Como a plataforma de segurança de última geração contribui para a conformidade com o GDPR
COMO A PLATAFORMA DA PALO ALTO NETWORKS CONTRIBUI PARA A CONFORMIDADE COM O GDPR
A segurança cibernética é um investimento essencial para proteger dados pessoais e ficar em conformidade com o GDPR.
A grande maioria dos requisitos do GDPR está centrada no gerenciamento de dados, ou seja, na coleta e no processamento de dados. Existem obrigações de notificação ao coletar dados pessoais, proibições de processamento não autorizado de dados, requisitos para manter registros do processamento de dados, obrigação de indicar um diretor de proteção de dados em determinadas situações e regras sobre a transferência de dados pessoais para terceiros e países terceiros, entre outros.
Mas isso não deve ofuscar o fato de que a segurança dos dados também é um pilar do GDPR. O GDPR tem uma linguagem específica relacionada à segurança, conforme descrito em detalhes abaixo. Além disso, um componente essencial da proteção de dados pessoais é mantê-los seguros, tanto contra a exfiltração por criminosos virtuais quanto contra vazamentos internos. Assim, ao se prepararem para o GDPR, é essencial que os investimentos das organizações em atividades de conformidade e processos e tecnologias de gerenciamento de informações sejam complementados com investimentos adequados em segurança cibernética.
Resumo das disposições relevantes do GDPR (consulte este link para para obter o texto completo do GDPR):
Tema |
Resumo das disposições |
| Segurança do processamento de dados |
As organizações devem implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco. Essas medidas devem levar em conta a técnica atual. [Artigo 32] Os dados pessoais devem ser processados de forma a garantir a segurança e a confidencialidade adequadas dos dados, inclusive para impedir o acesso ou o uso não autorizado de dados pessoais e do equipamento usado para o processamento. [Justificativa, parágrafo 39] Ao avaliar o risco à segurança de dados, deve-se levar em consideração os riscos apresentados |
Notificação de violação de dados |
---------------------------------------------------------------------------------------------- As autoridades de supervisão devem ser notificadas se houver perda de dados pessoais forem perdidos, se eles forem roubados ou comprometidos de outra forma, a menos que seja improvável que a violação cause um risco relevante para o indivíduo. A notificação deve ocorrer sem atrasos indevidos e, quando possível, no máximo 72 horas após o conhecimento da violação. Em alguns casos, os indivíduos devem ser notificados. As notificações devem descrever uma série de informações sobre a violação, como a natureza, as categorias e o número de registros de dados pessoais envolvidos, as consequências prováveis, as medidas tomadas para solucionar a violação e atenuar seus efeitos e outros itens. [Artigos 33 e 34] |
| Multas administrativas |
---------------------------------------------------------------------------------------------- As autoridades de supervisão devem impor multas administrativas para violações do GDPR, em cada caso individual. Ao decidir se devem impor uma multa e o valor, as autoridades são orientadas a considerar muitos fatores, inclusive o grau de responsabilidade na implementação de medidas técnicas e organizacionais, levando em conta a técnica atual, conforme o Artigo 32. [Artigo 83] |
A Palo Alto Networks® pode ajudar com os esforços de segurança e proteção de dados das organizações relacionados à conformidade com o GDPR, auxiliando em:
1. Proteção de dados pessoais. O GDPR exige a segurança do processamento de dados, levando em conta a técnica atual. Nossa plataforma de segurança de última geração oferece exatamente isso: segurança no aplicativo, rede e endpoint, bem como na
2. Prevenção de violação de dados. A prevenção de violação de dados, seja em decorrência de hackers ou de vazamento acidental, é fundamental para a conformidade com o GDPR. A segurança cibernética adequada é essencial para garantir que os dados e aplicativos pessoais e críticos para os negócios da sua organização permaneçam protegidos. Nossa plataforma de segurança de última geração foi desenvolvida para evitar
3. Notificação de violação de dados. Na lamentável eventualidade de uma violação de dados, ela deverá ser relatada. Nossa plataforma de segurança de última geração pode ajudar a determinar quais dados pessoais foram comprometidos e contribuir com fatos importantes sobre as medidas tomadas para solucionar a violação.
