armazenam dados pessoais. De acordo com o GDPR, os dados pessoais são quaisquer informações relacionadas a uma pessoa física (ou “assunto de dados”) que possam ser usados para identificar direta ou indiretamente a pessoa. Se uma organização lida com dados pertencentes a pessoas na EU, ela deve cumprir o GDPR, independentemente da sua localização. O objetivo principal do GDPR é capacitar as pessoas na EU com mais controle sobre seus dados pessoais e fortalecer seus direitos de privacidade.

Então, o que exatamente a conformidade com GDPR significa?

As empresas devem seguir seis princípios básicos logo após 25 de maio de 2018 para alcançar o cumprimento do GDPR e continuar suas operações na EU. Esses princípios destinam-se a dar aos usuários um controle total sobre seus dados pessoais, especialmente as informações armazenadas nos bancos de dados das empresas.

Seis princípios de GDPR

 

Juntamente com os seis princípios acima, as empresas também têm de proporcionar direitos individuais aos cidadãos da EU.

 

Como o GDPR afetará minha organização?

O GDPR contém 11 capítulos e 99 artigos que as empresas devem seguir para permanecerem em conformidade e evitar multas.

O cumprimento exige que as organizações:

  • Obtenha o consentimento das pessoas interessadas na EU antes de reunir seus dados pessoais.
  • Manter registros de todas as atividades realizadas em relação a dados pessoais, como modificação, exclusão e criação de dados.
  • Execute auditorias de dados, avaliações e execução de relatórios.
  • Exclua todos os dados coletados assim que o objetivo para o qual foi coletado foi cumprido.
  • Tenha processos concretos para lidar com violações de dados e notificar as autoridades envolvidas.

Felizmente, a tecnologia da informação pode facilitar isso ao fornecer inúmeras ferramentas para facilitar o processo de adoção do GDPR e cumprir o prazo de maio de 2018.

Preparação GDPR – Testes

A auditoria de conformidade do GDPR será nova para muitas organizações que nunca estiveram sob um regulamento de conformidade antes. Portanto, muitas empresas estão se preparando, para conformidade contínua e auditorias.

Um dos principais aspectos de qualquer regulamentação de conformidade, especialmente o GDPR, está relacionado a você tomar as medidas mínimas para proteger os dados pessoais protegidos pelo GDPR.

A segurança dos dados é o primeiro passo, a ManageEngine tem discutido durante meses sobre esse ponto. No entanto, você também precisa garantir que você teste não apenas sua segurança, mas todos os outros aspectos do seu ambiente para garantir que você esteja cumprindo os regulamentos GDPR. Aqui está uma pequena lista de configurações e outras tecnologias que você precisará testar em relação aos dados GDPR:

  • O backup e a restauração de dados são efetivos
  • Criptografia de dados (em repouso e em movimento) é efetiva
  • As permissões são corretas e efetivas
  • A adesão ao grupo é correta e efetiva
  • Configurações de firewall são corretas e efetivas
  • As configurações de aplicativos e o acesso ao grupo GDPR são corretos e efetivos
  • O provisionamento de usuários para acesso a dados é preciso
  • O desprovisionamento de usuários para remover o acesso aos dados é preciso

Para cada um desses testes que você realizar, você deve manter um registro da data, processos e resultados que você obteve e fornecer aos auditores. Isso irá percorrer um longo caminho para provar que você está cumprindo os requisitos mínimos do GDPR e você está mantendo a segurança de seus dados.

Como Cumprir o GDPR se você já Estiver Compatível com o ISO 27001?

Os requisitos de segurança para proteger e processar dados pessoais são delineados na última parte do GDPR, enquanto o foco principal da ISO 27001 é garantir informações pessoais identificáveis ​​(PII) e realizar auditorias contínuas para garantir a segurança das PII.

Em poucas palavras, o GDPR trata principalmente da coleta de dados pessoais, enquanto o ISO 27001 ajuda a garantir que esta coleção de dados confidenciais seja segura. Portanto, se você adotar o ISO 27001, você só será parcialmente compatível com o GDPR.

