Desafios e Oportunidades da GDPR - ahkbrasilien.com.br · negação de serviço (DoS), espionagem...

Desafios e Oportunidades da GDPR

26 de abril de 2018

Câmara de Comércio e Indústria Brasil-Alemanha

PELO SEGUNDO ANO CONSECUTIVO A KPMG FOI RECONHECIDA COMO

LÍDER EM CONSULTORIA DE SEGURANÇA DA INFORMAÇÃO PELO

“FORRESTER WAVE™: INFORMATION SECURITY CONSULTING

SERVICES”

Q3 2017 & Q1 2016.

“BUSINESSES LOOKING FOR A CONSULTING PARTNER WITH STRENGTHS IN

STRATEGIC ADVICE AND ASSISTANCE WITH COMPLEX BUSINESS PROBLEMS

SHOULD STRONGLY CONSIDER KPMG.” The Forrester Wave™:

Information Security Consulting Services, Q1 2016,

2012 2014FINALIST

PLATINUM SPONSOR

“CLIENT REFERENCES CONSISTENTLY MENTIONED ONE AREA OF

DIFFERENTIATION FOR KPMG THAT PROVIDES HIGH VALUE: CONSULTANTS WITH

OPERATIONAL EXPERIENCE WHO HAVE DEEPER INSIGHTS ON THE DAY-TO-DAY

BATTLES CLIENTS FIGHT THAN TYPICAL SERVICE DELIVERY PERSONNEL WITH

JUST A CONSULTING BACKGROUND,”

The Forrester Wave™: Information Security Consulting Services, Q3 2017

3© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International

Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.

Conteúdo1. Infrações de dados2. A jornada da GDPR3. O que é a GDPR?4. Principais aspectos5. Os problemas ...6. As soluções ...7. Recomendações chave

4© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.

PERSPECTIVAS GLOBAISMais de 50% ficaram felizes em compartilhar dados pessoais sobre gênero, educação e etnia online

Menos de 20% ficaram felizes em divulgar informações sobre seu histórico de pesquisa on-line, renda, localização, endereço ou registros médicos.

Os entrevistados na maioria dos países dizem que o controle sobre a privacidade é maisimportante que a conveniência

Os níveis de educação não parecem afetar as opiniões das pessoas sobre privacidade e o que elas consideram assustador ou aceitável.

Apenas cerca de metade das pessoas aceitaria produtos gratuitos ou mais baratos em troca de menos privacidade

Quase um terço usa os modos de navegação anônima ou "não rastreia" ao navegar na web.

25% usam criptografia para proteger seus dados pessoais

Mais de dois terçosde pessoas não estão confortáveis com aplicativos de telefone inteligente e tablet usando seus dados pessoais.

Perspectivas globais – Global Privacy Survey


The Home Depot

O Relatório de Investigações de Violações de Dados da Verizon de 2015 (DBIR) constatou que quatro em cada cinco incidentes de segurança no setor manufatureiro envolviam ataques de negação de serviço (DoS), espionagem cibernética e crimes.

Os Panama Papers são um conjunto de 11,5 milhões de documentos confidenciais vazados detalhando informações sobre mais de 214.000 empresas offshore

950.000 membros foram potencialmente afetados por uma violação de dados.

2 milhões de dados de clientes roubados, o preço das acções caiu 0,8%; Mais de 70.000 contas de clientes vazaram

0,5 milhão de informações pessoais de clientes perdidas

Cerca de 56 milhões de cartões de débito e crédito foram expostos.

Verizon Centene Corp

Panama Papers

VodafoneJP

MorganChase

Manufatura Varejo Health Care Law Firm Telecom Financeira

Zomato

A Zomato informou que dados de 17 milhões de usuários foram roubados, incluindo endereços de e-mail e senhas em hash.

Tecnologia

Infrações de dados



FONTE: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/


Negar

Não acontecerá comigo

PreocupaçãoObtenha o máximo de

segurança possível

Falsa

confiançaEstamos prontos ...!

Lições difíceisNão há segurança

absoluta

Verdadeira

liderançaEstamos juntos

nessa

Início

A jornada de GDPR


Alguns mitos que temos ouvido

Nós nãosomos umaOrganização

na UniãoEuropéia

SomoscertificadosISO 27.001

DPO é meramente

umaformalidade

Visãosomente dos

acessos

Este é um problema dos processadores

Nossos dados estão nanuvem

Somos umaorganizaçao

pequena

Privacidade é como

Segurança da Informação


General Data Protection Regulation

Objetivo: proteger os dados pessoais a um nível unificado em toda a UE

Meios: como regulamento, é diretamente aplicável em todos os estados membros

Escopo: todas as entidades públicas e corporativas que lidam com dados pessoais de clientes e funcionários

Prazo: 25 de maio de 2018

Foco: proteção de indivíduos, abordagem baseada em risco, privacidade por design

O que é a GDPR?


