REALIZAÇÃO

Privacy & Security by Design: como implementar

Palestrantes

Leonardo CaríssimiDirectorCyber Security & Privacy Consulting

Background

• Profissional com mais de 20 anos de experiência em Segurança da Informação e Privacidade de Dados;

• Mestre e Bacharel em Ciência da Computação (UFRGS), Leonardo possui MBA em Corporate Finance (IBMEC);

• Certificações: CISSP e ISO 27001

Experiência Profissional

• Líder da prática de Cyber Security & Privacy Consulting, executive responsável pela estratégia de go to market, rollout do portfolio global de Cyber Security para a região e desenvolvimento de negócios

• Executivo responsável pela entrega de projetos, desenvolvimento metodológico para o portfolio de serviços: security consulting, transformation and managed security services.

• Liderança de projetos e iniciativas de segurança da Informação e privacidade em nível executivo, provendo insights a clientes e supervisionando programas, projetos e serviços em diferentes indústrias: Serviços Financeiros, Varejo, Utilities, Digital Government entre outros.

Palestrantes

Pedro CarazatoSr. ManagerCyber Security & Privacy Consulting

Background

• + 15 anos de experiência em Segurança da Informação, Privacidade e Gestão de Riscos & Compliance

• MBA em Gestão da Segurança da Informação e em Gestão da Inovação

• Formado em Engenharia Elétrica e em Gestão e Planejamento de Marketing e Vendas

• Certificações: CobiT® Foundations, Harvard Management Mentor e BS 25999

Experiência Profissional

• Segurança da Informação, Privacidade, Gestão de Continuidade de Negócios, Planejamento Estratégico, Gestão de Riscos e Governança;

• Experiências internacionais na América do Sul, do Norte e África;

• Experiência liderando projetos de consultoria e implementação de Programas de Transformação, Gestão de Riscos e Conformidade;

• Liderança de Projetos de Proteção e Privacidade de Dados, Estratégia de TI e Segurança da Informação;

Palestrantes

Matheus WekedManagerCyber Security & Privacy Consulting

Background

• Gerente da prática de Cyber Security & Privacy Consulting, focado em governança de segurança cibernética e tecnologia da informação.

• Bacharelado em Gestão de Tecnologia da Informação pela Universidade UNIBH.

• ITIL Expert Certified, CISA Certified, ISO27002 Certified, ISO20000 Certified, LeanIT Certified

Experiência Profissional

• Dentre os projetos executados, atuou em temas de governança de TI e segurança da informação, gestão de riscos e controles, auditoria interna de TI, mapeamento de processos, compliance, certificação digital, desenvolvimento e implantação de soluções tecnológicas, adequação a regulamentações de privacidade e proteção de dados (LGPD/GDPR).

• Tem se dedicado a projetos voltados à Privacidade e Proteção de Dados, Gestão de Controles e Riscos, Continuidade de Negócio, Auditoria Interna, Auditoria Externa, Mapeamento de Processos, Governança e Compliance de TI, Identificação de Vulnerabilidades em Sistemas de TI, Análise de Riscos em Ambientes Físicos e Lógicos, Gestão de Acesso, Compliance Regulatório.

REALIZAÇÃO

A CAPGEMINI

América do Norte

América Latina

Europa

Oriente Médio & Africa

Asia-Pacífico

+ 17.000

+7.000

+62.000

+1.500

+105.000

+200,000 funcionários

Receita de €13,2 bilhões

A Capgemini no mundo

Consultoria e Serviços de Tecnologia especializados por indústria

• Serviços Financeiros

Soluções Verticais para:

• Telecomunicações

• Bens de consumo e varejo

• Setor público

• Utilities

• Manufatura

Conheça a nossa cobertura local

5.000 Funcionários

AlphavilleSão Paulo

BrasíliaDistrito Federal

Belo HorizonteMinas Gerais

BlumenauSanta Catarina

CampinasSão Paulo

Rio de JaneiroRio de Janeiro

SalvadorBahia

AraraquaraSão Paulo

Cobertura Nacional9 Unidades

Porto AlegreRio Grande do Sul

Brasil Atuação desde 1991

Líder em Serviços de Privacidade

” A Capgemini posicionou-se como líder no relatório GDPR NEAT da NelsonHall, devido à sua capacidade em reunir a experiencia da Capgemini Consulting, das suas equipes Insights & Data e equipes de Cyber Security.

Por seu número relativamente alto de clientes GDPR, a Capgemini tem demonstrado que o GDPR não é apenas um fardo regulatório, mas uma chance de melhorar a estratégia geral de dados da empresa e aumentar a fidelidade do cliente”.

Mike Smart, Senior IT Services Analyst with NelsonHall

Capgemini recognized as a Leader in GDPR Services by NelsonHall

1º lugar

A Capgemini é reconhecida como líder global para Serviços de Leis de Proteção e Privacidade de Dados

Nossa Expertise

Acelerando a Jornada LGPD

REALIZAÇÃO

Sua vez de se apresentar

REALIZAÇÃO

Em que momento da jornada LGPD sua organização se

encontra?

REALIZAÇÃO

O que é Privacidade?

