Originalmente postado por Marc Lankhorst*, no blog da BiZZdesign - Tradução autorizada
Por que a Arquitetura é Importante?Para garantir que a sua organização está conforme, você precisa de uma visão ampla de como os dados pessoais são usados e porque eles são coletados, como eles são processados, quem tem acesso a eles, onde eles são armazenados, quais terceiros estão envolvidos, que ameaças internas e externas existem, e muito mais. Arquitetos corporativos possuem uma visão abrangente e integrada única de suas organizações, e possuem os modelos e ferramentas à sua disposição para avaliar, melhorar e garantir a proteção dos dados.
Mais ainda, o GDPR não apenas exige a conformidade, mas também requer que você demonstre a conformidade. A arquitetura e os modelos da arquitetura são a maior fonte desta informação, em particular quando você precisa de uma visão conectada e coerente de tudo o que está relacionado com dados pessoais.
Passos a Dar1. Na maioria das organizações, os arquitetos corporativos não têm a responsabilidade final por garantir a conformidade regulatória. Esta responsabilidade pode estar nas mãos de seu Departamento Jurídico, Diretor de Riscos, Diretor de Conformidade, Diretor de Segurança da Informação, ou com o novo Diretor de Proteção de Dados, requerido pelo GDPR. Se aproximar destes diretores, e fazer com que eles se conscientizem da contribuição potencial que a arquitetura pode trazer, é o primeiro passo.
2. Qualquer trabalho destinado a garantir a conformidade se apoiará em uma boa visão geral dos dados pessoais envolvidos. Criar um 'inventário de privacidade' é um ponto crucial:
![]() Figura 1. Exemplo de classificação de dados, com as cores baseadas na sensibilidade da privacidade
3. Analise o uso dos dados pessoais e, se possível, alavanque seus modelos de arquitetura existentes para fornecer a estrutura para suas análises:
![]() 4. Avalie os riscos dos dados sensíveis, em particular em relação aos direitos e liberdades dos sujeitos de dados:
Você pode usar a funcionalidade de Gerenciamento de Segurança, Risco e Conformidade do BiZZdesign Enterprise Studio para fazer análises avançadas dos riscos, com base nos padrões ArchiMate e Open FAIR do The Open Group. Os mapas de calor abaixo são um exemplo do tipo de saída que pode ser criado. A BiZZdesign fornece para seus clientes conteúdo pré-populado contendo ameaças de segurança de informações e continuidade dos negócios comuns, e os controles prescritos pelo padrão ISO/IEC 27001. Isto dá a você um poderoso e útil ponto de partida, de maneira que você não tenha que reinventar a roda. ![]() Figura 3. Mapas de calor de avaliação de riscos
5. Defina controles e medidas mitigadoras. Use padrões comuns como o ISO/IEC 27001 como a base para identificar controles úteis. Mais importante, você deve fazer isto o mais cedo possível durante o processo de desenho ou mudança de seus aplicativos, para promover uma abordagem de proteção-de-dados-por-desenho (o que é explicitamente mencionado no GDPR) e evitar a criação de medidas em um estágio posterior, com todo o retrabalho, custo e risco associado.
6. Priorize os riscos, aloque os orçamentos e planeje os requisitos para as mudanças e melhorias:
A funcionalidade de Gerenciamento de Portfólios do Enterprise Studio é muito útil neste estágio. Painéis de controle claros ajudam a direção a decidir sobre as prioridades e investimentos, levando todos os ângulos de avaliação em consideração, permitindo que você filtre e foque naquilo que é essencial (veja abaixo): ![]() Figura 4. Gráfico do ciclo de vida dos aplicativos, filtrado por aplicativos de alto risco e alto custo 7. Implemente os controles e medidas que você definiu para a sua organização, processos e sistemas, e teste sua segurança. Afinal, isto é o que conta!
8. Demonstre a conformidade para as autoridades reguladoras, mostrando como você processa os dados pessoais, como você lida com os riscos, e quais medidas mitigadoras você implementou.
Naturalmente, esta não é uma abordagem a ser realizada uma única vez; você deve revisitar os passos acima para garantir que você continua conforme e integrar isto no seu framework de governança. Estes passos são também particularmente relevantes quando você realiza sua Avaliação de Impacto da Proteção de Dados (DPIA-Data Protection Impact Assessment), que é requerida pelo GDPR para qualquer implementação de um novo sistema que use dados pessoais.
As soluções da BiZZdesign ajudam você a alavancar a arquitetura e os modelos existentes de portfólios e dados, para dar a você um início rápido para melhorar sua segurança de dados e garantir a conformidade regulatória. Nossa abordagem integrada ajuda você a investir em segurança onde ela conta, e evitar as penalidades e os riscos de reputação da não conformidade, ou pior, de um vazamento de informações. Veja, na próxima postagem, uma análise dos resultados parciais da pesquisa abaixo.
Maio de 2018 está mais próximo do que você pensa, e um bocado de trabalho pode ser necessário, então, não hesite: COMECE AGORA! * Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria. |