Se a sua empresa já adotou os padrões ISO 27001, você deve fazer o seguinte para se tornar totalmente compatível com o GDPR:

Revisar documentos e acordos de consentimento para garantir que:

  • Inclua o propósito para o qual os dados pessoais são coletados.
  • Indique todos os fins para os quais os dados pessoais serão usados.
  • Obtenha o consentimento explícito da pessoa em causa.

2. Certifique-se de que sua política de tratamento de dados esteja alinhada com os direitos das         pessoas em questão.

3. Identificar e monitorar dados pessoais exigidos pelo GDPR, mas não pelo ISO 27001, como           endereços IP, cookies e identificadores de radiofrequência (RFIDs).

Além disso, o ISO 27001 inclui controles para evitar violações de dados. Como sabemos, as violações acontecem, e o artigo 33 do GDPR elabora as ações pós-violação que você precisa tomar. O sistema de gerenciamento de segurança da informação (ISMS) definido pela ISO 27001 ajudará a detectar violações de dados até certo ponto, enquanto que o GDPR exige que as organizações detectem e relatem violações de dados dentro de 72 horas.

Já é compatível com ISO 27001? Aqui está o que você precisa fazer para alcançar o cumprimento do GDPR.

  • Implante soluções que detectem ameaças e violações em tempo real.
  • Execute atividades pós-violação. Tenha mecanismos adequados para:
    – Restaurar a disponibilidade e a integridade dos dados pessoais usando dados de backup.
    – Realizar uma análise forense completa sobre a violação e avalie seu impacto, incluindo os sistemas, serviços e dados pessoais que foram afetados.
    – Saiba tudo sobre a violação de dados – quem fez o que, onde ocorreu a violação de dados, e se era um ataque interno ou externo.
    – Tome as providências necessárias para evitar ataques semelhantes no futuro.

Violação de Dados Pessoais na Noruega Serve como Outro Sinal de Alerta para o cumprimento do GDPR

Poucos dias depois da notícia, falar sobre Meltdown e Specter, a última história de violação de dados envolve a Saúde da Noruega South East RHF e os 3 milhões de pacientes afetados por ela. Este ataque foi realizado em 8 de janeiro e foi confirmado em 18 de janeiro.

Health South East RHF administra os cuidados da saúde de nove dos dezesseis municípios da Noruega, o que faz dele uma das empresas de saúde mais importantes da Noruega.

Health South East RHF ainda está investigando a razão por trás desse enorme vazamento de dados. Na sequência desta grave ameaça, foram implementadas novas medidas de segurança para reduzir o impacto.

A Segurança Nunca Foi Tão Importante

A violação recente de dados da Noruega deve atuar como um aviso para sua empresa. Se a perspectiva de uma violação de dados preocupa você, é hora de superar sua segurança de TI em um ponto inicial.

A ManageEngine, sugeri as seguintes práticas recomendadas para fornecer à sua empresa o nível de segurança mais alto possível:

  • Faça o gerenciamento automatizado de patches um processo obrigatório em sua empresa.
  • Empregar vários agentes de proteção de dados de acordo com o GDPR.
  • Certifique-se de que seu produto, rede e dispositivos móveis estão completamente protegidos contra vulnerabilidades ou malwares. Como exemplo, empregar uma solução SIEM e uma solução de gerenciamento de ponto final podem reduzir o impacto de uma violação em uma extensão razoável.
  • Impedir que aplicativos não verificados sejam baixados em dispositivos móveis e computadores.
  • Fornecer privilégios a um conjunto limitado de indivíduos.
  • Acompanhe todos os logs e eventos relacionados a dados pessoais.
  • Crie uma equipe de resposta a incidentes que esteja bem treinada na mitigação de ataques dentro de 72 horas.

Vazamento de dados da Noruega em relação ao GDPR 

Embora a Noruega não esteja na UE, é membro da Área Econômica Europeia (EEE), que está sujeita ao GDPR. Se essa mesma violação de dados tivesse ocorrido depois de 25 de maio de 2018, não só a Health South East RHF teria uma multa para pagar, mas também estaria ocupada cuidando de outras perdas, o que é difícil para qualquer empresa.

