Baixe o app para aproveitar ainda mais
Prévia do material em texto
Autoavaliação da maturidade na gestão da proteção de dados Um modelo para se posicionar e escolher as ações a serem tomadas Autoavaliação da maturidade na gestão da proteção de dados 2 Sumário O conceito de maturidade aplicada à proteção de dados pessoais .................................................... 3 1. Cinco níveis de maturidade para avaliar como os processos de proteção de dados são gerenciados .......................................................................................................................................... 4 2. Oito atividades típicas de proteção de dados para estruturar as ações realizadas...................... 6 3. Níveis de maturidade aplicados às atividades de proteção de dados .......................................... 8 Autoavaliação da maturidade na gestão da proteção de dados 3 O conceito de maturidade aplicada à proteção de dados pessoais A proteção de dados baseia-se nas atividades implementadas por cada organização (direção, gerenciamento de registros, monitoramento jurídico etc.). No entanto, estas atividades não existem em todas as empresas e nem sempre são administradas de forma homogênea (informal, descrita, generalizada etc.). Este documento propõe um modelo, conhecido como modelo de maturidade, que quantifica o rigor e a formalidade com que as atividades relacionadas à gestão da proteção de dados são gerenciadas. O objetivo deste documento é o seguinte: 1. Transpor o conceito de níveis de maturidade, que já está bem definido (por exemplo, ISO/IEC 21827, guia de maturidade SSI), para a proteção de dados. 2. Propor atividades típicas relacionadas à proteção de dados. 3. Ilustrar cada nível de maturidade para cada atividade típica com exemplos de ações ou resultados. Nota: enquanto a conformidade se aplica ao tratamento de dados pessoais, a maturidade se aplica às atividades. Estas duas visões são diferentes, mas complementares. Autoavaliação da maturidade na gestão da proteção de dados 4 1. Cinco níveis de maturidade para avaliar como os processos de proteção de dados são gerenciados No campo da proteção de dados, os diferentes níveis de maturidade correspondem aos definidos na ISO/IEC 21827 e no guia de maturidade SSI. A tabela a seguir descreve os cinco níveis de maturidade de uma maneira genérica. Cada nível representa a forma pela qual uma organização projeta, implementa, controla, mantém e monitora uma atividade, qualquer que seja essa atividade. Atingir um nível pressupõe que o nível anterior já tenha sido alcançado. Níveis Características 0 Prática inexistente ou incompleta • Nada é feito em relação à proteção de dados. A proteção de dados não é conhecida ou apoiada dentro da organização e a necessidade não é reconhecida. 1 Prática informal (algumas ações isoladas) • As ações são realizadas utilizando práticas básicas. Elas são implementadas informalmente e em resposta a solicitações isoladas, sem compromisso real da liderança da organização e sem coordenação real entre aqueles que implementam as ações. 2 Prática repetível e seguida (ações replicáveis) • As ações são realizadas por uma pessoa com experiência em proteção de dados. • As ações estão planejadas. • Algumas práticas são formalizadas, permitindo a duplicação • e reutilização (possivelmente por outra pessoa). • A proteção de dados é monitorada pela gerência da organização • organização, mas o negócio inteiro está longe de estar envolvido. • São realizadas medidas qualitativas (indicadores simples sobre resultados, por exemplo, consideração da proteção de dados neste ou naquele projeto). 3 Processo definido (normalização das práticas) • As ações são realizadas de acordo com um processo definido (por exemplo, uso de métodos), padronizado (comum a toda a organização) e formalizado (existência de documentação). • As pessoas que realizam as ações têm as habilidades apropriadas para o processo. • A organização apoia o processo (ela fornece os recursos, meios e treinamento necessários para seu funcionamento). Autoavaliação da maturidade na gestão da proteção de dados 5 • O processo é bem compreendido tanto pela gerência quanto pelos executantes. 