ISO/IEC 27001:2022 Alterações chave

14 Março, 2023
, , , , , , 27001, 27701, Cibersegurança, Conformidade com RGPD, RGPD, Segurança da Informação

ISO/IEC 27001:2022  Alterações-chave

A proteção das operações diárias orientadas pela informação, dados pessoais e propriedade intelectual contra ameaças é imprescindível para empresas de todas as dimensões. Os ataques cibernéticos, a adaptação a riscos de segurança da informação em constante mudança exige uma abordagem à construção da resiliência das empresas.

A nova versão da ISO/IEC 27001:2022 é uma das principais referências internacionais em segurança da informação  foi publicada em Outubro de 2022.

As ameaças digitais com características cada vez mais ofensivas estão continuamente em desenvolvimento e o foco da norma é a gestão do risco e a orientação do processo na gestão da segurança da informação. A  nova versão ISO/IEC 27001 define os requisitos para estabelecer, implementar, manter e sustentar um sistema de gestão da segurança da informação (SGSI) para as empresas, independentemente da sua estrutura, tamanho ou segmento. 

Refletindo a evolução tecnológica e a abrangência dos temas associados à segurança, o título da norma alterou: ISO/IEC 27001:2022 – Segurança da informação, cibersegurança e proteção da privacidade – Sistemas de gestão da segurança da informação – Requisitos.

Outra mudança interessante é a adaptação à chamada “Estrutura Harmonizada”,  que é a estrutura básica e o modelo para o desenvolvimento de novas e futuras revisões das normas do sistema de gestão ISO. Uma das mudanças significativas desta alteração é o novo requisito 6.3, que exige que as alterações ao SGSI sejam implementadas de uma forma planeada. Esta exigência é comum a outros sistemas de gestão e expressa a expectativa de que um processo de mudança relacionado com o SGSI.

Além de clarificação e pequenas modificações em alguns requisitos, esta nova versão da ISO apresenta outas importantes mudanças, nomeadamente no número e classificação dos controlos de segurança (Anexo A).

No Anexo A, podemos observar dois novos aspectos: temas e atributos. Os temas referem-se à forma de categorização dos controlos de segurança e é possível encontrar quatro temas: controlos para pessoas, físicos, tecnológicos e organizacionais. Os atributos dos controlos referem-se a uma classificação baseada em outras perspectivas ou abordagens, de modo que os atributos podem ser usados para filtrar, classificar ou apresentar diferentes controlos, permitindo visões e perspectivas diferentes sobre os mesmos. São considerados cinco atributoso:

  • Tipo de controlo é um atributo para a visão dos controlos na perspectiva de quando e como uma medida altera o risco relacionado com a ocorrência de um incidente de segurança da informação (preventivo, detetivo ou corretivo).
  • Propriedades de segurança da informação é um atributo para a visualização dos controlos na perspectiva de que objetivo de proteção a medida se destina a apoiar (confidencialidade, integridade e disponibilidade).
  • Conceitos de cibersegurança analisa os controlos da perspectiva de como eles mapeiam para o quadro de cibersegurança (identificar, proteger, detectar, responder e recuperar).
  • Capacidade Operacional considera os controlos na perspectiva das suas capacidades operacionais de segurança da informação e apoia uma visão prática dos utilizadores das medidas (capacidades de segurança sob a perspectiva de profissionais, como governança ou segurança física).
  • Domínios de Segurança é um atributo que permite que os controlos sejam vistos da perspectiva de quatro domínios de segurança da informação (governança e ecossistema, proteção, defesa e resiliência).

Outra mudança significativa é a redução do número de controlos de segurança de 114 para 93.  Os controlos que constam no Anexo A são extraídos diretamente da ISO/IEC 27002:2022 de março/2022. É possível identificar 8 controlos para pessoas, 14 controlos físicos, 34 controlos tecnológicos e 37 controlos organizacionais. Pode-se ainda observar que o conceito “objetivos do controlo” foi eliminado.

A nova estruturação dos controlos:

  • Controlos novos: 11
  • Controlos alterados: 58
  • Controlos fundidos: 24

Novos controlos:

  • A.5.7 Threat intelligence
  • A.5.23 Information security for use of cloud services
  • A.5.30 ICT readiness for business continuity
  • A.7.4 Physical security monitoring
  • A.8.9 Configuration management
  • A.8.10 Information deletion
  • A.8.11 Data masking
  • A.8.12 Data leakage prevention
  • A.8.16 Monitoring activities
  • A.8.23 Web filtering
  • A.8.28 Secure coding

De notar que estes controlos de segurança não são obrigatórios – a norma ISO 27001 permite excluir um controlo se (i) não identificou riscos relacionados e (ii) não existem requisitos legais/regulamentares/contratuais para implementar determinado controlo.

Considerando que certificados na versão 2013 expiram a 31/10/2025,  é fundamental lembrar etapas importantes para a transição:

  • Criar um plano de formação para aquisição de conhecimento em torno da norma
  • Rever matriz do risco associada aos novos controlos e plano de tratamento do risco
  • Verificar Plano de Tratamento do Risco (PTR) atualizado
  • Rever SOA á luz da nova estrutura do Anexo A
  • Confirmar a implementação e efetividade dos controlos novos ou alterados
  • Rever politicas e procedimentos na medida do necessário
  • Implementar as alterações identificadas
  • Verificar a gestão de alterações

Carlos Silva

Especialista para sistemas de gestão de segurança da informação (SGSI) 
Senior Lead Implementer  &  Auditor ISO 27001

Selo Digital – Cibersegurança

15 Janeiro, 2022
, , , , , 27001, 27701, Cibersegurança, Conformidade com RGPD, RGPD, Segurança da Informação, Selo Digital
Fonte: Disponível em <https://selosmaturidadedigital.incm.pt/SMD/>

Existem quatro Selos de Maturidade Digital e um Selo Global que refletem a certificação em três níveis distintos: Bronze, Prata e Ouro. Cada selo apresenta a dimensão da certificação e o respetivo nível alcançado pela organização.

Fonte: Disponível em <https://selosmaturidadedigital.incm.pt/SMD/>

O Selo digital da Cibersegurança sela o compromisso de todas as organizações com a adoção de um guião para o processo de transição digital, num mundo e tempo marcados pela cada vez maior dependência das tecnologias de informação e comunicação (TIC).

certificado Selo Digital Cibersegurança tem por objetivo testemunhar o compromisso da organização certificada com a cibersegurança e um referencial na cultura da organização.

A transformação digital é uma realidade inevitável e o certificado Selo Digital Cibersegurança pode ser adquirido por organizações de todas as dimensões, sejam do setor privado ou setor público, representando uma oportunidade para as organizações se tornarem mais competitivas no mercado e mais eficazes.

É uma iniciativa desenvolvida em parceria com o Instituto Português de Acreditação e o Instituto Português da Qualidade, as entidades certificadoras e a Imprensa Nacional Casa da Moeda.

O certificado Selo Digital Cibersegurança compreende três níveis de garantia – Bronze, Prata e Ouro, que permitem à organização selecionar o nível de garantia mais adequado às suas necessidades de cibersegurança e às necessidades do contexto em que se inserem.

A Controgal Consulting é especializada na implementação da norma “Maturidade Digital – Selo Digital – Cibersegurança” e presta serviços de consultoria a fim de garantir que os seus clientes estão em conformidade com as medidas e as boas práticas exigidas pela norma.

 

RGPD / GDPR – Direito ao apagamento dos dados (“direito de ser esquecido”)

8 Julho, 2019
, , , , , , , , , , , , , , , RGPD

RGPD / GDPR – Direito ao apagamento dos dados (“direito de ser esquecido”)

A nova lei está em vigor desde 27/04/2016 e será aplicável a partir de 25/05/2018. As empresas têm que preparar-se para estarem em conformidade com a nova lei sob pena de sofrerem pesadas coimas. Este espaço temporal de 2 anos, entre a entrada em vigor e a aplicabilidade, é um período de transição concedido às empresas para detalhar e implementar todos os processos de conformidade com o RGPD. Estes passos serão fundamentais para poder cumprir as novas exigências na recolha e tratamento de dados pessoais.

