A INDÚSTRIA DE LUBRIFICANTES - ahkbrasilien.com.br · Indústria de Forjaria l 30
Desafios e Oportunidades da GDPR - ahkbrasilien.com.br · negação de serviço (DoS), espionagem...
Transcript of Desafios e Oportunidades da GDPR - ahkbrasilien.com.br · negação de serviço (DoS), espionagem...
Desafios e Oportunidades da GDPR
26 de abril de 2018
Câmara de Comércio e Indústria Brasil-Alemanha
PELO SEGUNDO ANO CONSECUTIVO A KPMG FOI RECONHECIDA COMO
LÍDER EM CONSULTORIA DE SEGURANÇA DA INFORMAÇÃO PELO
“FORRESTER WAVE™: INFORMATION SECURITY CONSULTING
SERVICES”
Q3 2017 & Q1 2016.
“BUSINESSES LOOKING FOR A CONSULTING PARTNER WITH STRENGTHS IN
STRATEGIC ADVICE AND ASSISTANCE WITH COMPLEX BUSINESS PROBLEMS
SHOULD STRONGLY CONSIDER KPMG.” The Forrester Wave™:
Information Security Consulting Services, Q1 2016,
2012 2014FINALIST
PLATINUM SPONSOR
“CLIENT REFERENCES CONSISTENTLY MENTIONED ONE AREA OF
DIFFERENTIATION FOR KPMG THAT PROVIDES HIGH VALUE: CONSULTANTS WITH
OPERATIONAL EXPERIENCE WHO HAVE DEEPER INSIGHTS ON THE DAY-TO-DAY
BATTLES CLIENTS FIGHT THAN TYPICAL SERVICE DELIVERY PERSONNEL WITH
JUST A CONSULTING BACKGROUND,”
The Forrester Wave™: Information Security Consulting Services, Q3 2017
3© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
Conteúdo1. Infrações de dados2. A jornada da GDPR3. O que é a GDPR?4. Principais aspectos5. Os problemas ...6. As soluções ...7. Recomendações chave
4© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
PERSPECTIVAS GLOBAISMais de 50% ficaram felizes em compartilhar dados pessoais sobre gênero, educação e etnia online
Menos de 20% ficaram felizes em divulgar informações sobre seu histórico de pesquisa on-line, renda, localização, endereço ou registros médicos.
Os entrevistados na maioria dos países dizem que o controle sobre a privacidade é maisimportante que a conveniência
Os níveis de educação não parecem afetar as opiniões das pessoas sobre privacidade e o que elas consideram assustador ou aceitável.
Apenas cerca de metade das pessoas aceitaria produtos gratuitos ou mais baratos em troca de menos privacidade
Quase um terço usa os modos de navegação anônima ou "não rastreia" ao navegar na web.
25% usam criptografia para proteger seus dados pessoais
Mais de dois terçosde pessoas não estão confortáveis com aplicativos de telefone inteligente e tablet usando seus dados pessoais.
Perspectivas globais – Global Privacy Survey
5© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
The Home Depot
O Relatório de Investigações de Violações de Dados da Verizon de 2015 (DBIR) constatou que quatro em cada cinco incidentes de segurança no setor manufatureiro envolviam ataques de negação de serviço (DoS), espionagem cibernética e crimes.
Os Panama Papers são um conjunto de 11,5 milhões de documentos confidenciais vazados detalhando informações sobre mais de 214.000 empresas offshore
950.000 membros foram potencialmente afetados por uma violação de dados.
2 milhões de dados de clientes roubados, o preço das acções caiu 0,8%; Mais de 70.000 contas de clientes vazaram
0,5 milhão de informações pessoais de clientes perdidas
Cerca de 56 milhões de cartões de débito e crédito foram expostos.
Verizon Centene Corp
Panama Papers
VodafoneJP
MorganChase
Manufatura Varejo Health Care Law Firm Telecom Financeira
Zomato
A Zomato informou que dados de 17 milhões de usuários foram roubados, incluindo endereços de e-mail e senhas em hash.
Tecnologia
Infrações de dados
6© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
Infrações de dados
FONTE: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
7© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
Infrações de dados
FONTE: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
8© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
Negar
Não acontecerá comigo
PreocupaçãoObtenha o máximo de
segurança possível
Falsa
confiançaEstamos prontos ...!
Lições difíceisNão há segurança
absoluta
Verdadeira
liderançaEstamos juntos
nessa
Início
A jornada de GDPR
9© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
Alguns mitos que temos ouvido
Nós nãosomos umaOrganização
na UniãoEuropéia
SomoscertificadosISO 27.001
DPO é meramente
umaformalidade
Visãosomente dos
acessos
Este é um problema dos processadores
Nossos dados estão nanuvem
Somos umaorganizaçao
pequena
Privacidade é como
Segurança da Informação
10© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
General Data Protection Regulation
Objetivo: proteger os dados pessoais a um nível unificado em toda a UE
Meios: como regulamento, é diretamente aplicável em todos os estados membros
Escopo: todas as entidades públicas e corporativas que lidam com dados pessoais de clientes e funcionários
Prazo: 25 de maio de 2018
Foco: proteção de indivíduos, abordagem baseada em risco, privacidade por design
O que é a GDPR?
11© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
O que é a GDPR?Que tipos de dados de privacidade o GDPR protege?
Informações básicas de identidade, como nome, endereço e números de ID
Dados da Web, como localização, endereço IP, dados de cookies
Etiquetas RFID Saúde e dados genéticos Dados biométricos Dados raciais ou étnicos Opiniões políticas Orientação sexual
GDPR – data subject, personal data e identificadores
Personal DataQualquer informação relativa a
um Data Subject
Data SubjectPessoa identificada ou
identificável
IdentifiablePode ser identificada, diretamente ou
indiretamente por referência a um identificador
Identificadores
Fatores físicos Fatores fisiológicos Fatores genéticos Fatores Mentais Fatores Econômicos Nomes Números de identificação Localização do dado Identificador online Fatores Culturais Fator de identificação social
12© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
Exemplos:
Oferecendo serviços: Uma organização que possui um site, acessível a indivíduos da UE, oferecendo a eles a opção de se inscrever em seus serviços. O fato de os cidadãos da UE terem de pagar por este serviço é irrelevante.
Comportamento de monitoramento: onde uma organização “rastreia” indivíduos na Europa usando cookies ou registrando endereços IP, o GDPR será aplicável. A coleta acidental de endereços IP da UE pode não ser interpretada como o gatilho para a conformidade com o GDPR.
As organizações e os seus subcontratados terão de aderir ao GDPR, caso tenham a intenção de oferecer os seus serviços a indivíduos que residam na UE ou monitorar o seu comportamento.
O quanto ela nos influencia?
13© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
Aplicação da GDPRAplicação indireta do GDPR através de obrigações contratuais
À luz da relação de controlador de dados - processador de dados, as empresas podem ser obrigadas a aderir aos requisitos de GDPR por seus fornecedores ou parceiros contratantes. É aqui que essas outras organizações (e, por extensão, seus processadores de dados ou co-controladores de dados) se enquadram no escopo do regulamento.
O GDPR impõe responsabilidade igual nos controladores de dados (a organização que possui os dados) e nos processadores de dados (fora das organizações que ajudam a gerenciar esses dados). Um processador terceiros que não esteja em conformidade significa que sua organização não está em conformidade.
O novo regulamento também tem regras rígidas para relatar violações, que todos na cadeia devem ser capazes de cumprir. As organizações também devem informar os clientes sobre seus direitos sob a GDPR.
O que isso significa é que todos os contratos existentes com processadores (por exemplo, provedores de nuvem, fornecedores de SaaS ou fornecedores de serviços de folha de pagamento) e clientes precisam especificar responsabilidades. Os contratos revisados também precisam definir processos consistentes de como os dados são gerenciados e protegidos e como as violações são relatadas.
14© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
Impactos da GDPRReclamações e reclamações de indivíduos
No caso de uma empresa não cumprir a GDPR e, consequentemente, violar os direitos dos indivíduos, esses indivíduos têm duas opções: uma é apresentar uma queixa contra a organização na Autoridade de Supervisão. A Autoridade Supervisora pode investigar a denúncia e usar seus poderes para impor a conformidade e / ou sancionar a organização. A outra opção é reivindicar danos em frente a um tribunal europeu.
O GDPR também abre as portas para possíveis ações de classe. Muitos esperam que esse mecanismo seja usado quando as violações de segurança de dados afetam um grande número de indivíduos ou quando uma organização desconsidera os novos direitos dos indivíduos.
Danos à reputação
A aplicação por autoridades de supervisão ou tribunais pode não ser a única razão convincente para que as organizações cumpram o GDPR. O dano potencial à reputação decorrente da recusa em cumprir os requisitos do GDPR é igualmente intimidante.
15© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
O Gartner prevê que, em 2018, mais de 50% das empresas em todo o mundo não estarão em total conformidade com seus requisitos.
Se você estiver dentro dos 50% e não estiver em conformidade total, as consequências serão graves:
por exemplo, ações judiciais de titulares de dados (cidadãos da UE), danos à marca de sua organização, perda de receita futura, perda de clientes, multas de até 4% do faturamento global ou € 20 milhões - o que for maior entre os dois
O que está acontecendo?
16© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
Quais são os requisitos gerais do GDPR?Os 99 artigos do GDPR podem ser resumidos nos nove requisitos a seguir para organizações e seus subcontratados:
Base legal e legalidade do processamento Gestão de dados Obrigações contratuais Avaliação e mitigação de riscos Notificação de violação de dados Registros de atividades de processamento Oficial de proteção de dados (DPO) Direitos dos titulares de dados Transferência de dados
17© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
PROTEGER O ACESSO a dados pessoais sensíveis
Detecte e RESPONDA RAPIDAMENTE a violações no início do ciclo de vida do ataque
AVALIAR O RISCO e testar a eficácia dos processos de proteção de dados
DEMONSTRAR CONFORMIDADE e provar que você tem os controles de segurança necessários em vigor
Proteção de dados por design e por padrão
Segurança do processamento
Notificação de violação de dados pessoais
Avaliação do impacto da proteção de dados
Proteção contra o não cumprimento
Artigo 25Artigo 32 (2)
Artigo 33
Artigo 35
Artigo 82
Quais são os requisitos gerais do GDPR?
18© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
Os problemas ...Demonstrando Conformidade com os Requisitos Regulamentares
Colaboração entre funçõesinternas
Desenvolvendo Controles Técnicos e Organizacionais Efetivos
Recrutamento e Upskillingde recursos
Direcionando o gerenciamento de mudanças para toda a
empresa
Mapas de inventário e fluxo de dados específicos do
processo de negócios
. Aderindo às obrigações
contratuais do cliente
Interpretar as cláusulas regulamentares e desenvolver um Framework
19© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
E agora o que fazer?
20© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
As soluções... Direcionando o gerenciamento de mudanças para toda a empresa
• Campanhas de privacidade e campanhas de conscientização.
• Capturando a atenção dos entusiastas, retardatários e incumbentes da organização
Demonstrando Conformidade com os Requisitos Regulamentares
• Auditorias externas e internas periódicas• Demonstrar conformidade• Benchmarking contra a indústria
.
Mapas de inventário e fluxo de dados específicos do processo de negócios
• Conhecendo suas PII• Inventário os dados.• Executar mapas de Minimização de
Dados, Mapeamento de Dados e Fluxo de Dados.
Interpretar as cláusulas regulamentares e desenvolver um Framework
Aderindo às obrigações contratuais do cliente
• Identificando requisitos regulatórios• Estabelecimento de mecanismos de
certificação de proteção de dados• Canais de Comunicação Eficazes
Desenvolvendo Controles Técnicos e Organizacionais Efetivos• Investindo em tecnologia e
implementando soluções
Recrutamento e Upskillingde recursos• Recursos de Treinamento• Contratação de recursos experientes
com histórico relevante• Novas oportunidades de emprego
Colaboração entre funçõesinternas• Responsabilidade e prestação de
contas
• Requisitos regulamentares.• Equipe funcional cruzada• Estrutura baseada em controle.
21© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG InternationalCooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
Recomendações chaveImplementação no nível de segurança e operações de TI
Certifique-se de que as operações de TI e a segurança de TI suportem seu programa de privacidade Desenvolva seus sistemas de processamento: criptografia, pseudonimização, inventário eficiente, prevenção contra perda de dados e
retenção de dados, atualize seus controles de acesso As especificações devem vir do seu modelo de governança e não vice-versa, aplicar a privacidade por design Melhorar as habilidades de investigação: você terá que detectar violações para ser protegido de multas e pedidos de compensação
Implementação no nível de governança de privacidade
Criar regras para classificação e inventário de dados privados Alinhe os existentes e crie procedimentos faltantes para o manuseio de dados pessoais, atualize políticas e contratos, lembre-se de
terceiros Certifique-se de que as relações com a autoridade sejam tratadas eficientemente Treine seus funcionários Crie planos e exercícios para gerenciamento de incidentes
Estratégia
Com base nos resultados da avaliação de maturidade, defina metas de conformidade e eficiência de privacidade Análise os gaps Alterar a estrutura organizacional para garantir supervisão e coordenação Crie um programa de privacidade abrangente para todas as unidades de negócios em todos os locais Monitore resultados
Avaliação de maturidade de privacidade
Familiarize-se com todos os processos em que os dados pessoais são tratados, lute contra o Processamento de Dados Privados obscuros
Mapear todos os dados pessoais enviados, manipulados e encaminhados pela sua organização e verificar a base legal para lidar com eles
Verifique se você tem todos os procedimentos e políticas em vigor exigidos pelo GDPR Avaliar os controles de segurança cibernética e privacidade
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os
direitos reservados. Impresso no Brasil.
O nome KPMG e o logotipo são marcas registradas ou comerciais da KPMG International.
Para saber mais:
GDPR BookletGDPR: privacyas a way of life
The General Data Protection Regulation
Creepyor cool?
23© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
A jornada de privacidade começa ...
Q&A
© 2018 KPMG Consultoria Ltda., uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
O nome KPMG e o logotipo são marcas registradas ou comerciais da KPMG International.
LEANDRO MARCO ANTONIOSÓCIO LÍDER
CYBER SECURITY & PRIVACY
T: +55 11 3940-3740 / 98245-6355
Obrigado