O que é a GDPR?Que tipos de dados de privacidade o GDPR protege?

Informações básicas de identidade, como nome, endereço e números de ID

Dados da Web, como localização, endereço IP, dados de cookies

Etiquetas RFID Saúde e dados genéticos Dados biométricos Dados raciais ou étnicos Opiniões políticas Orientação sexual

GDPR – data subject, personal data e identificadores

Personal DataQualquer informação relativa a

um Data Subject

Data SubjectPessoa identificada ou

identificável

IdentifiablePode ser identificada, diretamente ou

indiretamente por referência a um identificador

Identificadores

Fatores físicos Fatores fisiológicos Fatores genéticos Fatores Mentais Fatores Econômicos Nomes Números de identificação Localização do dado Identificador online Fatores Culturais Fator de identificação social


Exemplos:

Oferecendo serviços: Uma organização que possui um site, acessível a indivíduos da UE, oferecendo a eles a opção de se inscrever em seus serviços. O fato de os cidadãos da UE terem de pagar por este serviço é irrelevante.

Comportamento de monitoramento: onde uma organização “rastreia” indivíduos na Europa usando cookies ou registrando endereços IP, o GDPR será aplicável. A coleta acidental de endereços IP da UE pode não ser interpretada como o gatilho para a conformidade com o GDPR.

As organizações e os seus subcontratados terão de aderir ao GDPR, caso tenham a intenção de oferecer os seus serviços a indivíduos que residam na UE ou monitorar o seu comportamento.

O quanto ela nos influencia?


Aplicação da GDPRAplicação indireta do GDPR através de obrigações contratuais

À luz da relação de controlador de dados - processador de dados, as empresas podem ser obrigadas a aderir aos requisitos de GDPR por seus fornecedores ou parceiros contratantes. É aqui que essas outras organizações (e, por extensão, seus processadores de dados ou co-controladores de dados) se enquadram no escopo do regulamento.

O GDPR impõe responsabilidade igual nos controladores de dados (a organização que possui os dados) e nos processadores de dados (fora das organizações que ajudam a gerenciar esses dados). Um processador terceiros que não esteja em conformidade significa que sua organização não está em conformidade.

O novo regulamento também tem regras rígidas para relatar violações, que todos na cadeia devem ser capazes de cumprir. As organizações também devem informar os clientes sobre seus direitos sob a GDPR.

O que isso significa é que todos os contratos existentes com processadores (por exemplo, provedores de nuvem, fornecedores de SaaS ou fornecedores de serviços de folha de pagamento) e clientes precisam especificar responsabilidades. Os contratos revisados também precisam definir processos consistentes de como os dados são gerenciados e protegidos e como as violações são relatadas.


Impactos da GDPRReclamações e reclamações de indivíduos

No caso de uma empresa não cumprir a GDPR e, consequentemente, violar os direitos dos indivíduos, esses indivíduos têm duas opções: uma é apresentar uma queixa contra a organização na Autoridade de Supervisão. A Autoridade Supervisora pode investigar a denúncia e usar seus poderes para impor a conformidade e / ou sancionar a organização. A outra opção é reivindicar danos em frente a um tribunal europeu.

O GDPR também abre as portas para possíveis ações de classe. Muitos esperam que esse mecanismo seja usado quando as violações de segurança de dados afetam um grande número de indivíduos ou quando uma organização desconsidera os novos direitos dos indivíduos.

Danos à reputação

A aplicação por autoridades de supervisão ou tribunais pode não ser a única razão convincente para que as organizações cumpram o GDPR. O dano potencial à reputação decorrente da recusa em cumprir os requisitos do GDPR é igualmente intimidante.


O Gartner prevê que, em 2018, mais de 50% das empresas em todo o mundo não estarão em total conformidade com seus requisitos.

Se você estiver dentro dos 50% e não estiver em conformidade total, as consequências serão graves:

por exemplo, ações judiciais de titulares de dados (cidadãos da UE), danos à marca de sua organização, perda de receita futura, perda de clientes, multas de até 4% do faturamento global ou € 20 milhões - o que for maior entre os dois

O que está acontecendo?


Quais são os requisitos gerais do GDPR?Os 99 artigos do GDPR podem ser resumidos nos nove requisitos a seguir para organizações e seus subcontratados:

Base legal e legalidade do processamento Gestão de dados Obrigações contratuais Avaliação e mitigação de riscos Notificação de violação de dados Registros de atividades de processamento Oficial de proteção de dados (DPO) Direitos dos titulares de dados Transferência de dados


PROTEGER O ACESSO a dados pessoais sensíveis

Detecte e RESPONDA RAPIDAMENTE a violações no início do ciclo de vida do ataque

AVALIAR O RISCO e testar a eficácia dos processos de proteção de dados

DEMONSTRAR CONFORMIDADE e provar que você tem os controles de segurança necessários em vigor

Proteção de dados por design e por padrão

Segurança do processamento

Notificação de violação de dados pessoais

Avaliação do impacto da proteção de dados

Proteção contra o não cumprimento

Artigo 25Artigo 32 (2)

Artigo 33

Artigo 35

Artigo 82

Quais são os requisitos gerais do GDPR?