Muitas partes de nosso portfólio de produtos têm capacidades e recursos que atendem a essas necessidades. Elas estão descritas aqui.
Proteção de dados pessoais
O GDPR exige a segurança do processamento de dados, levando em conta a técnica atual. A plataforma da Palo Alto Networks protege os dados no aplicativo, rede e endpoint, bem como na nuvem.
Reduzir verdadeiramente o risco cibernético e proteger os dados, inclusive os pessoais, exige controles integrados, automatizados e eficazes para detectar e prevenir ameaças conhecidas e desconhecidas em cada etapa do ciclo de vida do ataque. Criada desde o início para a prevenção, a
A plataforma de segurança de última geração da Palo Alto Networks permite que as organizações sigam com confiança uma estratégia de prioridade digital à medida que implementam iniciativas tecnológicas importantes na nuvem e, cada vez mais, em redes móveis para proteger seus ativos de dados mais valiosos contra a exfiltração por criminosos virtuais e o vazamento acidental de dados.
A plataforma de segurança de última geração da Palo Alto Networks combina segurança de rede e de endpoint com inteligência contra ameaças para proporcionar proteção automatizada e evitar ataques cibernéticos – não apenas detectá-los. Nossa plataforma reúne todas as principais funções de segurança, incluindo firewall, filtragem de URL, IDS/IPS e proteção avançada de endpoints e contra ameaças. Como essas funções são intencionalmente incorporadas à plataforma com a prevenção de ameaças virtuais em mente e compartilham as informações essenciais entre as respectivas disciplinas, nossa plataforma garante uma segurança melhor do que firewalls e antivírus antigos, UTMs ou produtos de detecção de ameaças pontuais. Resumindo, uma segurança melhor oferece suporte para melhorar a proteção de dados.
Tecnologia de ponta
O GDPR exige medidas de segurança técnicas e organizacionais que levem em conta a técnica atual. Os sistemas de segurança antigos, compostos de produtos pontuais combinados, provaram ser inadequados para enfrentar o volume crescente, a automação e a sofisticação dos ataques cibernéticos. Os CISOs devem analisar cuidadosamente esses produtos antigos para determinar se eles atendem à técnica atual.
O cenário de ameaças está em constante evolução e, como tal, a tecnologia de ponta deve evoluir para evitar novas ameaças. A plataforma de segurança de última geração da Palo Alto Networks combina segurança de rede e de endpoint com inteligência contra ameaças para proporcionar proteção automatizada e evitar ataques cibernéticos – não apenas detectá-los. Ao contrário dos produtos pontuais antigos, nossa plataforma aproveita os benefícios da rede de milhares de clientes, parceiros de tecnologia e pesquisadores que compartilham informações sobre ameaças. Criamos uma tecnologia que evita ataques nos principais locais táticos e estratégicos em que os criminosos cibernéticos precisam agir para serem bem-sucedidos, e atualizamos nossa base global de clientes com as proteções mais recentes em apenas cinco minutos. Por uma questão de escopo, geramos mais de um milhão de novas medidas preventivas a cada semana, à medida que identificamos ameaças virtuais novas ou de “dia zero”. Com a nossa plataforma, as organizações podem habilitar com segurança o uso de todos os aplicativos essenciais para a execução de seus negócios, buscar com confiança novas iniciativas tecnológicas e proteger a organização contra ataques virtuais básicos e complicados e multifacetados. Para os CISOs que desejam afirmar que levaram em conta a técnica atual, a Palo Alto Networks deve fazer parte dos elementos de segurança considerados.
Prevenção de violação de dados
A prevenção de violação de dados, seja em decorrência de hackers ou de vazamento acidental, é fundamental para a conformidade com o GDPR. A segurança cibernética adequada é essencial para garantir que os dados e aplicativos pessoais e críticos para os negócios da sua organização permaneçam protegidos.