Hoje destaco o direito ao “esquecimento” , ou seja, quando um cidadão solicita que a sua informação de dados pessoais seja removida ou apagada. A organização tem um prazo de um mês para apagar os dados pessoais de todos os suportes automatizados e não automatizados.

Como fazer? E na questão laboral, como resolver esta questão? Vou apagar todos os dados do trabalhador? E então, os testes psicotécnicos são dados de saúde, com tratamento especial e com coimas mais elevadas por não conformidade no tratamento? E estatisticamente fico sem esta informação dos trabalhadores? E os trabalhadores que manuseiam estes dados têm que ter formação obrigatória? E vou apagar os dados nos backups? (…)

Pois é, a conformidade com este direito tem gerado grandes desafios nas empresas onde tenho prestado serviços de formação RGPD ou serviços de implementação RGPD. Porquê? Porque não se cinge a questões legais e IT, mas à gestão de processos de negócio. Eu posso ajudar neste caminho rumo à conformidade plena com o RGPD.

Carlos Silva

RGPD, o DPO e o risco IT: reduzir o risco criando uma cultura de segurança e conformidade….

23 Março, 2019
, , , RGPD, Segurança da Informação

Embora seja uma dúvida que se tem colocado, nos termos do RGPD é claro que uma das competências do DPO está relacionada com gestão TI, infraestrutura de TI e auditorias de SI, e só um profissional experiente nestas matérias poderá estar em posição de desempenhar as funções de DPO, baseada obrigatoriamente numa ampla experiência nesta área de especialização.

 

Abordando o tema risco / TI, o considerando 77 e os artigos 39º-2 e 35º-2 exigem que o DPO forneça orientações sobre avaliações de risco, contramedidas e avaliações de impacto de proteção de dados. Assim, o DPO deve ter experiência significativa em avaliação de riscos de privacidade de dados, segurança da informação e mitigação, incluindo experiência prática significativa em avaliações de privacidade, certificações de privacidade e certificações de padrões de segurança de informação.

O artigo 32 do RGPD define os requisitos para a segurança do processamento. Em contraste com o quadro legal em vigor até 25 de maio de 2018, o sistema para determinar as condições técnicas e medidas organizacionais é agora explicitamente baseada numa avaliação dos riscos identificados. Uma avaliação e a adoção de medidas baseadas nos riscos não é novidade para as empresas, por exemplo, muitas já possuem um sistema de gestão de risco para mapear riscos de segurança da informação.

O n.º 1 do artigo 32.º do RGPD exige que o responsável pelo tratamento e o processador assegurem que são tomadas as salvaguardas para proteger os dados pessoais.

Em princípio, os processos relacionados ao risco são muito semelhantes. Um procedimento de risco de proteção de dados pode ser o seguinte:

  1. “Criar o contexto” ou “definir o âmbito”
  2. Identificar riscos
  3. Analisar riscos
  4. Avaliação de riscos
  5. Gestão de riscos
  6. Monitorização de riscos

Estes seis passos da gestão de risco podem ser implementados de forma muito diferente na prática, dependendo no âmbito e método utilizado. O RGPD não prescreve um método para análise de risco e serão métodos quantitativos, qualitativos ou mesmo formas mistas que devem ser usados para determinar as medidas para garantir um nível adequado de segurança da informação.

Esta é uma das etapas do processo Risk Assessment & Data Protection Impact Assessment relacionada com a segurança dos sistemas de informação e é um tema que em breve irei desenvolver com mais detalhe nas minhas ações de formação.

Neste artigo e no capítulo da segurança, destaco um dos focos do DPO, que deve estar voltado para o “elo mais fraco” na cadeia da proteção de dados: os colaboradores das organizações.

