O GDPR está aqui! Você está pronto? Cymulate está aqui para ajudar

Como acontece com qualquer novo regulamento, nem todas as organizações cumprem (ainda). No caso do GDPR, isso não deve ser subestimado, especialmente à luz das multas que podem ser impostas. 

A grandeza dessas multas depende (entre outros fatores) do número de pessoas afetadas, dos danos sofridos e da duração da violação de dados. Além disso, o valor também depende se a violação de dados foi intencional ou resultou de negligência. Esforços para mitigação também são levados em conta, assim como medidas preventivas.

Quando se trata dos montantes que devem ser pagos, o regulamento faz uma distinção entre multas de nível inferior (até € 10 milhões, ou 2% da receita anual mundial do exercício anterior, o que for maior), e nível superior multas (até € 20 milhões, ou 4% da receita anual mundial do exercício anterior, o que for maior).

Depois que o GDPR entrou em vigor, não demorou muito para que as primeiras queixas por infrações fossem registradas. O Facebook e o Google já estão recebendo queixas que podem resultar em multas no valor de US $ 8 bilhões.

Organizações de todos os tamanhos e independentemente da localização, têm boas razões para se preocupar – só em maio de 2018, houve uma série de violações de dados que põem em risco informações pessoais identificáveis (PII):

  • Em 17 de maio, a Corporation Service Company (CSC) anunciou que hackers roubaram as informações pessoalmente identificáveis de 5.678 de seus clientes.
  • No final de maio, foi relatado que o serviço 211 do condado de Los Angeles deixou cerca de 3,2 milhões de registros de chamadas em um servidor da AWS que incluía uma ampla variedade de informações pessoalmente indefiníveis sobre os chamadores, juntamente com a razão às vezes muito pessoal que eles chamavam para procurar ajuda .
  • Em 19 de maio, a Universidade de Buffalo anunciou que seu CISO estava investigando e respondendo a uma violação de contas externas de terceiros que parece ter comprometido as informações de login para um grande número de alunos, professores, funcionários e ex-alunos da UB.

Embora essas violações tenham afetado principalmente os cidadãos dos EUA, elas ilustram como as PII permanecem atraentes para os cibercriminosos.

As autoridades levam o GDPR muito a sério. Antes do GDPR, o Reino Unido multou a Universidade de Greenwich em £ 120.000 por violação de dados quando informações pertencentes a quase 20.000 funcionários e estudantes foram expostas em um incidente de segurança.

É importante entender que as multas impostas vêm além do custo da violação de dados. Isso significa que, sob o GDPR, o impacto do WannaCry e ataques cibernéticos semelhantes será duplo para a empresa vitimizada. Primeiro, há os danos da violação de dados propriamente dita (por exemplo, informações roubadas, custos de mitigação), seguidos por uma multa de GDPR incapacitante. Para organizações que não possuem segurança de rede adequada, isso pode significar ruína.

Não é tarde demais para se tornar compatível com GDPR. Em outro blog da Cymulate de 4 de abril, descrevemos várias estratégias para abordar os múltiplos desafios que as organizações enfrentam como compatíveis com GDPR. Além disso, existem várias seções da legislação onde o Cymulate pode ajudar as organizações, em particular as disposições 74 e 76, bem como o Artigo 24, parágrafo 1, Artigo 32, parágrafo 1, e Artigo 35, parágrafo 1.

A disposição (74) estipula: “A responsabilidade do controlador pelo tratamento de qualquer processamento de dados pessoais realizado pelo controlador ou em nome do controlador deve ser estabelecida. Em particular, o responsável pelo tratamento deverá ser obrigado a aplicar medidas adequadas e eficazes e a demonstrar a conformidade das atividades de tratamento com o presente regulamento, incluindo a eficácia das medidas. Essas medidas devem levar em conta a natureza, o escopo, o contexto e os propósitos do processamento e o risco aos direitos e liberdades das pessoas físicas ”. Isto implica que os controladores têm a obrigação legal de conduzir uma Avaliação de Impacto de Proteção de Dados.

Com a plataforma de avaliação da Cymulate, é fácil para os controladores automatizar a Avaliação de Impacto da Proteção de Dados e realizar essa avaliação a qualquer momento.

A disposição (76) detalha o que a avaliação de risco obrigatória implica: “A probabilidade e severidade do risco aos direitos e liberdades do titular de dados devem ser determinadas por referência à natureza, escopo, contexto e propósitos do processamento. O risco deve ser avaliado com base em uma avaliação objetiva, através da qual se estabelece se as operações de processamento de dados envolvem um risco ou um alto risco ”.

A plataforma de avaliação da Cymulate aponta as fraquezas no contexto das relações de endpoint, rede e nuvem para revelar como um ataque real poderia acontecer e até onde ele poderia ir.

O Artigo 24, parágrafo 1, estabelece: “Levando em conta a natureza, escopo, contexto e propósitos de processamento, bem como os riscos de variação de probabilidade e severidade dos direitos e liberdades das pessoas físicas, o controlador implementará medidas técnicas e organizacionais apropriadas. Assegurar e demonstrar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas devem ser revistas e atualizadas sempre que necessário ”.

A plataforma de violação e simulação de ataque (BAS) da Cymulate pode auxiliar o controlador na revisão e atualização das medidas técnicas e organizacionais, uma vez que fornece insights úteis sem falsos positivos.

O Artigo 32, parágrafo 1 estipula: “Levando em conta o estado da técnica, os custos de implementação e a natureza, o escopo, o contexto e os propósitos do processamento, bem como o risco de variar a probabilidade e a severidade dos direitos e liberdades das pessoas físicas, o responsável pelo tratamento e o subcontratante devem implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo, entre outras coisas, conforme adequado. ”

O Artigo 32, parágrafo 1, sub d, detalha “um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento”.

Para esses testes, assessment e avaliação pelo controlador e processador, a plataforma de avaliação on-demand baseada em SaaS da Cymulate é a ferramenta perfeita para testes e avaliações regulares da postu de segurança da organização e verdadeira preparação para lidar com ameaças de segurança cibernética.

No Artigo 35 (Avaliação do impacto na proteção de dados), parágrafo 1, o GDPR declara: “Quando um tipo de processamento, em particular usando novas tecnologias, e tendo em conta a natureza, escopo, contexto e propósitos do processamento, pode resultar em caso de risco elevado para os direitos e liberdades das pessoas, o responsável pelo tratamento procederá, antes do tratamento, a uma avaliação do impacto das operações de tratamento previstas na proteção de dados pessoais. Uma única avaliação pode abordar um conjunto de operações de processamento similares que apresentam riscos elevados similares. ”

A utilização da plataforma de avaliação da Cymulate permite realizar essa avaliação a qualquer momento. As simulações sob demanda fornecem resultados imediatos, com um quadro completo da postura de segurança de uma organização.

Em suma, o Cymulate ajuda as organizações a implementarem correções de maneira inteligente para atenuar as vulnerabilidades na infraestrutura e evitar quebras reais. Isso é especialmente valioso para organizações de todos os tamanhos que ainda precisam atender aos rigorosos padrões de segurança e privacidade da informação associados ao GDPR.

Quer descobrir se a sua postura de segurança está de fato em conformidade com o GDPR? Se sim, entre em contato para avaliação GRATUITA  sem qualquer obrigação. Veja por si mesmo como a plataforma automatizada da Cymulate simulará ataques contínuos em vetores diferentes para localizar vulnerabilidades que permitem mitigar problemas para que você seja compatível com GDPR.

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages