Uma proteção eficaz dos dados requer mais do que soluções técnicas. Há que estabelecer controlos administrativos e organizacionais para de forma a garantir que os controlos técnicos sejam implementados, configurados e operados de forma adequada, como suporte a uma estratégia coesa de gestão de segurança. Alguns exemplos de controlos organizacionais incluem:
Dados privados e sensíveis
Os controlos técnicos, tais como encriptação e Data Loss Prevention (DLP), precisam ser usados de forma criteriosa devido ao seu custo (financeiro e relacionado com o desempenho). A encriptação requer um processamento adicional para encriptar e desencriptar dados, e as soluções DLP precisam procurar por palavras-chave e padrões para identificar dados particulares ou confidenciais, como sejam números de cartão de crédito, informações sobre saúde e números de Segurança Social. A existência de um esquema de classificação de dados pode ajudar os seus utilizadores a entender quais os dados que precisam ser protegidos, porquê e como.
Documentação e auditoria de dados
As empresas que reúnem, processam e/ou armazenam dados confidenciais precisam documentar o porquê de reunir e guardar os mesmos dados, e de que forma conseguiram esses dados (quais são as fontes), como são usados e de que forma se encontram protegidos. A documentação das suas políticas de segurança e privacidade de dados podem ser de grande auxílio para fazer face aos requisitos de auditoria, principalmente no que respeita à legislação, nomeadamente à Lei da Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA), nos EUA, e o Regulamento Geral de Proteção de Dados (GDPR), na UE.
Políticas de segurança
As políticas não precisam ser extensas. Em muitos casos, alguns parágrafos podem bastar. As políticas de segurança devem definir claramente funções e responsabilidades individuais relacionadas com a proteção de dados pessoais. Exemplos de políticas de segurança importantes que todas as empresas devem criar incluem:
- Política de utilização viável de e-mail e Internet
- Política de utilização de dispositivos próprios
- Política de acesso remoto
- Política de software autorizado
Recursos Humanos
Inclui políticas e procedimentos para assegurar que os dados pessoais (tais como aplicações de emprego, dados dos recibos de vencimento, formação e registos disciplinares) que são reunidos, mantidos e processados por recursos humanos sejam adequadamente protegidos. Isto inclui processos como triagem pré-emprego, testes de drogas e rotações de trabalho.
Utilização de um modelo de segurança já testado
Um modelo de segurança já testado pode ser de grande auxílio na determinação de quais os recursos de segurança necessários em áreas específicas, e quais as lacunas existentes entre a atual situação e a situação ideal. A situação ideal, dependerá, claro, de vários fatores, como:
- O que está a proteger – sejam dados confidenciais, informação financeira, propriedade intelectual, equipamento médico, ou infraestrutura crítica.
- O setor onde se insere – saúde, financeiro, retalho, contratação de defesa, ou serviços públicos.
- Os seus requisitos de conformidade regulamentar – por exemplo, se está sujeito à Lei da Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA), dos EUA, ao Regulamento Geral de Proteção de Dados, da UE (GDPR), à Lei de Proteção de Informações Pessoais e Documentos Eletrónicos(PIPEDA), do Canadá, ou aos Padrões de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), ou outros.
- O seu perfil de ameaça – você está geograficamente localizado numa região hostil ou instável, cidade com elevado nível de criminalidade, ou área industrial perigosa?
Formar e testar os seus funcionários
A formação e a tomada de consciência de segurança são essenciais de forma a garantir que os seus funcionários não sejam o elo mais fraco no que respeita à proteção de dados na sua organização. Há que cobrir tópicos como segurança de password, spam e phishing, proteção de malware, requisitos de conformidade e proteção de dados (como classificação de dados, tipos de dados confidenciais e tecnologias de proteção de dados). Os testes podem assumir várias formas para garantir que a formação seja envolvente e reforçada ao longo do ano.
Análise de impacto dos processos de proteção de dados (DPIA)
A DPIA é exigida pelo GDPR para quaisquer operações de processamento de dados que “possam resultar num elevado risco para os direitos e liberdade dos indivíduos”. Um DPIA é semelhante ao processo básico de gestão de riscos, mas define ainda mais parâmetros relacionados com o processamento de dados pessoais.
Implementação de proteção de dados standard por defeito
O GDPR requer “proteção de dados standard por defeito”, o que significa que as organizações devem implementar medidas técnicas e organizacionais para minimizar os dados pessoais que são coletados, processados e armazenados por uma empresa.
in Proteção de Dados para Pequenas e Médias Empresas (ESET)