 

Um dos fatores com maior peso na proteção da infraestrutura e na segurança da informação passa por criar uma cultura de segurança na organização. E neste aspeto de alteração de comportamentos, o DPO tem igualmente um papel fundamental ao ser responsável pela formação dos colaboradores em boas práticas de modo que estes estejam cientes das responsabilidades na confidencialidade, integridade e segurança dos dados.

O estado da cibersegurança das organizações é tudo menos estático e as novas tecnologias alcançam todos os colaboradores. Por ausência ou desconhecimento de normativos internos ou por má aplicação dos mesmos, o erro humano representa uma percentagem muito significativa nos incidentes e nas violações de dados ocorridos nas organizações. A forma de endereçar este aspeto, é o DPO definir programas de sensibilização e formação para a generalidade dos colaboradores, de forma a adequar comportamentos, fomentar a consciência e aumentar o conhecimento de todos os colaboradores nas matérias relacionadas com proteção de dados pessoais.

Para terminar, um bom principio para todos: ligue-se a sítios com URL https://

RGPD: Compreendendo o alcance – Passado, Presente e Futuro

11 Janeiro, 2019
, , , RGPD

“Who controls the past controls the future. Who controls the present controls the past.” George Orwell, 1984

Nos processos de implementação do Sistema de Gestão Privacidade de Dados(SGPD) para conformidade ao RGPD, tenho identificado que as empresas geralmente se concentram exclusivamente no conjunto de dados e nos tratamentos de dados pessoais que realizam atualmente. Nem sempre consideram as implicações de compartilhar ou receber dados pessoais de terceiros. E sistematicamente os dados do passado não são identificados como relevantes para o processo de conformidade RGPD. Só durante as discussões com a equipa do cliente descubro a existência de dados pessoais e tratamentos que não foram considerados. Ao lidar com dados pessoais, é preciso considerar os estados passados, presentes e futuros desses dados.

 

A avaliação de impacto de risco pode comprovar a conformidade com o RGPD?

12 Dezembro, 2018
, , , , , , , , , , , , , , , , RGPD, Segurança da Informação

A avaliação de impacto de risco pode comprovar a conformidade com o RGPD?

O regulamento exige que os responsáveis pelo tratamento apliquem medidas adequadas para assegurar e comprovar a conformidade com o RGPD tendo em conta, entre outros, «os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis» (artigo 24.º, n.º 1).

A avaliação de impacto de risco (AIPD) ou Privacy Impact Assessment (PIA) deve ser realizada para os tratamentos que apresentem riscos de violação de privacidade face à sua natureza ou âmbito das atividades desenvolvidas, permitindo que as entidades encontrem problemas nas fases iniciais de qualquer projeto, reduzindo os custos associados e danos à reputação que podem acompanhar uma violação das leis e regulamentos de proteção de dados pessoais.

Aqui destaco a importância da obrigação recair sobre os responsáveis pelo tratamento, de realizarem uma AIPD, não sendo a mesma da responsabilidade do Encarregado da Proteção de Dados (EPD/DPO).

Uma única AIPD pode ser utilizada para avaliar múltiplas operações de tratamento que sejam semelhantes em termos de natureza, âmbito, contexto, finalidade e riscos e uma AIPD também pode ser útil para avaliar o impacto na proteção de dados de um produto tecnológico, como por exemplo um programa informático gestão de RH, tanto na fase de desenvolvimento como na fase de implementação.

Uma vez que a realização da AIPD implica a avaliação do impacto das operações de tratamento, tem também a vantagem de promover implicitamente o cumprimento do Código de Conduta estipulado no art.º 40 do RGPD.

RGPD / GDPR – Data Controller VS Data Processor – Quais as diferenças e quais as responsabilidades?

28 Novembro, 2018
, , , , , , , , , , , , , , , RGPD

RGPD / GDPR – Data Controller VS Data Processor – Quais as diferenças e quais as responsabilidades?