Tendo em mente isso, o Specter ainda permanece indefinido e pode ser explorado para violar sua rede empresarial. Considerando a importância dos dados pessoais e a exploração imprevista da vulnerabilidade, a ManageEngine publicou um e-book explicando como você pode proteger os dados pessoais armazenados nos computadores e dispositivos móveis da sua empresa.

Como Tornar Compatível com o GDPR Com Ajuda da ManageEngine ?

A ManageEngine oferece uma gama de soluções que buscam facilitar o processo de adoção do GDPR. Armado com as aplicações certas, você pode ficar tranquilo sabendo que todas as atividades da sua organização estão sendo rastreadas, monitoradas e auditadas para evitar a má administração de dados pessoais.

ADAudit Plus

Uma solução de segurança completa que monitora o acesso e a atividade nos servidores onde os dados pessoais são armazenados e detecta prontamente quaisquer violações, acesso não autorizado e modificações aos dados pessoais. Detectar facilmente ataques de força bruta com uma extensa capacidade de auditoria de logon de usuário e obter informações sobre falhas de logon, atividades de logon e muito mais.

As organizações que já cumpriram vários outros mandatos de conformidade, como PCI DSS, HIPAA e ISO 27001, ainda podem ter dificuldade em cumprir todos os requisitos do GDPR.

Abrangendo 11 capítulos e 99 artigos, este mandato de conformidade:

  • Contém regulamentos específicos para dar aos indivíduos mais controle sobre suas informações pessoais.
  • Inclui uma avaliação de privacidade para uma ampla gama de dados pessoais (nome, email, endereço IP, cookies, identificação por radiofrequência e mais).
  • Requer empreendimentos para educar seus profissionais de TI sobre como lidar, armazenar e processar dados pessoais dos clientes, bem como políticas de auditoria.
  • As organizações de mandatos adotam medidas técnicas para prevenir e prontamente detectar violações.

Para atender aos requisitos do GDPR, você deve implantar uma solução de segurança que monitore o acesso e a atividade nos servidores onde os dados pessoais são armazenados e detectar prontamente quaisquer violações (acesso não autorizado e modificações aos dados pessoais, abuso de privilégios e exclusão de dados pessoais).

Certifique-se de que os dados pessoais em seus servidores estão seguros com o ADAudit Plus

Se você armazena dados pessoais em arquivos e pastas que residem em um servidor de arquivos do Windows, o ADAudit Plus é a solução perfeita para ajudá-lo a proteger seus dados. A solução vem com relatórios pré-prontos que fornecem uma trilha de auditoria completa de:

  • Acesso do usuário (incluindo logons / logoff e falhas de logon)
  • Atividade de sessão do usuário

Essas informação irá ajudá-lo a garantir que apenas usuários especificados tenham acesso ou executem operações em dados pessoais.

  • Detectando violações de dados com ADAudit Plus
  • Detecção de ataque de força bruta : ataques de força bruta estão entre as maneiras mais comuns de hackers ganhar acesso aos seus sistemas.

O ADAudit Plus ajuda você a detectar ataques de força bruta com sua extensa capacidade de auditoria de logon de usuário. Obtenha informações sobre:

  • Falhas de logon devido a uma senha ou nome de usuário incorretos.
  • Ativação de logon com base no controlador de domínio e no endereço IP.
  • Bloqueios de conta, inclusive quando o usuário foi bloqueado, de qual dispositivo e seu histórico de logon.

A auditoria destas informações ajudam a sinalizar a atividade anômala, o que pode ajudá-lo a parar um ataque de força bruta.

Detecção de ataque interno: o monitoramento dos indicadores de ameaças internas é tão importante quanto a detecção de ataques externos. A atividade de auditoria de usuários, especialmente o acesso e a atividade de conta de usuário privilegiados, ajuda você a detectar anomalias em relação ao comportamento do usuário para que você possa evitar falhas de dados acidentais ou intencionais provenientes de sua rede.

