Privacy & Security by Design: como implementar · • Liderança de projetos e iniciativas de...
Transcript of Privacy & Security by Design: como implementar · • Liderança de projetos e iniciativas de...
REALIZAÇÃO
Privacy & Security by Design: como implementar
Palestrantes
Leonardo CaríssimiDirectorCyber Security & Privacy Consulting
Background
• Profissional com mais de 20 anos de experiência em Segurança da Informação e Privacidade de Dados;
• Mestre e Bacharel em Ciência da Computação (UFRGS), Leonardo possui MBA em Corporate Finance (IBMEC);
• Certificações: CISSP e ISO 27001
Experiência Profissional
• Líder da prática de Cyber Security & Privacy Consulting, executive responsável pela estratégia de go to market, rollout do portfolio global de Cyber Security para a região e desenvolvimento de negócios
• Executivo responsável pela entrega de projetos, desenvolvimento metodológico para o portfolio de serviços: security consulting, transformation and managed security services.
• Liderança de projetos e iniciativas de segurança da Informação e privacidade em nível executivo, provendo insights a clientes e supervisionando programas, projetos e serviços em diferentes indústrias: Serviços Financeiros, Varejo, Utilities, Digital Government entre outros.
Palestrantes
Pedro CarazatoSr. ManagerCyber Security & Privacy Consulting
Background
• + 15 anos de experiência em Segurança da Informação, Privacidade e Gestão de Riscos & Compliance
• MBA em Gestão da Segurança da Informação e em Gestão da Inovação
• Formado em Engenharia Elétrica e em Gestão e Planejamento de Marketing e Vendas
• Certificações: CobiT® Foundations, Harvard Management Mentor e BS 25999
Experiência Profissional
• Segurança da Informação, Privacidade, Gestão de Continuidade de Negócios, Planejamento Estratégico, Gestão de Riscos e Governança;
• Experiências internacionais na América do Sul, do Norte e África;
• Experiência liderando projetos de consultoria e implementação de Programas de Transformação, Gestão de Riscos e Conformidade;
• Liderança de Projetos de Proteção e Privacidade de Dados, Estratégia de TI e Segurança da Informação;
Palestrantes
Matheus WekedManagerCyber Security & Privacy Consulting
Background
• Gerente da prática de Cyber Security & Privacy Consulting, focado em governança de segurança cibernética e tecnologia da informação.
• Bacharelado em Gestão de Tecnologia da Informação pela Universidade UNIBH.
• ITIL Expert Certified, CISA Certified, ISO27002 Certified, ISO20000 Certified, LeanIT Certified
Experiência Profissional
• Dentre os projetos executados, atuou em temas de governança de TI e segurança da informação, gestão de riscos e controles, auditoria interna de TI, mapeamento de processos, compliance, certificação digital, desenvolvimento e implantação de soluções tecnológicas, adequação a regulamentações de privacidade e proteção de dados (LGPD/GDPR).
• Tem se dedicado a projetos voltados à Privacidade e Proteção de Dados, Gestão de Controles e Riscos, Continuidade de Negócio, Auditoria Interna, Auditoria Externa, Mapeamento de Processos, Governança e Compliance de TI, Identificação de Vulnerabilidades em Sistemas de TI, Análise de Riscos em Ambientes Físicos e Lógicos, Gestão de Acesso, Compliance Regulatório.
REALIZAÇÃO
A CAPGEMINI
América do Norte
América Latina
Europa
Oriente Médio & Africa
Asia-Pacífico
+ 17.000
+7.000
+62.000
+1.500
+105.000
+200,000 funcionários
Receita de €13,2 bilhões
A Capgemini no mundo
Consultoria e Serviços de Tecnologia especializados por indústria
• Serviços Financeiros
Soluções Verticais para:
• Telecomunicações
• Bens de consumo e varejo
• Setor público
• Utilities
• Manufatura
Conheça a nossa cobertura local
5.000 Funcionários
AlphavilleSão Paulo
BrasíliaDistrito Federal
Belo HorizonteMinas Gerais
BlumenauSanta Catarina
CampinasSão Paulo
Rio de JaneiroRio de Janeiro
SalvadorBahia
AraraquaraSão Paulo
Cobertura Nacional9 Unidades
Porto AlegreRio Grande do Sul
Brasil Atuação desde 1991
Líder em Serviços de Privacidade
” A Capgemini posicionou-se como líder no relatório GDPR NEAT da NelsonHall, devido à sua capacidade em reunir a experiencia da Capgemini Consulting, das suas equipes Insights & Data e equipes de Cyber Security.