4 Processo controlado (medição quantitativa e correção de defeitos) • O processo é coordenado em todo o escopo selecionado e para cada implementação. • Medidas quantitativas são feitas regularmente (em termos de desempenho, por exemplo, proporção de projetos que consideram a proteção de dados). • As medições feitas (indicadores qualitativos e quantitativos) são analisadas (por exemplo, alguém é responsável por estudar os indicadores e propor uma análise e um plano de ação). • São feitas melhorias no processo com base na análise das medidas feitas. 5 Processo continuamente otimizado (melhoria contínua) • O processo é adaptado dinamicamente à situação (melhorias e mudanças diretamente integradas). • A análise das medidas tomadas é definida, padronizada e formalizada. • A melhoria do processo é definida, padronizada e formalizada. • Os desenvolvimentos do processo são rastreados. Autoavaliação da maturidade na gestão da proteção de dados 6 2. Oito atividades típicas de proteção de dados para estruturar as ações realizadas De uma maneira genérica, as atividades relacionadas à proteção de dados são as seguintes (que teoricamente podem ser encontradas em qualquer organização, sejam elas realmente implementadas ou não): Ações Características Responsáveis geralmente envolvidos Definir e implementar procedimentos de proteção de dados Definição, manutenção e comunicação de políticas e procedimentos gerais relativos ao gerenciamento de dados pessoais e à proteção da privacidade (códigos de uso do sistema de informação, cláusulas contratuais padrão etc.), verificação de sua aplicação e acionamento de quaisquer medidas previstas em caso de descumprimento. Definição pelo departamento jurídico, departamento de risco ou departamento de sistemas de informação, verificação por meio dos processos de controle interno. Gerir a governança da proteção de dados Definição, estabelecimento, implementação, comunicação e melhoria da estratégia de proteção de dados dentro da organização (governança, funções e responsabilidades, incluindo as do encarregado de proteção de dados – DPO). Administração geral da empresa e, dependendo da organização, direção e implementação pelo departamento jurídico, o departamento de risco ou o departamento de sistemas de informação. Identificar e manter a lista de tratamentos Identificação e manutenção do inventário do tratamento de dados pessoais, fluxos de dados e dados associados. Encarregado de Proteção de Dados (DPO) Garantir a conformidade legal do tratamento Avaliação das operações de tratamento de dados pessoais existentes e planejadas em comparação com as obrigações legais e regulamentares de proteção de dados (proporcionalidade e necessidade, assim como os direitos dos titulares), identificação de medidas para melhorar o cumprimento (incluindo cláusulas contratuais padrão), aconselhamento ao controlador e verificação da implementação das medidas planejadas. Departamentos comerciais relevantes, departamento jurídico, departamento de compras, DPO, gerente de segurança de sistemas de informação (CISO), equipes de projeto Treinamento e conscientização Disseminação do conhecimento e criação ou reforço das competências internas em matéria de proteção de dados. Nota: sessões de treinamento/sensibilização devem garantir que o pessoal esteja familiarizado com a política de proteção de dados. DPO, Departamento de Recursos Humanos, Departamento de Comunicação Lidar com pedidos de usuários internos e externos Definição, estabelecimento, implementação e comunicação dos meios para gerenciar pedidos para o exercício dos direitos dostitulares dos dados (por exemplo, pedidos de direito de acesso), reclamações e outras reclamações internas e externas relativas à proteção de dados. DPO Gerenciar riscos de segurança Avaliação dos riscos de segurança que o tratamento de dados pessoais pode ter sobre os titulares dos dados, determinação de medidas para ajudar a lidar com eles (incluindo cláusulas contratuais padrão) e verificação da implementação das medidas planejadas. Departamentos comerciais relevantes, departamento jurídico, departamento de compras, DPO, gerente de segurança de sistemas de informação (CISO), equipes de projeto. Autoavaliação da maturidade na gestão da proteção de dados 7 Gerenciar violações de dados Identificação, qualificação, resolução de violações de dados pessoais, notificações às autoridades de proteção de dados e comunicação aos titulares dos dados, manutenção de um registro de violação. DPO, divisões de negócios relevantes, gestão de risco, gestão de sistemas de informação, gestão