8 Passos que os Arquitetos Corporativos Podem Dar Para Lidar com o GDPR

postado em 22 de fev de 2017 05:17 por Antonio Plais   [ 10 de abr de 2017 14:15 atualizado‎(s)‎ ]
Originalmente postado por Marc Lankhorst*, no blog da BiZZdesign - Tradução autorizada

Em uma postagem anterior, descrevemos a nova Regulação de Proteção de dados Geral (GDPR-General Data Protection Regulation) da União Européia (EU), que entrará em vigor em maio de 2018, e destacamos seus profundos efeitos sobre as organizações ao redor do mundo. Esta regulação, e Diretivas da EU relacionadas, como a Diretiva ePrivacy e a Diretiva Network and Information System Security (NIS), forçam as organizações a repensar como elas lidam com dados pessoais e privados. Nesta postagem, abordaremos os passos que você, como um arquiteto corporativo, pode dar para ajudar a sua organização a se conformar com estas regulações.

Por que a Arquitetura é Importante?

Para garantir que a sua organização está conforme, você precisa de uma visão ampla de como os dados pessoais são usados e porque eles são coletados, como eles são processados, quem tem acesso a eles, onde eles são armazenados, quais terceiros estão envolvidos, que ameaças internas e externas existem, e muito mais. Arquitetos corporativos possuem uma visão abrangente e integrada única de suas organizações, e possuem os modelos e ferramentas à sua disposição para avaliar, melhorar e garantir a proteção dos dados.

Mais ainda, o GDPR não apenas exige a conformidade, mas também requer que você demonstre a conformidade. A arquitetura e os modelos da arquitetura são a maior fonte desta informação, em particular quando você precisa de uma visão conectada e coerente de tudo o que está relacionado com dados pessoais.

Passos a Dar

1. Na maioria das organizações, os arquitetos corporativos não têm a responsabilidade final por garantir a conformidade regulatória. Esta responsabilidade pode estar nas mãos de seu Departamento Jurídico, Diretor de Riscos, Diretor de Conformidade, Diretor de Segurança da Informação, ou com o novo Diretor de Proteção de Dados, requerido pelo GDPR. Se aproximar destes diretores, e fazer com que eles se conscientizem da contribuição potencial que a arquitetura pode trazer, é o primeiro passo.

2. Qualquer trabalho destinado a garantir a conformidade se apoiará em uma boa visão geral dos dados pessoais envolvidos. Criar um 'inventário de privacidade' é um ponto crucial:

a. Identifique todos os dados considerados 'pessoais' de acordo com o GDPR
b. Classifique estes dados em relação à sua sensibilidade à privacidade. Torne isso parte do seu processo normal de segurança, onde você atribui outras atributos de segurança da informação como confidencialidade, integridade e disponibilidade
c. Descreva o propósito para o qual este dado foi coletado, e garanta que você tem (ou obtenha) o consenso dos sujeitos de dados (as pessoas!) para usá-los desta forma
d. Preste atenção adicional às categorias especiais de dados pessoais, tais como dados relacionados à saúde, biométricos, políticos, religiosos, étnicos, ou associação sindical. O Uso destes dados é explicitamente proibido pelo GDPR, a não ser que circunstâncias especiais muito específicas se apliquem

Figura 1. Exemplo de classificação de dados, com as cores baseadas na sensibilidade da privacidade

3. Analise o uso dos dados pessoais e, se possível, alavanque seus modelos de arquitetura existentes para fornecer a estrutura para suas análises:

a. Comece com as áreas de alto risco e com os tipos de dados mais sensíveis. Onde eles são armazenados e usados?
b. Modele os fluxos de dados: quais aplicativos, processos, pessoas e terceiros usam estes dados, em que locais, para que propósito?

Figura 2. Panorama de aplicativos com cores baseadas na classificação de privacidade dos dados usados

4. Avalie os riscos dos dados sensíveis, em particular em relação aos direitos e liberdades dos sujeitos de dados:

a. Onde você vê vulnerabilidades no seu panorama de TI e de negócios?
b. Quais são as ameaças comuns que podem explorar estas vulnerabilidades?
c. Quais são as potenciais consequências?

Você pode usar a funcionalidade de Gerenciamento de Segurança, Risco e Conformidade do BiZZdesign Enterprise Studio para fazer análises avançadas dos riscos, com base nos padrões ArchiMate e Open FAIR do The Open Group. Os mapas de calor abaixo são um exemplo do tipo de saída que pode ser criado. A BiZZdesign fornece para seus clientes conteúdo pré-populado contendo ameaças de segurança de informações e continuidade dos negócios comuns, e os controles prescritos pelo padrão ISO/IEC 27001. Isto dá a você um poderoso e útil ponto de partida, de maneira que você não tenha que reinventar a roda.