ADAudit Plus rastreia os seguintes eventos críticos de segurança para ajudar a detectar possíveis ameaças:

  • Usuários registrados em vários computadores
  • Atividade de início de sessão do administrador
  • Detecção de conta de backdoor: se um hacker quiser esconder dados fora de sua rede, eles podem tentar fazê-lo usando uma conta de backdoor. Um ataque de backdoor ocorre quando um invasor cria e adiciona privilégios a uma conta de usuário na rede para executar operações de arquivo / pasta ou escalar privilégios. Isso permite que eles roubem dados sem rastro.

O ADAudit Plus pode detectar prontamente esse tipo de ataque com seu módulo de alertas em tempo real. Detecte instantaneamente a criação de conta de backdoor e pare brechas antes de ocorrer usando os seguintes perfis de alerta predefinidos:

  • Grupos de administração modificados
  • Membros adicionados a grupos privilegiados
  • Nova criação de usuários
  • Mudanças na política de domínios
  • Mudanças de GPO

 

ADManager Plus

Uma solução de gerenciamento e relatório do Active Directory baseada na Web que ajuda a verificar as permissões atribuídas aos usuários para acessar dados pessoais. Oferece uma trilha de auditoria completa e garante que sua organização tenha medidas adequadas para a conformidade e segurança de dados.

Se você usa o Active Directory (AD) para conceder acesso a dados pessoais em sua rede, use o ADManager Plus para cumprir o GDPR. * Ele oferece uma trilha de auditoria completa através de seus vários relatórios e funcionalidades e permite que você:

  • Veja membros de grupos especificados, bem como detalhes do grupo.
  • Identifique as pastas compartilhadas presentes nos servidores e controle as permissões das pastas compartilhadas.
  • Liste os direitos de acesso que os usuários e os grupos têm sobre pastas em caminhos ou locais especificados.
  • Veja quais as contas de usuário especificadas de pasta e servidor.
  • Liste os usuários e grupos que têm acesso a servidores específicos.
  • Notificar os indivíduos apropriados em pedidos que foram criados, revisados ​​ou aprovados.
  • Crie regras para avaliar e atribuir pedidos aos técnicos apropriados.
  • Reveja as ações de gestão a serem realizadas por técnicos.
  • Veja os pedidos de fluxo de trabalho que foram criados e atribuídos ao help desk.
  • Liste todas as ações realizadas pelos técnicos de help desk.

Certifique-se de que sua organização possui medidas adequadas para a conformidade e a segurança dos dados usando os relatórios e as funcionalidades do ADManager Plus. Relatórios de e-mails ou exportá-los para locais especificados em vários formatos de arquivo para garantir que você sempre tenha os dados que você precisa durante as investigações e as avaliações de segurança.

O ADManager Plus é uma solução baseada na web para todas as suas necessidades de gerenciamento AD, Exchange e Office 365. Ele simplifica várias tarefas de rotina, como provisionar usuários , limpar contas, gerenciar NTFS e compartilhar permissões e muito mais. O ADManager Plus também oferece mais de 150 relatórios pré-prontos , incluindo relatórios sobre contas de usuário do AD inativas ou bloqueadas, licenças do Office 365 e os últimos horários de logon dos usuários. Execute ações de gerenciamento diretamente dos relatórios. Crie uma estrutura de fluxo de trabalho personalizada que o ajude na emissão de solicitações e conformidade, automatize tarefas de rotina de AD , como o provisionamento de usuários, e muito mais.

*: Os relatórios necessários para cumprir o GDPR variam de acordo com o tamanho da sua organização, as partes interessadas, a natureza do seu negócio e muito mais. O ADManager Plus possui vários outros relatórios que também podem ajudá-lo a cumprir este mandato. Discuta isso com seu consultor de segurança hoje.

Desktop Central

Uma solução de gerenciamento de ponto final que ajuda os controladores de dados a gerenciar os dados pessoais de seus dados e manter a privacidade do usuário com visibilidade completa. Proteja dados pessoais em desktops, servidores e dispositivos móveis, mantendo-se atualizado em todas as suas vulnerabilidades de rede e gerando relatórios para ficarem compatíveis com GDPR.