Uma das questões que tem gerado dúvidas nas organizações com as quais eu tenho trabalhado na implementação do novo Regulamento Geral de Proteção de Dados (RGPD) é a responsabilidade em relação aos dados pessoais que a “nossa organização armazena, mas que são processados pelos nossos clientes”. No âmbito do novo RGPD, levanta-se a questão, quais as responsabilidades dessas organizações?

O novo regulamento (RGPD) será aplicado diretamente em cada país da União Europeia (EU) e a países não pertencentes à UE que armazenem dados pessoais dos cidadãos de países UE, permitindo assim consistência das regras entre os países sobre os direitos da privacidade dos cidadãos.

Data controller  e  Data processor – O que significa?

De acordo com o artigo 4º do RGPD diferentes funções são identificadas do seguinte modo:

  • Data controller (Controlador) – Qualquer organização que decide como e porque é que os dados são processados. Considera-se a pessoa física ou jurídica, a autoridade pública, a agência ou outro órgão que, isoladamente ou em conjunto com outros, determina os propósitos e meios de processamento de dados pessoais.
  • Data Processor (Processador) – A pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes (subcontratante). Significa pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador.

Assim, as organizações que determinam os meios de processamento de dados pessoais são controladores, independentemente de recolherem diretamente os dados das pessoas em questão. Por exemplo, um banco (controlador) recolhe os dados de seus clientes quando eles abrem uma conta, mas é outra organização (processador) que armazena, digitaliza e cataloga todas as informações produzidas pela entidade bancária. Essas empresas podem ser Datacenters ou empresas de gestão e custódia de documentos. De acordo com RGPD, ambas as organizações (controlador e processador) são responsáveis ​​pelo tratamento dos dados pessoais desses clientes.

Quais são as responsabilidades dos controladores?

De acordo com o artigo 5º do RGPD, o controlador deve ser responsável e poder demonstrar o cumprimento dos princípios relativos ao tratamento de dados pessoais, sistematizando: legalidade, equidade, transparência, minimização de dados, precisão, limitação de armazenamento, integridade, e confidencialidade.

Quais são as responsabilidades dos processadores?

De acordo com o artigo 28.º do RGPD, o tratamento pode ser efetuado em nome de um controlador, mas este só deve subcontratar apenas os processadores que forneçam garantias suficientes de cumprimento do RGPD, isto é, processadores que tenham evidências da implementação das medidas técnicas e organizacionais adequadas de tal forma que o processamento satisfaça os requisitos do regulamento.

Isto significa que, qualquer empresa da UE ou de fora da UE, como controlador ou processador, terá de implementar os controlos necessários para garantir que estes estejam em conformidade com o RGPD, porque a responsabilidade é de ambos e as multas podem ser aplicadas a ambos, aos controladores e processadores.

De acordo com o artigo 83.º, serão aplicadas multas em relação ao “grau de responsabilidade do controlador ou do processador, levando em consideração as medidas técnicas e organizacionais implementadas por eles”.

RGPD / GDPR – Passagem de um regime de Hetero regulação para um regime de Autorregulação

21 Novembro, 2018
, , , , , , , , , , , , , , , RGPD, Segurança da Informação

RGPD / GDPR – Passagem de um regime de Hetero regulação para um regime de Autorregulação

No âmbito da aplicação do novo Regulamento Geral de Proteção de Dados (RGPD) a partir de 25.05.2018 e no novo modo de relacionamento das empresas com a autoridade nacional de supervisão competente – CNPD Comissão Nacional Proteção de Dados, podemos falar naquilo que chamamos uma mudança de paradigma. Iremos passar de um modelo de hetero regulação para um modelo de autorregulação.

Esta mudança coloca a todas as entidades, sejam elas organismos públicos ou empresas do setor privado, um novo de desafio na responsabilidade e na conformidade da proteção e na privacidade dos dados pessoais das pessoas singulares.

