OPINIÃO: RGPD: Decifrando as orientações técnicas para a Administração Pública e setor empresarial do Estado (Parte 2)

Publicado a 7/31/2018 por Knowledge Inside em Opiniao
image

Na primeira parte deste artigo fizemos um enquadramento da Resolução do n.º 41/2018 do Conselho de Ministros, publicada no Diário da Republica em 28 de março e que define uma série de requisitos que todos os organismos públicos deverão cumprir à luz do Regulamento Geral de Proteção de dados Pessoais. Decifrámos também os primeiros nove requisitos e nesta segunda parte damos então a continuidade a esta análise.

10. Capacidade de monitorização, registo e análise de toda a atividade de acessos de modo procurar ameaças prováveis.
Todas as atividades sobre dados pessoais devem ser registadas em “logs”, incluindo as tentativas de acesso falhadas. O sistema de registo deverá garantir a integridade da informação e ser capaz de distinguir a proveniência de cada registo por sistema, bem como conter, no mínimo, o endereço de acesso (IP e Porto), Host, HASH da conta do utilizador que efetuou a ação, ação efetuada (CRUD), Tipo de Dado Pessoal onde a ação foi efetuada, data/hora/minuto/segundo (TimeStamp) da ação, alteração efetuada sobre o dado pessoal.

Soluções como o Azure Log Analytics, podem ajudar a cumprir este requisito pois permitem recolher, consolidar e monitorizar dados de “log” a partir de diferentes origens. O poder de computação do Azure será aqui uma mais valia para rapidamente pesquisarmos informação contida em milhões de registos.

11. Inspeção automática dos conteúdos para procurar dados sensíveis e acessos remotos ao sistema a partir do exterior do ambiente organizacional.
É obrigatório que cada organização tenha um sistema capaz de detetar proactivamente ameaças ou situações iminentes de perda e divulgação de dados pessoais, não só na defesa perimétrica, mas desejavelmente em todos os dispositivos, incluindo os dispositivos móveis. É também obrigatório um sistema VPN.

Se para a VPN qualquer fabricante de firewall assegurará uma solução standard robusta com, por exemplo, IPsec. Já para a deteção de ameaças, um sistema para o controlo sistemático e em tempo real deverá ser avançado e baseado em IA e deteção de padrões. O perímetro, de facto, já não tem a relevância de outros tempos e a segurança tem de ter uma abordagem holística. Se já é subscritor do Enteprise Mobility and Security Suite da Microsoft lá encontrará algumas soluções relevantes como o Azure Advanced Threat Protection, Advanced Threat Analytics, o Cloud App Security, o Intune. e a própria AD Premium. Estas soluções permitem usufruir de todo o conhecimento adquirido pela Microsoft na proteção das suas clouds e aplicá-las na nossa cloud hibrida ou até em soluções não cloud. Já no Office 365, o Datal Loss Prevention, será uma funcionalidade incontornável quando queremos evitar a partilha acidental de dados confidenciais com terceiros.

12. Proteção dos dados contra modificações não autorizadas, perdas, furtos e divulgação não autorizada
Quando falamos de dados estruturados e aplicações a recomendação é clara. Para além de remeter para as disposições anteriores relativas à segurança da atribuição dos acessos e segurança dos dados pessoais, dos acessos propriamente ditos e do registo da atividade efetuada sobre os dados pessoais, coloca um novo requisito no mascaramento, anonimização ou, sendo necessário, cifra dos dados pessoais transmitidos ou acedidos. Já para os dados armazenados, a recomendação é só uma: encriptar. Encriptar não só os dados produtivos, mas também as cópias de segurança. Por exemplo com o Microsoft SQL Server é possível encriptar os data files e assim endereçar ambas as questões.

Para os dados não estruturados é de extrema relevância a adoção de um sistema que permita classificar e proteger (encriptando) documentos e e-mails considerados confidenciais. Uma solução de IRM tal como o Microsoft AIP, é a solução mais indicada para clássificar e proteger os milhares de ficheiros Office, PDF e e-mails que circulam diariamente pelas organizações.

13. Capacidade para garantir a identidade correta do remetente e destinatário da transmissão dos dados pessoais.
É um requisito obrigatório que a configuração DNS dos domínios de e-mail seja segura, nomeadamente garantir a existência de registos SPF, DKIM e DMARK. O objetivo é o de instruir os sistemas de terceiros quais os servidores legítimos para envios dos domínios em causa.

14. Os sistemas de armazenamento devem garantir redundância e disponibilidade, não devendo existir nenhum «single point of failure»
Um requisito do RGPD Artigo 32 1. b) e c). É obrigatório que a arquitetura de processamento e armazenamento garanta as propriedades da redundância, resiliência e disponibilidade. Devem existir dois tipos de backups (online e offsite), que devem obedecer aos mesmos requisitos de segurança definidos para os sistemas produtivos. Os backups offsite devem ser guardados numa localização que não esteja exposta aos mesmos riscos exteriores da localização original, podendo ser da organização, mas geograficamente distinta e/ou afastada.

Ao aderir a uma solução Cloud estes são requisitos que normalmente ficam a cargo do fornecedor, pelo que poderá ser uma boa opção caso os sistemas “in house” não respondam atualmente a estes requisitos.

O requisito de backup corresponde à conhecida regra 3-2-1. Deve possuir pelo menos três cópias dos dados em dois formatos distintos, um deles em offsite

15. As redes e sistemas de informação devem possuir as funcionalidades necessárias ao respeito pelos direitos do titular dos dados.
Aqui falamos de Data Governance. É obrigatório classificar e gerir o ciclo de vida dos dados, bem como possuir mecanismos que possibilitem responder aos pedidos dos titulares dos dados. Para quem está no Office 365, temos funcionalidades como o Advanced Data Governance e E-discovery à disposição que permitem exatamente facilitar e viabilizar essa classificação (de forma automática) e gestão. Os pedidos de titulares dos dados (DSR) estão também embutidos na plataforma. Para os clássicos servidores de ficheiros, é possível classificar e gerir o prazo de apagamento recorrendo aos serviços de FCI do Windows Server.

16. As tecnologias de informação a implementar devem permitir a portabilidade e a exportação de dados pessoais.
Aqui devem ser adotadas as especificações técnicas e formatos digitais definidos no Regulamento Nacional de Interoperabilidade Digital, aprovado pela Resolução do Conselho de Ministros n.º 91/2012, ou noutro que o venha a substituir.

Para os dados não estruturados, a exportação deverá ser feita em PDF ou ODF e para dados estruturados em XML.

17. Devem ser definidas políticas que garantam a segurança dos dados pessoais, em alinhamento com a estratégia superiormente definida para a segurança do tratamento de dados pessoais.
Pertinente e obrigatório a definição de políticas internas que permitam que todas as posições acima descritas sejam cumpridas. E de igual forma importante que o trabalho de caracterização e identificação de fontes de dados pessoais, seja mantido e atualizado.

Para terminar esta série que já vai longa, realço a importância desta orientação técnica aprovada em conselho de ministros. A mesma determina formalmente um muito necessário fio condutor no caminho à conformidade que será seguido não só pelos organismos públicos, mas estou certo que também pelas entidades privadas que encontram aqui um auxilio mais objetivo para cumprir com a nova lei.

Comments