Enquanto as empresas estão trabalhando no sentido da conformidade com GDPR, o Desktop Central – a solução de gerenciamento de pontos de extremidade – pode ajudá-lo a manter os dados pessoais de seus usuários seguros para que você possa ficar compatível com GDPR. Gerencie seus servidores, desktops, laptops, smartphones e até mesmo tablets, tudo a partir de uma localização central e mantenha a conformidade GDPR por muito tempo.

 

Proteja dados em computadores

O Desktop Central possui uma série de recursos de gerenciamento de desktop para tornar o cumprimento do GDPR simples para você.

Os recursos de gerenciamento de patches do Desktop Central ajudam você a escapar das brechas de dados atualizando as vulnerabilidades da rede a tempo. Não só as ameaças que exploram vulnerabilidades, mas as que são internas como explorar os privilégios do usuário, a proibição de software indesejável podem ser prevenidas com os recursos de gerenciamento de endpoint do Desktop Central.

Dados seguros em dispositivos móveis

Os recursos de gerenciamento de dispositivos móveis do Desktop Central ajudam a proteger os dados em seus dispositivos móveis e a manter o cumprimento do GDPR para sua empresa.

Quando seus funcionários são móveis, os seus dados também. O recurso Gerenciamento de dispositivos móveis (MDM) do Desktop Central pode ajudá-lo a proteger os dados móveis dos funcionários, mesmo que eles estejam longe de sua rede, gerenciando recursos corporativos separadamente dos recursos pessoais, identifique dispositivos quando eles são perdidos, limpe os dados corporativos se os dispositivos são roubados e muito mais.

A conformidade do GDPR é mais do que apenas proteger seus dispositivos

Além dos recursos acima, o Desktop Central também pode ajudá-lo a reduzir a perda de produtividade mantendo seus servidores funcionando sempre usando o recurso do servidor de failover. E se você não quer expor seu servidor do Desktop Central à Internet, você pode empregar um servidor de encaminhamento que ficará à frente do seu servidor principal, protegendo-o de ameaças externas.

Ao alcançar a conformidade do GDPR é um ótimo lugar para começar, manter o cumprimento para o longo prazo é o verdadeiro desafio. Felizmente, com o Desktop Central ao seu lado, ficar compatível com o GDPR é mais fácil do que você pensa.

EventLog Analyzer

Detectar brechas de dados e ataques instantaneamente com o mecanismo de correlação em tempo real e sistema de resposta a eventos. Com modelos de relatório GDPR predefinidos, os administradores de segurança e os responsáveis ​​pela proteção de dados auditam todas as atividades que acontecem em sistemas que armazenam dados pessoais e as mudanças nos próprios dados pessoais.

Afinal, este mandato de conformidade regula a segurança dos dados pessoais em todas as suas várias etapas – em repouso, em uso e em trânsito. Ele também descreve que as empresas devem obter consentimento explícito antes de coletar dados pessoais dos indivíduos e insiste em que as empresas implementem medidas técnicas para:

  • Auditoria de acesso e fluxo de dados em toda a rede.
  • Detectar falhas de dados dentro de 72 horas após sua ocorrência.
  • Conduza atividades adequadas de pós-infração, como gerar um relatório de incidente ou remediar automaticamente uma violação.

Usando o EventLog Analyzer para cumprir os requisitos do GDPR

O EventLog Analyzer, nossa solução abrangente de gerenciamento de log e auditoria, pode ajudar sua empresa a atender os requisitos de segurança de dados do GDPR com facilidade.
Quando se trata dos requisitos do GDPR para detectar e responder a falhas, o EventLog Analyzer possui os recursos de pesquisa e relatórios que você precisa. Com modelos de relatório GDPR predefinidos, o EventLog Analyzer ajuda os administradores de segurança e os responsáveis ​​pela proteção de dados a auditar todas as atividades que acontecem em sistemas que armazenam dados pessoais e as mudanças nos próprios dados pessoais.
Também pode ajudar sua empresa a enviar relatórios de revisão às autoridades de supervisão.