Pela Lei de Proteção de Dados 67/98, em vigor até à aplicação do novo Regulamento, temos o modelo da heteroregulação, o que quer dizer que se uma empresa decidir fazer a recolha e o tratamento de dados pessoais tem como obrigação notificar a CNPD antes dessa recolha e respetivo tratamento, utilizando para isso os respetivos formulários disponíveis no site da autoridade.

Estamos a falar de situações como o caso da instalação de sistemas de videovigilância, ou controle dados biométricos nos sistemas de controlo de acessos e nos sistemas de controlo de assiduidade, assim como num conjunto de outras situações, como por exemplo a geolocalização, no controlo do uso da internet pelos colaboradores. Esta notificação também abrange qualquer alteração que ocorrer nesse tratamento.

Com o novo Regulamento é eliminada essa obrigatoriedade de notificação. Por um lado podemos dizer que há um eliminar de uma fase burocrática e administrativa, por outro lado, representa uma maior responsabilidade das organizações que realizam tratamentos de dados pessoais.

Ao fazer esta notificação à CNPD, a empresa estava a conseguir uma decisão de conformidade ao dar as garantias dessa recolha e tratamento de dados por uma entidade externa, que ela mesma instalava e fiscalizava o sistema de coleta e tratamento dos dados. E se essa entidade fornecedora do sistema dizia que estava conforme, então as organizações estavam em conformidade e tranquilas a partir do momento que notificavam a CNPD.

Pelo novo Regulamento, são as organizações que terão assegurar, e demonstrar, que estão em conformidade com o RGPD. Portanto, há aqui um novo conjunto de obrigações que terão que ser asseguradas pelos responsáveis pelo tratamento e pelos subcontratantes.

O Regulamento exige que os responsáveis pelo tratamento apliquem medidas adequadas para assegurar e comprovar a conformidade com o RGPD tendo em conta, entre outros, «os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis» (artigo 24.º, n.º 1).

Neste sentido, o documento Privacy Impact Assessment (PIA) apresenta-se como o elemento principal para a conformidade com esta nova responsabilidade. Nesta avaliação a organizações deverão descrever com detalhe, por exemplo, todas as operações de tratamento de dados pessoais. E este estudo tem que estar disponível, porque num âmbito de uma inspeção, a CNPD vai solicitar esse repositório. Nesta situação, a inexistência deste documento apresenta-se como uma agravante para a aplicação de sanções.

Estamos assim a falar de um novo modelo de autorregulação e numa inversão do ónus da prova. Ou seja, antes teria que ser uma pessoa a comprovar que determinada entidade não cumpria a legislação da proteção de dados pessoais, com o novo modelo do Regulamento, terá que ser a organização a demonstrar e provar que cumpre o Regulamento e que nada fez de errado e que o tratamento está em conformidade. Daí se falar numa responsabilidade demonstrada.

Saiba como poderá ajudar a sua organização a dar o salto para a conformidade. Para uma avaliação primária da situação atual face ao RGPD, análise processual e tecnológica da empresa ou para assistir às próximas sessões de formação e sensibilização RGPD.

controlgal_RGPD_data_protection

RGPD: Guia para a segurança dos dados pessoais

8 Outubro, 2018
, , , , , , , , , , , , , , , , , , RGPD, Segurança da Informação

Precauções e ações básicas para implementar e garantir um nível mínimo de segurança dos dados pessoais da sua organização

A proteção dos dados pessoais exige a adoção de medidas técnicas e organizativas adequadas para assegurar um nível de segurança adaptado ao risco.

Essa abordagem permite uma tomada de decisão objetiva e a determinação de medidas estritamente necessárias e adaptadas ao contexto. No entanto, às vezes é difícil, quando não se está familiarizado com esses métodos, implementar essa abordagem e garantir que o mínimo tenha sido implementado.

Para ajudar os profissionais na conformidade com o Regulamento Geral de Proteção de Dados (RGPD), reunimos neste documento algumas das precauções básicas que devem ser implementadas sistematicamente.

