Após a visão geral e os detalhes do primeiro e segundo princípios em nossa jornada rumo ao GDPR, chegou a hora de falarmos sobre o terceiro princípio: Proteja seus dados. Só para relembrar, abaixo temos as 5 lições ou 5 princípios fundamentais na jornada do GDPR:
- Tenha conhecimento de seus dados
- Gerencie seus dados
- Proteja seus dados
- Documentação e conformidade
- Melhoria constante
Existem muitos artigos de Segurança da Informação sobre como proteger seus dados. Implementar e garantir a proteção de dados depende principalmente de ferramentas e tecnologia. Mas mesmo isso sendo essencial para a proteção dos dados, não é o bastante. A proteção de dados é definida pelo artigo 25: Proteção de dados por concepção e por padrão, e é muito mais do que apenas a tecnologia.
Isso significa que os dados devem estar disponíveis a todo momento ou que voltem a estar disponíveis o mais rápido possível quando alguma coisa acontecer. Implementar segurança física e digital é necessário, mas vai muito além disso: restringir o acesso, controlar quem ganha acesso e o que fazem, monitorar e instalar proteções contra malwares. Finalmente, assegurar um plano de Disponibilidade e backup sólido com validações e testes regulares é essencial. Acreditamos que o backup e a recuperação devem se tornar uma parte necessária de todos os novos projetos e precisam ser incorporados na base da organização.
Também é importante notar que, apesar de todos os esforços, as proteções de dados podem ser violadas. Planos e procedimentos para essas situações devem ser introduzidas. Muitas organizações já ouviram falar sobre o princípio da notificação de violação. Caso descubra uma violação, você é obrigado a notificar as autoridades o mais rápido possível. Implemente um plano que especifique as responsabilidades de cada equipe em caso de incidentes.
E por último, mas com certeza não menos importante, não se esqueça do impacto de suas avaliações de dados. Sempre que precisar realizar uma manutenção ou atualizações, existem riscos associados a isso. Coloque os procedimentos em prática e teste as atualizações antes de implementá-las.
Conclusão
A proteção de dados por concepção e por padrão é muito mais do que apenas a segurança. É uma combinação de medidas de segurança como firewalls, restrições de rede, proteções contra malwares, educação interna, controle de acesso baseado em funções, avaliações de impacto, backup, DR e muito mais. Além de considerar isso como parte necessária de qualquer projeto novo, você deve revisar todas suas cargas de trabalho existentes e aplicar esses princípios nelas, tanto as internas quanto serviços hospedados externamente.