GDPR muda a confiança do consumidor e a segurança dos dados na Europa e o que esperar da LGPD para o Brasil
Após um ano de vigência da implementação da GPDR, a Check Point em parceria com a empresa de estudos de mercado OnePoll avaliaram como as organizações europeias endereçaram os requisitos da regulamentação e os resultados contribuem para um paralelo sobre o que esperar da LGPD
Um novo estudo patrocinado pela Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor global líder em soluções de cibersegurança, demonstra que a implementação da GDPR (Regulamentação Geral de Proteção de Dados da União Europeia) tem trazido um efeito extremamente positivo nos processos de negócio europeus. A Check Point também desenvolveu uma nova aplicação denominada de GDPRate para apoiar as empresas na implementação e estar em conformidade com os componentes essenciais para uma estratégia de sucesso de GDPR.
O estudo contou com respostas de 1.000 CTOs, CIOs, gerentes de TI e gerentes de Segurança da França, Alemanha, Itália, Espanha e Reino Unido para compreender como as empresas europeias abordaram os requisitos da GDPR, e revelou que 75% das organizações acreditam que esta lei teve um impacto benéfico na confiança do consumidor e 73% asseguram que melhoraram a segurança dos seus dados.
Entretanto, 60% dos entrevistados afirmam que os seus negócios já adotaram por completo todas as medidas da GDPR, e somente 4% encontram-se ainda no início do processo de conformidade. Quando questionados para indicarem o seu desempenho na gestão e no cumprimento dos requisitos de GDPR numa escala de 0 a 10 (onde o 0 “nada” e 10 “totalmente”), a média alcançada foi de 7,91.
Uma razão potencial para este desempenho positivo deve-se à abordagem estratégica à segurança dos dados encorajado pela GDPR. Este estudo ainda revela que 65% dos CTOs, CIOs, gerentes de TI e gerentes de Segurança acreditam que as suas empresas têm uma abordagem estratégica e orgânica à cibersegurança. Esta abordagem estratégica define-se num todo, onde as medidas são aplicadas de baixo para cima de modo a atingir as obrigações da GDPR.
O estudo revela também um progresso significativo em toda a Europa, e isto se deve a um conjunto de diferentes iniciativas. Um pouco mais da metade (55%) dos entrevistados indicaram ter criado grupos de trabalho focados na GDPR. Os restantes 45% alocaram orçamento para cobrir os custos de sua implementação, enquanto 41% contratou consultores especializados nesta lei geral.
A partir de uma perspectiva de TI, os passos mais comuns dados para a conformidade com os requisitos de GDPR foram:
. Adoção padrão de medidas de segurança (44%);
. Promoção de ações de formação para funcionários, para aumentar o seu conhecimento dos riscos de segurança de dados (41%);
. Implementação de um sistema de controle de acessos e de encriptação (41%).
Este estudo também revelou que ao endereçar os requisitos de GDPR, houve um aumento de investimentos (27% dos entrevistados investiram entre US$55 mil a US$165,3 mil), os quais apresentaram um retorno (ROI) em forma de benefícios como aumento da confiança do consumidor e em uma maior segurança dos dados.
Segundo Rafi Kretchmer, Head of Product Marketing da Check Point Software, “O que se torna claro com este estudo é que muitas das organizações europeias fizeram um enorme progresso ao implementar todos os passos necessários para se tornarem em conformidade com esta regulamentação. E alguns deles já percebem os benefícios positivos desta adoção. Mas, ainda existem um grande conjunto de empresas onde há muito a ser feito”.
Os três benefícios de longo prazo da GDPR esperados são:
. Ajudar as organizações a demonstrar o seu foco nos dados dos clientes e aumentar a lealdade (45%);
. Tornar as operações mais eficientes, especialmente no que se refere à cibersegurança (44%);
. Ter uma visão mais compreensível na informação processada pela empresa (40%) .