Este guia poderá ser usado como parte da gestão de risco, mesmo mínimo, consistindo em quatro etapas.

Mapear os dados pessoais ​​e o media em que se baseiam:

  • hardware (exemplo: servidores, computadores portáteis, discos rígidos);
  • software (exemplo: sistema operativos, software de gestão ERP, CRM);
  • canais de comunicação (exemplo: Internet);
  • suporte em papel (exemplo: documento impresso, fotocópia).

Avaliar os riscos gerados por cada tratamento:

  1. Identificar os impactos potenciais sobre os direitos e liberdades dos titulares afetados, para os seguintes três eventos:
    • acesso ilegítimo aos dados (exemplo: roubo de identidade resultante da divulgação das folhas de pagamento de salários dos funcionários de uma empresa);
    • modificação indesejada de dados (exemplo: acusação indevida de uma pessoa após a modificação de logs de acesso);
    • desaparecimento de dados (exemplo: a não deteção de um diagnóstico devido à impossibilidade de aceder ao registo de um doente).
  1. Identificar as fontes de risco (quem ou o que poderia estar na origem de cada evento?) – Levando em consideração fontes humanas internas e externas (exemplo: técnico de TI, utilizador, acesso externo indevido) e origens externas (exemplo: água, materiais perigosos, vírus informáticos).
  1. Identificar ameaças viáveis (o que poderia permitir que cada evento de ameaça ocorra?). Essas ameaças são realizadas através dos suportes de dados automatizados e não automatizados (exemplo: hardware, software, canais de comunicação, suporte de papel, etc.), que podem ser:
    1. mal utilizado (exemplo: abuso de direitos, erro de manipulação);
    2. modificado (exemplo: instalação de software malicioso);
    3. perdido (exemplo: roubo de um computador portátil, perda de uma pen USB);
    4. observado (exemplo: screenshot);
    5. deteriorado (exemplo: degradação de um suporte lógico devido ao desgaste);
    6. sobrecarregado (exemplo: disco rígido cheio).
  1. Determinar medidas existentes ou planeadas que abordem cada risco (exemplo: controle de acesso, backups, rastreabilidade, segurança das instalações, criptografia, anonimização).
  1. Estimar a gravidade e a probabilidade dos riscos, com base nos elementos precedentes (exemplo: criar uma graduação para usar na estimativa).
  1. Implementar e verificar as medidas planeadas. Se as medidas existentes e previstas forem consideradas apropriadas, deve ser assegurado que elas sejam aplicadas e monitoradas.
  1. Realizar auditorias de segurança periódicas.Cada auditoria deve resultar num plano de ação que deve ser implementado.

Carlos Silva

Certified Data Protection Officer

Membro da  APDPO – PORTUGAL – Associação dos Profissionais de Proteção e de Segurança de Dados

RGPD - Accountability

RGPD – Prova e Evidência de Cumprimento (Accountability)

19 Junho, 2018
, , , , , , , , , , , , , , , , , RGPD, Segurança da Informação

RGPD / GDPR – Prova e Evidência de Cumprimento (Accountability)

O regulamento exige que os responsáveis pelo tratamento apliquem medidas adequadas para assegurar e comprovar

Um cliente perguntou-me: “Accountability é para fazer o quê?” – Pois, é…muito trabalhinho! O Regulamento Geral de Proteção de Dados (RGPD) exige que seja implementado um programa de conformidade capaz de monitorizar a conformidade em toda a organização e demonstrar às autoridades de proteção de dados e aos titulares dos dados que todos os dados pessoais estão em segurança. Identifiquei 39 artigos sob o RGPD que exigem a evidência de uma medida técnica ou organizacional para demonstrar a conformidade. Daqui podem ser mapeadas

55 atividades que, se implementadas, podem produzir documentação que ajudará a demonstrar o cumprimento contínuo com obrigações de conformidade. Até 25/05/2018 não vai ser fácil para as organizações!

Carlos Silva

1 2