Por seu número relativamente alto de clientes GDPR, a Capgemini tem demonstrado que o GDPR não é apenas um fardo regulatório, mas uma chance de melhorar a estratégia geral de dados da empresa e aumentar a fidelidade do cliente”.
Mike Smart, Senior IT Services Analyst with NelsonHall
Capgemini recognized as a Leader in GDPR Services by NelsonHall
1º lugar
A Capgemini é reconhecida como líder global para Serviços de Leis de Proteção e Privacidade de Dados
Nossa Expertise
Acelerando a Jornada LGPD
REALIZAÇÃO
Sua vez de se apresentar
REALIZAÇÃO
Em que momento da jornada LGPD sua organização se
encontra?
REALIZAÇÃO
O que é Privacidade?
“PRIVACIDADE é o direito à reserva de informações pessoais e da própria vida pessoal”
Louis D. Brandeis
Jurista norte-americano - primeiro a formular o conceito de direito à privacidade, juntamente com Samuel Warren
Constituição Federal, em seu art. 5º, inciso X, dispõe que:
”são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”
Respeitar a privacidade deixou de ser opcional!
REALIZAÇÃO
Privacy By Design
REALIZAÇÃO
Qual seu nível de conhecimento sobre Privacy
by Design?
Benefícios do Privacy by Design
• Antecipa e evita eventos invasivos de privacidade antes que eles aconteçam;
• Garante que os dados pessoais sejam protegidos automaticamente em qualquer sistema ou prática de negócios;
• Incorpora privacidade ao design e arquitetura dos sistemas de TI e práticas de negócios, se torna um componente essencial da funcionalidade principal que está sendo entregue;
• Acomoda todos os interesses e objetivos legítimos em um princípio de ganha-ganha, dessa maneira, focando no balanceamento entre funcionalidade, segurança e privacidade;
• Garante que todos os dados sejam retidos com segurança e, em seguida, destruídos em tempo hábil e com segurança no final do processo;
• Garante a todas partes interessadas que sistemas ou práticas de negócio operem de acordo com as finalidades e objetivos declarados;
• Exige que os arquitetos e operadores mantenham os interesses do indivíduo acima de tudo, oferecendo fortes padrões de privacidade, notificação apropriada e capacitação.
REALIZAÇÃO
Explorando o conceito
Objetivo do Privacy by Design
“Garantir que os processos e sistemas sejam projetados de modo que a coleta e o processamento (incluindo uso, divulgação, retenção, transmissão e descarte) sejam limitados ao necessário para a finalidade identificada.”
FONTE: ISO/IEC 27701
O que é Privacy by Design
“Os usuários esperam que os serviços sejam seguros e salvaguardem sua privacidade de maneira eficaz. As empresas que levam a sério os problemas de proteção de dados criam confiança. Portanto, medidas fortes de proteção de dados podem ser uma vantagem competitiva”
FONTE: Norwegian Data Protection Authority (DPA)
Os Princípios de Privacy by Design
Os princípios:
• Proativo, não reativo; Prevenir, não remediar;
• Privacidade por padrão;
• Privacidade embutida no design;
• Total funcionalidade;
• Segurança ponta-a-ponta;
• Visibilidade e Transparência;
• Respeito pela privacidade do usuário
Os Princípios de Privacy by Design
Proativo, não reativo; Prevenir, não remediar:
• Identifica, estabelece e cumpre altos padrões de privacidade, levando em consideração leis e regulamentos globais.