Figura 3. Mapas de calor de avaliação de riscos

5. Defina controles e medidas mitigadoras. Use padrões comuns como o ISO/IEC 27001 como a base para identificar controles úteis. Mais importante, você deve fazer isto o mais cedo possível durante o processo de desenho ou mudança de seus aplicativos, para promover uma abordagem de proteção-de-dados-por-desenho (o que é explicitamente mencionado no GDPR) e evitar a criação de medidas em um estágio posterior, com todo o retrabalho, custo e risco associado.

6. Priorize os riscos, aloque os orçamentos e planeje os requisitos para as mudanças e melhorias:

a. Avalie os custos das medidas contra os riscos (a perda esperada) para focar seu orçamento naquilo que realmente conta
b. Integre sua tomada de decisões com o seu gerenciamento de portfólios e roteiros de programas e projetos geral. Por exemplo, você deve evitar gastar muito em manter um aplicativo que será desativado em pouco tempo, e você deve combinar melhorias relacionadas com a segurança com outras mudanças

A funcionalidade de Gerenciamento de Portfólios do Enterprise Studio é muito útil neste estágio. Painéis de controle claros ajudam a direção a decidir sobre as prioridades e investimentos, levando todos os ângulos de avaliação em consideração, permitindo que você filtre e foque naquilo que é essencial (veja abaixo):


Figura 4. Gráfico do ciclo de vida dos aplicativos, filtrado por aplicativos de alto risco e alto custo

7. Implemente os controles e medidas que você definiu para a sua organização, processos e sistemas, e teste sua segurança. Afinal, isto é o que conta!

8. Demonstre a conformidade para as autoridades reguladoras, mostrando como você processa os dados pessoais, como você lida com os riscos, e quais medidas mitigadoras você implementou.

Naturalmente, esta não é uma abordagem a ser realizada uma única vez; você deve revisitar os passos acima para garantir que você continua conforme e integrar isto no seu framework de governança. Estes passos são também particularmente relevantes quando você realiza sua Avaliação de Impacto da Proteção de Data (DPIA-Data Protection Impact Assessment), que é requerida pelo GDPR para qualquer implementação de um novo sistema que use dados pessoais.

As soluções da BiZZdesign ajudam você a alavancar a arquitetura e os modelos existentes de portfólios e dados, para dar a você um início rápido para melhorar sua segurança de dados e garantir a conformidade regulatória. Nossa abordagem integrada ajuda você a investir em segurança onde ela conta, e evitar as penalidades e os riscos de reputação da não conformidade, ou pior, de um vazamento de informações. Veja, na próxima postagem, uma análise dos resultados parciais da pesquisa abaixo.

Maio de 2018 está mais próximo do que você pensa, e um bocado de trabalho pode ser necessário, então, não hesite: COMECE AGORA!


 Gravação do webinar: Você está preparado para o GDPR?

http://cta-service-cms2.hubspot.com/ctas/v2/public/cs/c/?cta_guid=c5785520-22ac-49e7-8ea2-9684b6fed658&placement_guid=27a08681-2d5c-44f0-b25b-87926c03b3de&portal_id=442574&redirect_url=APefjpGBpZ_zmfh5vIFX9jjqpFtXZY0avXXE-TYOcYBlVyqatP-xck9IZ4pOEFtdBY4oeo_XqPcbMFSUri89EV4ZEUjwKr894R2mHa6KCnNXEXG_xolh7Gor5RcFc1MQ7__lF8vLY8OU1YG02W9L3SVU2elZiD3JoGiGmbn9o0JA50S_m9yymMyaA3Yqfeifru71hEwzuTqM5pi5ZkzCzQCqpWGe48ZVSXQ_0sVTnec296ebQto9Il_KS5K9LW87kpo02ur1YMhu7hIqtxaaShX1ikm7hWjO7CDHarrVWhMopKLFxuV9T4TqlWJ7ONRMFEc3x0l9-fdy&hsutk=9b10a3b3a11fb35d41cf11e696c351aa&canon=http%3A%2F%2Fblog.bizzdesign.com%2F8-steps-enterprise-architects-can-take-to-deal-with-gdpr&utm_referrer=http%3A%2F%2Fblog.bizzdesign.com%2Ftopic%2Fgovernance-risk-compliance&__hstc=122831636.9b10a3b3a11fb35d41cf11e696c351aa.1486692647809.1487622352888.1487762415333.22&__hssc=122831636.4.1487762415333&__hsfp=677730402
  

Veja esta gravação e descubra como os arquitetos corporativos podem alavancar os modelos de arquitetura corporativa de risco e segurança e como o Enterprise Studio pode ajudá-lo.
Assista o webinar


* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.