de comunicação, entidades encarregadas da gestão de incidentes e gestão de crises. Autoavaliação da maturidade na gestão da proteção de dados 8 3. Níveis de maturidade aplicados às atividades de proteção de dados A tabela a seguir ilustra cada nível de maturidade de cada atividade de proteção de dados com exemplos de resultados. Prática informal Prática repetível e seguida Processo definido Processo controlado Processo continuamente otimizado Definir e implementar procedimentos de proteção de dados Algumas boas práticas são implementadas de forma ad hoc (por exemplo, minimização da coleta ou eliminação de dados obsoletos, avisos de informação). Documentos relativos à proteção de dados (boas práticas, regras, exemplos etc.) são compartilhados. Há documentação (por exemplo, códigos para o uso de recursos de TI) contendo regras sobre proteção de dados. A documentação formal (por exemplo, política de proteção de dados), aprovada pelo Conselho de Administração, é comunicada a todo o pessoal. Os procedimentos são formalizados e comunicados a todo o pessoal. As regras são aplicadas. É realizada uma revisão anual das políticas e procedimentos. São produzidos indicadores (por exemplo, sobre a implementação das regras, sobre as dificuldades encontradas, sobre sua eficácia etc.). As políticas e procedimentos são atualizados assim que são identificadas melhorias potenciais. Gerir a governança da proteção de dados O conhecimento especializado em proteção de dados é identificado dentro da organização (por exemplo, departamento jurídico) e utilizado em uma base ad hoc. É identificado um responsável pela proteção de dados que é responsável pelas interações com os titulares dos dados (cartas etc.). É nomeado um encarregado de proteção de dados para a autoridade nacional de proteção de dados (com uma descrição formal de cargo ou declaração de missão conhecida pelo pessoal), é criada uma organização e são definidas funções e responsabilidades. O encarregado da proteção de dados informará anualmente sobre suas ações à direção da organização (em particular ao(s) responsável(eis) pelo controle). Recursos são alocados regularmente para implementar planos de ação à luz da avaliação do DPO e para garantir sua implementação e melhoria contínua. Identificar e manter a lista de tratamentos Os serviços são capazes de identificar as operações de tratamento de dados pessoais que realizam. O tratamento de dados pessoais é identificado e/ou reportado de forma centralizada. É mantido um registro de atividades de tratamento, em conformidade com o RGPD. A completude e qualidade do registro é verificada regularmente. O registro serve como um instrumento para orientar ações relacionadas ao tratamento de dados pessoais (por exemplo, ele serve como um censo, mas também como um instrumento para a gestão comparativa de riscos e monitoramento de planos de ação). 1 2 3 4 5 Autoavaliação da maturidade na gestão da proteção de dados 9 Garantir a conformidade legal do tratamento As informações para titulares (por exemplo, avisos legais) são fornecidas nos principais locais onde os dados pessoais são coletados (por exemplo, website, formulários). Para cada operação de tratamento, são elaborados avisos legais e é realizado um estudo dos princípios fundamentais (proporcionalidade, necessidade e direitos dos titulares). As cláusulas contratuais são avaliadas e incluem uma seção sobre proteção de dados. As cláusulas padrão para contratos com operadores são formalizadas e utilizadas. As avaliações de impacto da proteção de dados são realizadas em operações de tratamento que provavelmente resultarão em altos riscos para os titulares, em colaboração com os departamentos envolvidos e a pessoa encarregada da proteção de dados. As medidas planejadas são verificadas. Revisões regulares de avisos legais e cláusulas contratuais são planejadas e realizadas. A qualidade das avaliações de impacto da proteção de dados é avaliada por meio de indicadores. Planos de ação (por exemplo, em caso de não conformidade de uma operação de tratamento) são criados e implementados. A proteção de dados é levada em consideração desde o início dos projetos, em colaboração com o encarregado da proteção de dados. Eventuais melhorias são estudadas regularmente. É realizado um monitoramento jurídico e técnico. As análises são produzidas e divulgadas. Treinamento e conscientização