• Define um compromisso de privacidade compartilhado por usuários e partes interessadas.
• Antecipa práticas deficientes de privacidade e corrige quaisquer impactos negativos, antes de ocorrerem de forma proativa e sistemática.
Os Princípios de Privacy by Design
Privacidade por padrão:
• Especifica os propósitos para os quais as informações pessoais são coletadas, usadas, retidas e divulgadas;
• Comunica os indivíduo (titular dos dados) antes ou no momento em que as informações são coletadas;
• Limita a coleta de informações ao mínimo necessário;
• Minimiza a coleta de informações e define estruturas para manter sigilo mínimo especificado.
Os Princípios de Privacy by Design
Privacidade embutida no design
• Adota uma abordagem sistêmica para incorporar a privacidade;
• Integra avaliações de impacto e risco na privacidade;
• Identifica os riscos à privacidade e todas as medidas tomadas para mitigá-los, incluindo consideração de alternativas e seleção de métricas.
• Incorpora todas as avaliações e riscos na concepção do sistema ou prática.
Os Princípios de Privacy by Design
Total funcionalidade
• Incorpora privacidade em tecnologias, processos ou sistemas de tal maneira que a funcionalidade não é prejudicada;
• Posiciona a privacidade na concepção e integra os objetivos de uma maneira inovadora (ganha-ganha);
• Os interesses e objetivos são claramente documentados, juntamente com as funções desejadas e as métricas acordadas;
• Aplica soluções que habilitam a multi-funcionalidade.
Os Princípios de Privacy by Design
Segurança ponta-a-ponta
• Auxilia na definição da responsabilidade pela segurança das informações;
• Apresenta uma abordagem para todo o ciclo de vida, de forma consistente;
• Os padrões de segurança aplicados levam em consideração a confidencialidade, a integridade e a disponibilidade;
• O ciclo de vida apresenta diretrizes de destruição segura, criptografia apropriada, e métodos fortes de controle de acesso e registro.
Os Princípios de Privacy by Design
Visibilidade e Transparência
• Apresenta diretrizes sobre a responsabilidade por todas as políticas e procedimentos relacionados à privacidade;
• Documenta e comunicada as partes interessadas sobre a transferência de informações pessoais;
• Avalia terceiros sob a ótica de proteção e privacidade;
• Estabelece mecanismos de reclamação e reparação das informações;
• Comunica os indivíduos sobre os dados e atividades;
• Monitora, avalia e verifica a conformidade com as políticas e procedimentos de privacidade.
Os Princípios de Privacy by Design
Respeito pela privacidade do usuário
• Define diretrizes para a coleta, uso ou divulgação de informações pessoais;
• Define diretrizes para garantir a integridade e exatidão das informações pessoais;
• Define diretrizes sobre o acesso às informações pessoais;
• Define diretrizes sobre como as organizações devem estabelecer mecanismos de reclamação, atualização e comunicação das informações ao público.
REALIZAÇÃO
Qual é o princípio de Privacy by Design mais desafiador?
REALIZAÇÃO
Estudo de Caso
Estudo de Caso
Startup de Mobilidade Urbana
Resumo:Invasão e captura de dados pessoais por hacker devido a vulnerabilidades em API que permitiam chamadas e acesso a dados pessoais de mais de 57 milhões de clientes.
A empresa tentou esconder a invasão das autoridades e ofereceu montante para que os hacker apagassem os dados, que incluíam acesso a carteiras de motoristas, endereços eletrônicos e telefones dos usuários
Acordo Judicial˜ US$150.000.000,00
Estudo de Caso
Empresa de Tecnologia
Resumo:Multa pela ausência de clareza em documentos como a “Política de Privacidade” e “Termos de Uso” de aplicativo disponível na loja de aplicativos, que não estavam disponíveis em língua portuguesa.
A falta de uma versão local dos contratos acabou deixando usuários desinformados sobre o compartilhamento de dados do usuário com outras empresas e para outros países.
"A informação adequada, clara e em língua portuguesa é direito básico”.
Multas +R$ 7.000.000,00
REALIZAÇÃO
O atendimento a qual princípio de Privacy by Design poderia
ter evitado o caso?
REALIZAÇÃO
Implementando Privacy by Design
O Paradigma da Árvore
RamificaçãoRequisitos, Riscos
& Desenho
AmadurecimentoTreinamentos, Testes e
Melhoria Contínua
SustentoGovernança, Política e
Programa de Privacidade & Segurança
EnraizamentoCultura de Privacidade
na Organização
\
Enraizando a cultura de Privacidade
Capacitar a organização sobre os conceitos e princípios de Privacidade e Segurança é fundamental para obter sucesso neste processo, abordando:
Como identificar e analisar requisitos da organização?
Quais riscos e impactos considerar?
Quais ferramentas e métodos devem ser seguidos?
\
Definir uma estrutura sólida que ofereça a sustentação adequada
Programas sólidos de gestão e governança para Privacidade e Segurança da Informação, devem fornecer as diretrizes e bases para a implementação dos princípios de Privacy by Design, definindo:
Diretrizes de Privacidade e Segurança alinhadas à organização
Níveis de tolerância ao Risco
Políticas, ferramentas, padrões e melhores práticas
Organização e accountability
\
Ramificando a Privacidade em processos, projetos, produtos e sistemas
A concepção de novos produtos, processos, sistemas e demais projetos da organização devem basear-se em avaliações de riscos e requisitos de Segurança e Privacidade, incluindo:
Requisitos Internos & Externos
Análises de Segurança e de Privacidade
Privacy by Default
Modelagem de Ameaças
Tratamentos de dados e suas finalidades
\
Amadurecimento ocorre por meio de monitoramento e lições aprendidas
Uma vez operacional, o monitoramento contínuo do ambiente e as lições aprendidas, permitem alimentar o Programa para que novos insights sejam incorporados, a partir de:
Base de conhecimento ampliada
Radar tecnológico & regulatório
Exercícios e testes
Manutenção e melhoria contínua
Resolução de incidentes e probelmas
REALIZAÇÃO
Framework de Implementação
Um ponto de vista sobre a implementação
1. Set-up 2. Planejamento 3. Desenvolvimento 4. Operação
2.1. Treinamento2.1. Treinamento
2.2. Análise de Requisitos2.2. Análise de Requisitos
3.1. Desenho3.1. Desenho
3.2. Desenvolvimento3.2. Desenvolvimento
3.3. Testes3.3. Testes
3.4. Lançamento3.4. Lançamento
1.1. Programa de Privacidade & Proteção de Dados
1.1. Programa de Privacidade & Proteção de Dados
1.2. Programa de Segurança da Informação
1.2. Programa de Segurança da Informação
2.3. Análise de Riscos2.3. Análise de Riscos
4.1. Resposta a Incidentes & Vazamento de Dados
4.1. Resposta a Incidentes & Vazamento de Dados
4.2. Melhoria Contínua e Manutenção
4.2. Melhoria Contínua e Manutenção
PessoasPessoas
ProcessosProcessos
TecnologiaTecnologia
REALIZAÇÃO
Perguntas?
REALIZAÇÃO
Referências
Referências
The Open Web Application Security Project (OWASP) | https://www.owasp.org/index.php/Main_Page
The Norwegian Data Protection Authority (DPA) | https://www.datatilsynet.no/en
NIST: National Institute of Standards and Technology | https://www.nist.gov
IAPP: International Association of Privacy Professionals | https://iapp.org
Privacy by Design - The 7 Foundational Principles | Ann Cavoukian, Ph.D.
Global Privacy & Security by Design | https://gpsbydesign.org
ISO - International Organization for Standardization | https://www.iso.org/home.html (ISO 27.701)
CONTAΩ
Leonardo CaríssimiDirectorCyber Security & Privacy Consulting
Pedro CarazatoSr. ManagerCyber Security & Privacy Consulting
Matheus WekedManagerCyber Security & Privacy Consulting