Um paralelo para a implementação da LGPD em agosto de 2020
“É importante que as empresas adotem frameworks robustos para cumprirem os requisitos da LGPD (Lei Geral de Proteção de Dados) no Brasil, em vez de simplesmente fecharem o acesso aos dados e passarem a dar ferramentas e plataformas que os funcionários e os clientes querem usar, sejam de encriptação de documentos e a encriptação do disco rígido. Estas abordagens podem assegurar que os dados sensíveis de negócio estejam protegidos, prevenindo brechas de segurança de dados e acessos não autorizados aos dados em dispositivos roubados”, explica Claudio Bannwart, Country Manager da Check Point Software no Brasil.
No entanto, o executivo alerta para uma série de ações que as organizações deverão atentar para atenderem e manterem-se em conformidade com a LGPD. Da mesma maneira com que as empresa europeias, as quais alcançaram um desempenho positivo com suas abordagens estratégica e orgânica à cibersegurança para seguirem a GDPR, igualmente no Brasil as empresas deverão concentrarem-se principalmente nos pilares: foco nos dados dos clientes, conhecimento no aumento de riscos à segurança dos dados e investimento em controle de acesso a dados. “A partir destes pilares, a implementação e cumprimento da LGPD não irão se diferenciar dos procedimentos executados pelos europeus”, afirma Bannwart.
Estas regulamentações visam a mitigação de riscos e maior proteção aos dados de cidadãos e organizações. Mesmo havendo a necessidade de investimento na implementação da LGPD, os resultados que poderão ser alcançados proporcionarão um retorno rápido. Isto se comprovou pelo estudo da Check Point e OnePoll sobre a GDPR, cuja maturidade de sua implementação nos possibilita entender a realidade da LGPD e o que deveremos enfrentar no Brasil no próximo ano.
A Check Point Brasil elaborou um guia sobre os controles importantes para uma estratégia LGPD eficaz e positiva:
• 5 itens indispensáveis para começar:
- Instituir equipe de líder técnico, DPO (Data Protection Officer) e executivo responsável para os programas de privacidade de dados;
- Auditoria e classificação de dados;
- Análises de riscos;
- Registro de atividades e identificação de violações;
- Controle fundamentais nos sistemas dentro do escopo e definição dos projetos de implementação.
• Infraestrutura tradicional: Monitoramento de atividades baseado na autenticação de usuário, prevenção de ameaças, ataques e de vazamentos de informações, verificação de conformidade dos controles com regulamentações, classificação de dados evitando o vazamento de informações internas, monitoramento de dados enviados para fora da empresa, notificação de acesso de usuários , criação de camadas de segurança e criptografia, opções de alta disponibilidade, resiliência para lidar com situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de dados, controle de acesso em tempo real, armazenamento de logs e correlação de eventos, auditoria de dados.
• Nuvem: Prevenção de ameaças baseada em assinaturas e comportamentos, extração de relatórios, resiliência para lidar com situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de dados, detecção e remediação de anomalias, visibilidade completa de ativos e fluxo de dados em ambientes cloud, redução de falhas de configuração, bloqueio de acesso baseado em geolocalização, auditoria de dados e armazenamento de logs e correlação de eventos.
• Mobile: Verificação e bloqueio de URLs maliciosas em mensagens, análise de aplicativos instalados, inspeção de configurações, verificação da versão das aplicações instaladas, segurança contra ameaças zero-day, encriptação de dados corporativos, container encriptado, separação de dados corporativos de dados pessoais, implementar classificação da informação e restrição de acesso à documentos em seu ciclo de vida.
• Endpoint: Bloqueio da comunicação com fontes conhecidas, Anti-bot , Anti-ransomware, definição e verificação de conformidade mínimos para estação de trabalho, compliance, encriptação de todos os dados do disco FDE, análise forense de mídias removíveis e proteção de portas (USB, etc), análise comportamental de malwares, emulação de ameaças identificadas, inspeção de malwares em arquivos baixados.
• Gerenciamento: Verificação de conformidade dos controles com regulamentações, extração de relatórios para auditorias, visibilidade completa em diferentes ambientes, definição de políticas centralizadas, resiliência para lidar com situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de dados, controle de acesso administrativo a políticas e dados de gerenciamento de acordo com perfis, gerenciamento centralizado com controle de logs (gerados pelas ferramentas de segurança que devem ser encriptados e possuir mecanismos para evitar perdas ou adulterações de registros durante a transmissão e armazenamento).