Alguns funcionários são conscientizados sobre a proteção de dados. As profissões são treinadas para identificar e transmitir as questões de proteção de dados à pessoa encarregada (por exemplo, solicitações de titulares, a autoridade de supervisão, novas operações de tratamento etc.). Sessões de conscientização são organizadas regularmente para o pessoal. Os indicadores medem qualitativa e quantitativamente a compreensão das questões de proteção de dados (por exemplo, pesquisa, questionário anual etc.). São oferecidos regularmente treinamentos ou sessões de informação sobre novas tecnologias ou questões de proteção de dados. Lidar com pedidos de usuários internos e externos Os pedidos dos titulares são gerenciados caso a caso. São criados modelos de resposta padrão (por exemplo, baseadas em modelos CNIL) para responder a solicitações regulares. São criadas e utilizadas respostas padrão a solicitações para o exercício de direitos e perguntas. Um procedimento para tratar os pedidos de exercício de direitos é definido e comunicado ao pessoal. Um formulário de contato é criado no site e todas as solicitações são centralizadas. A pessoa encarregada da proteção de dados é sistematicamente informada de cada solicitação relativa aos direitos das pessoas. Os pedidos de exercício de direitos estão sujeitos a indicadores que aparecem na revisão anual. O processo de gerenciamento de solicitações para o exercício de direitos e as ferramentas em que se baseia são regularmente melhorados. Autoavaliação da maturidade na gestão da proteção de dados 10 Gerenciar riscos de segurança Medidas básicas de segurança são postas em prática (por exemplo, autorizações, segurança de estações de trabalho etc.). As diretrizes são usadas para selecionar e implementar medidas de segurança (por exemplo, guia de segurança de dados pessoais CNIL, política de segurança interna etc.). As avaliações de impacto da proteção de dados incluem um estudo dos riscos de segurança. Um método é usado para avaliar os riscos das operações de tratamento de dados que podem resultar em altos riscos para os titulares dos dados e para tratá-los de forma proporcional. As avaliações de risco estãosujeitas a planos de ação. A implementação dos planos de ação é verificada em termos de eficácia e eficiência. Os riscos residuais são monitorados por indicadores. Os estudos de risco e os planos de ação são revisados anualmente. Uma vigilância ativa é mantida sobre vulnerabilidades ligadas a suportes de dados e ações corretivas são tomadas no caso de um impacto no sistema de informação. Gerenciar violações de dados Os incidentes são relatados. Às vezes são tomadas medidas corretivas. Às vezes é feita uma notificação de violação de dados para a CNIL. O gerenciamento de incidentes implementado de forma centralizada inclui violações de dados. Medidas corretivas são tomadas sistematicamente. Prevê-se a comunicação aos titulares cujos dados tenham sido violados de uma forma que possa dar origem a um alto risco. Um procedimento para tratar as violações de dados é formalizado e implementado sistematicamente. Todas as violações são registradas em um registro dedicado. Após uma violação de dados, está em vigor um plano de ação para reduzir o risco de reincidência. A implementação de medidas corretivas é verificada. São criados e comunicados indicadores para monitorar as violações de dados (por exemplo, na revisão anual). Uma análise de violação é realizada regularmente para identificar e implementar medidas para melhorar a segurança dos dados. O gerenciamento da violação de dados alimenta os estudos de risco (por exemplo, AIPD). Um sistema de gerenciamento automático de rastreamento permite que as violações de dados sejam detectadas o mais rápido possível. Autoavaliação da maturidade na gestão da proteção de dados 11 Referências • Regulamento Geral de Proteção de Dados (GDPR) • A Lei de Proteção de Dados • Guia de maturidade SSI, Agence nationale de la sécurité des systèmes d'information (ANSSI) • ISO/IEC 21827 – Tecnologia da informação – Técnicas de segurança – Engenharia de segurança de sistemas – Capability Maturity Model (SSE-CMM®), Organização Internacional de Normalização (ISO) • ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos, ISO • ISO/IEC 29190 – Tecnologia da informação – Técnicas de segurança – Modelo de avaliação da capacidade de privacidade, ISO
Compartilhar