Os problemas ...Demonstrando Conformidade com os Requisitos Regulamentares

Colaboração entre funçõesinternas

Desenvolvendo Controles Técnicos e Organizacionais Efetivos

Recrutamento e Upskillingde recursos

Direcionando o gerenciamento de mudanças para toda a

empresa

Mapas de inventário e fluxo de dados específicos do

processo de negócios

. Aderindo às obrigações

contratuais do cliente

Interpretar as cláusulas regulamentares e desenvolver um Framework


E agora o que fazer?


As soluções... Direcionando o gerenciamento de mudanças para toda a empresa

• Campanhas de privacidade e campanhas de conscientização.

• Capturando a atenção dos entusiastas, retardatários e incumbentes da organização

Demonstrando Conformidade com os Requisitos Regulamentares

• Auditorias externas e internas periódicas• Demonstrar conformidade• Benchmarking contra a indústria

.

Mapas de inventário e fluxo de dados específicos do processo de negócios

• Conhecendo suas PII• Inventário os dados.• Executar mapas de Minimização de

Dados, Mapeamento de Dados e Fluxo de Dados.

Interpretar as cláusulas regulamentares e desenvolver um Framework

Aderindo às obrigações contratuais do cliente

• Identificando requisitos regulatórios• Estabelecimento de mecanismos de

certificação de proteção de dados• Canais de Comunicação Eficazes

Desenvolvendo Controles Técnicos e Organizacionais Efetivos• Investindo em tecnologia e

implementando soluções

Recrutamento e Upskillingde recursos• Recursos de Treinamento• Contratação de recursos experientes

com histórico relevante• Novas oportunidades de emprego

Colaboração entre funçõesinternas• Responsabilidade e prestação de

contas

• Requisitos regulamentares.• Equipe funcional cruzada• Estrutura baseada em controle.


Recomendações chaveImplementação no nível de segurança e operações de TI

Certifique-se de que as operações de TI e a segurança de TI suportem seu programa de privacidade Desenvolva seus sistemas de processamento: criptografia, pseudonimização, inventário eficiente, prevenção contra perda de dados e

retenção de dados, atualize seus controles de acesso As especificações devem vir do seu modelo de governança e não vice-versa, aplicar a privacidade por design Melhorar as habilidades de investigação: você terá que detectar violações para ser protegido de multas e pedidos de compensação

Implementação no nível de governança de privacidade

Criar regras para classificação e inventário de dados privados Alinhe os existentes e crie procedimentos faltantes para o manuseio de dados pessoais, atualize políticas e contratos, lembre-se de

terceiros Certifique-se de que as relações com a autoridade sejam tratadas eficientemente Treine seus funcionários Crie planos e exercícios para gerenciamento de incidentes

Estratégia

Com base nos resultados da avaliação de maturidade, defina metas de conformidade e eficiência de privacidade Análise os gaps Alterar a estrutura organizacional para garantir supervisão e coordenação Crie um programa de privacidade abrangente para todas as unidades de negócios em todos os locais Monitore resultados

Avaliação de maturidade de privacidade

Familiarize-se com todos os processos em que os dados pessoais são tratados, lute contra o Processamento de Dados Privados obscuros

Mapear todos os dados pessoais enviados, manipulados e encaminhados pela sua organização e verificar a base legal para lidar com eles

Verifique se você tem todos os procedimentos e políticas em vigor exigidos pelo GDPR Avaliar os controles de segurança cibernética e privacidade

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os

direitos reservados. Impresso no Brasil.

O nome KPMG e o logotipo são marcas registradas ou comerciais da KPMG International.

Para saber mais:

GDPR BookletGDPR: privacyas a way of life

The General Data Protection Regulation

Creepyor cool?

https://assets.kpmg.com/content/dam/kpmg/be/pdf/2017/GDPR_Booklet.pdf



https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2018/03/gdpr-privacy-as-a-way-of-life.pdf




https://home.kpmg.com/content/dam/kpmg/at/pdf/IT-Advisory/The_GDPR-The_clock_is_ticking.pdf



https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2016/11/creepy-or-cool.pdf




23© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International

Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.

A jornada de privacidade começa ...

Q&A

© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.

O nome KPMG e o logotipo são marcas registradas ou comerciais da KPMG International.

LEANDRO MARCO ANTONIOSÓCIO LÍDER

CYBER SECURITY & PRIVACY

T: +55 11 3940-3740 / 98245-6355

E: [email protected]

Obrigado

Desafios e Oportunidades da GDPR - ahkbrasilien.com.br · negação de serviço (DoS), espionagem...

Documents

Transcript of Desafios e Oportunidades da GDPR - ahkbrasilien.com.br · negação de serviço (DoS), espionagem...