Nossa plataforma permite quatro técnicas principais de prevenção relevantes para a segurança de dados, contribuindo simultaneamente para a conformidade com o GDPR.
- Visibilidade total. Nossa plataforma oferece visibilidade de todo o tráfego – na rede, no endpoint e na nuvem – classificado por aplicativo, usuário e conteúdo. Você não pode parar ou se proteger contra o que não consegue ver. A visibilidade total fornece o contexto para aplicar uma política de segurança dinâmica.
- Reduzir a superfície de ataque. A superfície de ataque está se expandindo rapidamente à medida que o uso de aplicativos e dispositivos pelas empresas (por exemplo, SaaS, nuvem e IoT) se prolifera. Quanto mais vias disponíveis para se infiltrar em uma organização, mais oportunidades um adversário cibernético terá de exfiltrar dados pessoais. Aplicamos um modelo de segurança positivo, reduzindo a superfície de ataque ao habilitar apenas os aplicativos permitidos para os usuários certos e negar todo o resto.
- Previna contra ameaças conhecidas. Muitas violações de dados são provenientes de ameaças conhecidas, como cavalos de Troia para roubo de informações de commodities, malware e explorações de aplicativos. No perímetro, nossa plataforma controla os próprios vetores de ameaças através do gerenciamento granular de todos os tipos de aplicativos. Isso reduz imediatamente a superfície de ataque da rede, após o que todo o tráfego permitido é analisado em busca de explorações, malware, URLs maliciosos e arquivos ou conteúdos perigosos ou restritos. No endpoint, a Palo Alto Networks combina a inteligência contra ameaças de nossa comunidade global de clientes com nossa exclusiva abordagem de prevenção de vários métodos para bloquear malware e explorações conhecidos antes que eles possam comprometer os endpoints.
- Evite ameaças desconhecidas. Nossa plataforma vai além do bloqueio de ameaças conhecidas para identificar e bloquear de forma proativa malware e explorações desconhecidos, que são frequentemente usados em ataques sofisticados e direcionados. Quando um novo malware ou exploração é visto, o serviço de análise de ameaças baseado na nuvem do WildFire® cria e compartilha automaticamente um novo controle para os seus dispositivos de prevenção, como firewalls de última geração e a proteção avançada de endpoints Traps™, em apenas cinco minutos e sem intervenção humana. Além disso, o Traps implementa uma abordagem exclusiva de vários métodos para bloquear as principais técnicas usadas por explorações de dia zero e identificar e impedir que malwares desconhecidos comprometam os endpoints.
Para aliviar ainda mais a transferência dos dados e as preocupações com a privacidade, o WildFire EU, uma implantação de nuvem localizada, está disponível para analisar dados sem nunca transferi-los das fronteiras regionais.
Essas técnicas de prevenção são alimentadas pelo WildFire, o mecanismo de análise e prevenção mais avançado do setor para malware e explorações de dia zero altamente evasivos. O serviço em nuvem emprega uma abordagem composta por várias técnicas que combinam análise dinâmica e estática, técnicas inovadoras de aprendizado de máquina e um ambiente revolucionário de análise a partir do zero para detectar e prevenir até as ameaças mais evasivas. O WildFire vai além das abordagens antigas usadas para detectar ameaças desconhecidas, reunindo os benefícios de quatro técnicas independentes para uma descoberta de alta fidelidade e resistente a evasões:
- Análise dinâmica: Observa arquivos enquanto são ativados em um ambiente virtual projetado sob medida, resistente a evasões, possibilitando a detecção de malware e explorações de dia zero usando centenas de características comportamentais.
- Análise estática: Detecta de forma eficaz malware e explorações que buscam evitar a análise dinâmica, e também identifica instantaneamente variantes de malware já existente.
- Aprendizado de máquina: Extrai milhares de recursos exclusivos de cada arquivo, treinando um classificador preditivo de aprendizado de máquina para identificar novos malwares e explorações de uma forma que não seria possível apenas com análise estática ou dinâmica.