Auditando acesso a dados pessoais e atividades de usuários

Geralmente, os dados pessoais, como nomes, endereços de e-mail, detalhes de contato e outros, são armazenados em bancos de dados para fácil acesso e processamento. Para garantir que esses dados confidenciais sejam armazenados e processados ​​de forma segura, você precisa auditar todas as operações envolvendo dados pessoais, incluindo acessos de usuários.

O EventLog Analyzer torna a auditoria mais fácil com modelos de relatórios predefinidos que fornecem informações sobre:

  • Logon de usuários, logons e logon com falha, bem como as tendências de atividade de logon / logons e o motivo de logon com falha.
  • Executar seleções, inserir, excluir e atualizar consultas.
  • Alterações nas tabelas e esquemas do banco de dados.
  • Disparadores e procedimentos armazenados que foram criados, descartados ou alterados.

A auditoria e o acompanhamento dos eventos de segurança acima mencionados ajudam a detectar eventuais anomalias o mais rápido possível para que você possa mitigar rapidamente uma violação.
Os modelos de relatórios predefinidos do EventLog Analyzer abordam o (s) seguinte (s) artigo (s) GDPR: artigo 5.º (1.f), 32 (1.b e 1.d) e 33 (3).

O requisito GDPR que fala sobre a detecção e notificação de falhas de dados – “Notificação de violação de dados pessoais à autoridade de supervisão sem atrasos indevidos, quando possível, até 72 horas depois de ter tido conhecimento disso” – reitera o fato de que nem sempre é possível para evitar violações de dados. E quando eles ocorrem, o que é necessário é a pronta detecção e resposta.

O EventLog Analyzer pode detectar violações de dados e ataques instantaneamente com seu mecanismo de correlação em tempo real e sistema de resposta a eventos. Com mais de 20 regras de correlação predefinidas, o EventLog Analyzer pode identificar qualquer tipo de ataque, incluindo ransomware, negação de serviço (DoS), força bruta, injeção SQL e muito mais.

Regras de correlação predefinidas para a detecção

  • Ataques Ransomware
  • Iniciativas repetidas de injeção de SQL em bancos de dados
  • Possível atividade de worm
  • Pedidos de URL maliciosos
  • Múltiplas permissões de arquivos
  • Ataque de força bruta e muito mais

O EventLog Analyzer também inclui um construtor de regras de correlação personalizado que ajuda você a criar regras que detectam padrões de ataque específicos, notificando você em tempo real se ocorrer um ataque sofisticado. A opção de script personalizado do EventLog Analyzer automatiza a remediação de falhas.

Além disso, o mecanismo de correlação do EventLog Analyzer integra-se com o sistema integrado de gerenciamento de incidentes (que é capaz de aumentar os ingressos em um console de suporte para cada incidente detectado), adicionando responsabilidade à resolução de incidentes.

Realização de análises forenses e geração de relatórios de incidentes

O GDPR descreve que as empresas que manipulam ou processam dados pessoais devem realizar uma análise adequada de incidentes após uma violação de dados e fornecer informações sobre o impacto dessa violação.

O EventLog Analyzer ajuda você a atender este requisito com seu mecanismo de pesquisa de registro de alta velocidade, que pode efetivamente realizar análises forenses e detalhar a entrada de registro exata que contém informações sobre uma violação de dados. Ele também fornece relatórios atualizados que destacam informações como quem fez o que mudou para dados pessoais, quando e de onde. Esses detalhes ajudam a identificar o impacto de uma infração e suas conseqüências prováveis, e na mitigação de violações de tipos similares no futuro.

O mecanismo de pesquisa de registro do EventLog Analyzer e os relatórios abordam o seguinte artigo (s) GDPR: Artigo 33 (1 e 3)

 

Este post detalha tudo que você precisa saber sobre o GDPR e se sua empresa será atingida. Conforme descrito acima, a ManageEngine possui várias ferramentas para lhe auxiliar no cumprimento das regras. Caso possua alguma duvida ou deseje realizar testes das ferramentas entre em contato com a equipe ACSoftware a revendedora ManageEngine no Brasil.

Fone: (11) 4063 9639

Deixe um comentário

Blog ACSoftware - ManageEngine