No dia 25 de maio, o General Data Protection Regulation – GDPR – vai entrar em vigor. Essa nova legislação européia vai impactar severamente como as empresas em todo o mundo vão coletar, gerenciar e proteger seus dados. Contudo, ao passo que as empresas tiveram mais de 2 anos para preparar o terreno para essa legislação, muitas organizações que serão impactadas ainda estão cegas para alguns dos pontos mais básicos relativos ao GDPR.

Para iniciarmos a conversa, o GDPR acaba sendo mais do que uma imposição para as empresas da Europa, pela forma como os negócios são feitos e as empresas funcionam, isso virtualmente se transforma em uma imposição global. Qual empresa que opera hoje em escala internacional não possui qualquer tipo de negócios com residentes ou empresas da União Européia?

Portanto, mesmo que não tenha origem ou sede na Europa, ao ter qualquer tipo de negócio com cidadãos ou empresas européias as organizações terão de estar em compliance com o GDPR, podendo sofrer graves sanções em caso de erro.

 

3 Passos básicos para iniciar o processo de compliance com GDPR

Ter conhecimento e visibilidade sobre as informações e processos de segurança presentes em sua infraestrutura. Você pode começar por esses 3 passos:

 

1 Acesse e audite os dados sob sua responsabilidade

As empresas devem ter conhecimento sobre onde, quando e como estão armazenando os dados, se eles estão criptografados e se a chave de criptografia está armazenada corretamente. É melhor realizar esse processo com antecedência, evitando correria e desorganização quando o GDPR estiver em vigor.

Se a sua empresa ainda não está implementando uma auditoria constante para manter um rastro sobre ao passo em que o negócio está em compliance, esse deve ser o primeiro passo. Um processo contínuo de auditoria garante que nenhuma das equipes envolvidas está em descompasso com o prazo. Além de identificar quem é o responsável e onde o esforço precisa ser dedicado.

 

2 Reavalie Sistemas e Tecnologias

Muitos sistemas atuais de Segurança da Informação deverão ser reestruturados ou reconsiderados para que se esteja em compliance com o GDPR. Empresas que, por exemplo, baseiam sua segurança inteiramente na utilização de NGFW não terão as capacidades exigidas de bloqueio de extração de informações sensíveis. Até criptografias desenvolvidas internamente poderão não ser robustas o suficiente para os padrões exigidos.

As empresas devem buscar tecnologias construídas com base no ambiente distribuído e móvel dos dias de hoje, onde os dados podem ser acessados de múltiplas formas. Soluções que criptografem e anonimizem as informações sensíveis para limitar as multas do GDPR em caso de vazamento de informações.

O monitoramento dos dados deve ser constante e deve permitir o correlacionamento de forma fácil de informações de diferentes sistemas, a fim de gerar inteligência de segurança, identificar brechas e permitir análise forense.

 

3 Alinhar objetivos de negócio ao longo da empresa

A coleta de dados e políticas de armazenamento deve ser transparente ao longo de toda a empresa, a fim de garantir que as medidas corretas de segurança estão sendo aplicadas. Historicamente, esse conhecimento cai sobre os gestores de TI e Segurança. Contudo, tendo em vista as multas pesadas, de até 4% do faturamento global da empresa, o fardo deve recair sobre todos os colaboradores. Fomentar o conhecimento sobre as políticas de segurança tornou-se mais fundamental do que nunca.

Desenvolvemos um conteúdo completo e exclusivo sobre os pontos mais importantes do GDPR, baixe agora mesmo!