- Análise a partir do zero: Envia automaticamente ameaças evasivas para um ambiente de hardware real para detonação, eliminando totalmente a capacidade do adversário de implantar técnicas de análise anti-VM (máquinas virtuais).
Juntas, essas técnicas permitem que o WildFire descubra e evite malware e explorações desconhecidos com alta eficácia e quase zero de falsos positivos.
Gerenciamento centralizado dos processos de segurança
O GDPR se aplica a qualquer organização que processe dados pessoais de residentes da UE, independentemente da localização física da organização. Para muitas organizações grandes ou multinacionais, o processamento de dados pessoais pode ocorrer em vários locais, e todos devem estar em conformidade. O gerenciamento de segurança de rede Panorama™ capacita as organizações com a criação e o gerenciamento de políticas consolidadas e fáceis de implementar de nossos firewalls de última geração. Com o Panorama, você pode implementar políticas centralizadas e regionais e delegar facilmente a administradores regionais, conforme necessário ou preferido. A chave é a flexibilidade para implementar políticas de acordo com as necessidades comerciais e leis regionais específicas. Por exemplo, um administrador do Panorama pode aplicar políticas de segurança para firewalls localizados em uma filial em Cingapura ou no Brasil, mesmo que os administradores regionais nesses locais não estejam cientes da necessidade de conformidade para proteger os dados sujeitos ao GDPR.
Prevenção de exfiltração ou vazamento de dados
As violações de dados podem ser provenientes de exfiltração ou vazamento de dados, e nossa plataforma pode contribuir para evitar os dois.
Com a nossa plataforma de segurança de última geração, cada estágio crítico do ciclo de vida do ataque é atendido com um modelo de defesa para evitar a exfiltração de dados – desde a tentativa inicial do invasor de violar o perímetro, passando pelo fornecimento de malware ou pela exploração do endpoint, até a movimentação lateral pela rede, até que o invasor atinja o alvo principal e tente exfiltrar dados pessoais e confidenciais.
Para manter a conformidade com o GDPR, é extremamente importante evitar o vazamento/compartilhamento acidental de dados em suas comunidades de usuários internos e parceiros em toda a infraestrutura. Os usuários finais estão entre os riscos mais comuns, principalmente quando usam aplicativos SaaS. Muitas vezes, sem treinamento e sem consciência dos riscos que trazem, suas ações podem resultar em vazamentos acidentais de dados pessoais. Nossa plataforma de segurança impede a exfiltração e o vazamento de dados de várias maneiras:
- Segurança na rede. Para proteger os dados na sua organização, os perfis de filtragem de dados incorporados no firewall de última geração ajudam a evitar o vazamento acidental de dados – na camada de rede. Os administradores do sistema podem aplicar políticas para inspecionar e controlar o conteúdo que atravessa a rede para ajudar a limitar a transferência não autorizada de dados confidenciais, como números de cartão de crédito.
- Segurança no SaaS. As organizações precisam controlar o acesso aos aplicativos SaaS, aplicar controles de políticas sobre o compartilhamento de informações e impedir o vazamento de dados.
- As organizações que operam na Europa podem escolher o centro de dados regional de SaaS Prisma™ baseado na UE para atender às suas preferências de localização de dados.
