FORCEPOINT INDICA TRÊS PASSOS SEGUROS PARA IMPLEMENTAÇÃO DO GDPR

O ajuste das estruturas tecnológicas das empresas para estarem em conformidade com as exigências do Regulamento Geral de Proteção de Dados (GDPR), a mais recente lei de privacidade de dados da União Europeia está sendo encarado pelos profissionais de TI como um desafio dos mais difíceis já vistos. Isto porque apesar de claras quanto ao que exigem, as demandas da nova legislação oferecem poucos indicativos sobre como responder a essas diretrizes.

Todas as empresas internacionais serão afetadas, independentemente da indústria ou da cidade onde estiverem ou da quantidade de dados pessoais que coletarem. Desta forma, ao buscar este alinhamento, as companhias se arriscam a violar as leis de privacidade ou afetar a cultura da própria empresa. Pensando em indicar um caminho seguro para o GDPR, a CIO da ForcePoint, Meerah Rajavel desenvolveu três passos certeiros. São eles:

1) Identifique onde os dados pessoais residem e mapeie os fluxos de dados

A maioria das organizações não sabe exatamente onde seus dados residem em cada momento. Os ambientes são dinâmicos, por isso precisamos entender não apenas onde os dados são armazenados, mas também onde eles estão quando se encontram em movimento.

A Forcepoint usa a tecnologia de prevenção de perda de dados (DLP) para coletar informações como: o usuário a quem é atribuído, o tipo de dados, onde ele fica armazenado, quando foi acessado e as permissões. A combinação da tecnologia de agente de segurança de acesso à nuvem (CASB) com o DLP nos ajudou a detectar informações pessoalmente identificáveis (PII) enquanto se movia pela nuvem. Existem soluções no mercado – inclusive da própria Forcepoint – com caixas de seleção simples que podem ajustar as políticas com base na conformidade com o GDPR. Apesar dessas ferramentas excepcionais, muito trabalho manual ainda será necessário.

2) Proteja dados pessoais e detecte ameaças

Os dispositivos móveis e os aplicativos na nuvem adicionaram complexidade à segurança nunca vista e expandiram a superfície de ataque. É necessário monitorar o risco em tempo real, mas a TI legada não foi projetada para proteger os dados que trafegam fora da empresa e para a nuvem. Ela também não oferece visibilidade sobre atividades arriscadas à medida que as pessoas interagem com os dados.

Para realmente evoluir a segurança de seu atual estado rígido e reativo para um patamar flexível e proativo, precisamos aproveitar os recursos contínuos de monitoramento e análise disponíveis em uma solução de análise de comportamento de entidade (UEBA).

A UEBA nos permite ver o risco de forma holística e, quando combinados com outras tecnologias de imposição (como a DLP, por exemplo), podemos impor políticas exclusivas para o usuário e somente quando necessário.

3) Responda rapidamente e ajuste processos

Com o GDPR as organizações devem relatar uma violação de dados pessoais dentro de setenta e duas horas. Isto significa que apesar das ferramentas tecnológica serem excelentes, muito trabalho manual ainda é necessário pois   não há muito tempo para reagir.

Uma maneira de progredir é ter uma visão inicial quando um usuário fica comprometido. Em um futuro não tão distante, contaremos com o UEBA para revelar anomalias comportamentais e identificar atividades arriscadas de usuários. A UEBA fornece uma imagem contextual mais informada, combinando dados de sistemas de segurança tradicionais, SIEMS e ferramentas de DLP com as de outras fontes organizacionais (por exemplo, RH, registros de viagem, comunicação por e-mail e bate-papo).

Nossa ferramenta de ameaças internas fornece análise forense por meio da coleta e reprodução de vídeos, acelerando a investigação e a atribuição de suporte. No infeliz caso de uma violação, os aplicadores do GDPR vão querer respostas, então, não conseguimos pensar em uma ferramenta melhor que você gostaria de ter em sua posse.

A verdade é que toda empresa terá seu próprio planejamento de GDPR e enfrentará problemas que podemos ou não ter enfrentado. Desta forma, esses três passos fornecem um caminho inicial e seguro, mas independente de segui-los ou não, o que podemos fazer é comunicar com frequência, se antecipar em ver onde o GDPR pode afetar os negócios e implementar a tecnologia certa para se proteger proativamente contra incidentes de dados. Se quiser ajuda para enfrentar o desafio do GPDR, procure a Forcepoint.