◦ Esses recursos são fornecidos por nossa plataforma usando o firewall de última geração (por exemplo, tecnologias User-ID™, App-ID™ e Content-ID™) e o serviço de segurança Prisma™ SaaS. O firewall de última geração analisa todo o tráfego da sua rede para os aplicativos SaaS e vice-versa. No entanto, determinadas atividades baseadas na nuvem podem ser invisíveis para os serviços de segurança em linha, como permissões de compartilhamento de dados ou acesso a dados baseados na nuvem de fora da rede (sem VPN). Nesse caso, o Prisma SaaS complementa o firewall de última geração, usando SaaS APIs para se conectar diretamente aos próprios aplicativos SaaS. Isso permite ver tudo o que os usuários carregaram ou compartilharam. Com o Prisma SaaS, os usuários podem visualizar e monitorar os uploads de arquivos em todos os ativos dos aplicativos SaaS corporativos, como Box, Microsoft® Office, Dropbox®, Salesforce®, Secure Data Space e outros. As políticas podem ser aplicadas para monitorar e impor o uso responsável dos ativos (inclusive dados pessoais) e proteger contra vazamentos acidentais de dados causados por erros humanos, como compartilhamento irrestrito ou inadvertido, e compartilhamento de conteúdo usando links que podem ser expostos à Internet. Se uma violação de política for detectada, será gerado um alerta. Se configurado, o Prisma SaaS toma medidas automáticas para corrigir o risco.
- Segurança no endpoint. A proteção avançada de endpoints do Traps emprega uma abordagem de vários métodos para bloquear preventivamente ameaças conhecidas e desconhecidas, inclusive explorações de dia zero e malware desconhecido, para que não comprometam os endpoints.
- Como evitar o roubo de credenciais. As credenciais roubadas são um vetor de ameaça comum para violações de dados, pois é relativamente simples roubar uma senha e obter o nível de acesso desejado.
◦ Nossa plataforma oferece os recursos para interromper ataques que usam credenciais em todo o ciclo de vida do ataque.
Muitas vezes, os invasores usam tentativas de phishing de credenciais, enviadas por e-mail ou mídia social, para induzir os usuários a enviar credenciais corporativas de forma fraudulenta. Nossa plataforma interrompe o vazamento de credenciais, impedindo que os usuários enviem credenciais para sites desconhecidos e não autorizados. Como as credenciais roubadas são normalmente usadas para acessar sistemas críticos dentro da organização, também estabelecemos proteções contra o movimento lateral, aplicando políticas de autenticação multifator (MFA) que regulam o acesso a esses aplicativos críticos onde estão contidos dados confidenciais.
Além disso, o AutoFocus™, nosso serviço de inteligência contextual contra ameaças, pode processar fontes de inteligência contra ameaças de terceiros e transformá-las em prevenção em nossa plataforma de segurança através do aplicativo MineMeld™. Depois que os indicadores de comprometimento são coletados, o MineMeld pode filtrar, desduplicar e consolidar metadados em todas as fontes, permitindo que as equipes de segurança analisem um conjunto de dados mais acionável, enriquecido a partir de várias fontes, para facilitar a aplicação.
Notificação de violação de dados
Na lamentável eventualidade de uma violação de dados, ela deverá ser relatada.
No caso lamentável de uma violação de dados pessoais, o GDPR exige a notificação às autoridades de supervisão, a menos que seja improvável que o evento cause risco aos direitos ou à liberdade dos indivíduos. A notificação deve incluir uma série de informações, inclusive quais dados foram afetados e quais medidas foram tomadas.
No caso de uma violação, nossa plataforma pode ajudar a manter a conformidade com esse requisito do GDPR. Por exemplo, o AutoFocus fornece os detalhes analíticos necessários para a correção, ajudando a entender quem era o usuário, qual era a ameaça, o impacto e o nível de risco. Tudo isso pode ajudar com os requisitos da notificação.
Além disso, o firewall de última geração pode ser usado para orientar os usuários através de páginas de notificação personalizadas. Os administradores do sistema podem adicionar a mensagem educacional desejada às páginas de notificação para que, sempre que um vazamento acidental de dados for evitado, o usuário final receba essa mensagem. Por exemplo, a mensagem pode incluir
um link para as políticas de dados corporativos e as melhores práticas. Isso ajuda na prevenção geral, bem como nos esforços de orientação que dão suporte à notificação.
- Artigo 4 (1) do GDPR: ““Dados pessoais” significa qualquer informação relacionada a um indivíduo específico identificado ou identificável (“pessoa envolvida”); um indivíduo específico identificável é aquele que pode ser identificado, de forma direta ou indireta, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador on-line ou por um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social desse indivíduo específico.”