“PRIVACIDADE é o direito à reserva de informações pessoais e da própria vida pessoal”

Louis D. Brandeis

Jurista norte-americano - primeiro a formular o conceito de direito à privacidade, juntamente com Samuel Warren

Constituição Federal, em seu art. 5º, inciso X, dispõe que:

”são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”

Respeitar a privacidade deixou de ser opcional!

REALIZAÇÃO

Privacy By Design

REALIZAÇÃO

Qual seu nível de conhecimento sobre Privacy

by Design?

Benefícios do Privacy by Design

• Antecipa e evita eventos invasivos de privacidade antes que eles aconteçam;

• Garante que os dados pessoais sejam protegidos automaticamente em qualquer sistema ou prática de negócios;

• Incorpora privacidade ao design e arquitetura dos sistemas de TI e práticas de negócios, se torna um componente essencial da funcionalidade principal que está sendo entregue;

• Acomoda todos os interesses e objetivos legítimos em um princípio de ganha-ganha, dessa maneira, focando no balanceamento entre funcionalidade, segurança e privacidade;

• Garante que todos os dados sejam retidos com segurança e, em seguida, destruídos em tempo hábil e com segurança no final do processo;

• Garante a todas partes interessadas que sistemas ou práticas de negócio operem de acordo com as finalidades e objetivos declarados;

• Exige que os arquitetos e operadores mantenham os interesses do indivíduo acima de tudo, oferecendo fortes padrões de privacidade, notificação apropriada e capacitação.

REALIZAÇÃO

Explorando o conceito

Objetivo do Privacy by Design

“Garantir que os processos e sistemas sejam projetados de modo que a coleta e o processamento (incluindo uso, divulgação, retenção, transmissão e descarte) sejam limitados ao necessário para a finalidade identificada.”

FONTE: ISO/IEC 27701

O que é Privacy by Design

“Os usuários esperam que os serviços sejam seguros e salvaguardem sua privacidade de maneira eficaz. As empresas que levam a sério os problemas de proteção de dados criam confiança. Portanto, medidas fortes de proteção de dados podem ser uma vantagem competitiva”

FONTE: Norwegian Data Protection Authority (DPA)

Os Princípios de Privacy by Design

Os princípios:

• Proativo, não reativo; Prevenir, não remediar;

• Privacidade por padrão;

• Privacidade embutida no design;

• Total funcionalidade;

• Segurança ponta-a-ponta;

• Visibilidade e Transparência;

• Respeito pela privacidade do usuário

Os Princípios de Privacy by Design

Proativo, não reativo; Prevenir, não remediar:

• Identifica, estabelece e cumpre altos padrões de privacidade, levando em consideração leis e regulamentos globais.

• Define um compromisso de privacidade compartilhado por usuários e partes interessadas.

• Antecipa práticas deficientes de privacidade e corrige quaisquer impactos negativos, antes de ocorrerem de forma proativa e sistemática.

Os Princípios de Privacy by Design

Privacidade por padrão:

• Especifica os propósitos para os quais as informações pessoais são coletadas, usadas, retidas e divulgadas;

• Comunica os indivíduo (titular dos dados) antes ou no momento em que as informações são coletadas;

• Limita a coleta de informações ao mínimo necessário;

• Minimiza a coleta de informações e define estruturas para manter sigilo mínimo especificado.

Os Princípios de Privacy by Design

Privacidade embutida no design

• Adota uma abordagem sistêmica para incorporar a privacidade;

• Integra avaliações de impacto e risco na privacidade;

• Identifica os riscos à privacidade e todas as medidas tomadas para mitigá-los, incluindo consideração de alternativas e seleção de métricas.

• Incorpora todas as avaliações e riscos na concepção do sistema ou prática.

Os Princípios de Privacy by Design

Total funcionalidade

• Incorpora privacidade em tecnologias, processos ou sistemas de tal maneira que a funcionalidade não é prejudicada;

• Posiciona a privacidade na concepção e integra os objetivos de uma maneira inovadora (ganha-ganha);

• Os interesses e objetivos são claramente documentados, juntamente com as funções desejadas e as métricas acordadas;

• Aplica soluções que habilitam a multi-funcionalidade.

Os Princípios de Privacy by Design

Segurança ponta-a-ponta

• Auxilia na definição da responsabilidade pela segurança das informações;

• Apresenta uma abordagem para todo o ciclo de vida, de forma consistente;

• Os padrões de segurança aplicados levam em consideração a confidencialidade, a integridade e a disponibilidade;

• O ciclo de vida apresenta diretrizes de destruição segura, criptografia apropriada, e métodos fortes de controle de acesso e registro.

Os Princípios de Privacy by Design

Visibilidade e Transparência

• Apresenta diretrizes sobre a responsabilidade por todas as políticas e procedimentos relacionados à privacidade;

• Documenta e comunicada as partes interessadas sobre a transferência de informações pessoais;

• Avalia terceiros sob a ótica de proteção e privacidade;

• Estabelece mecanismos de reclamação e reparação das informações;

• Comunica os indivíduos sobre os dados e atividades;

• Monitora, avalia e verifica a conformidade com as políticas e procedimentos de privacidade.

Os Princípios de Privacy by Design

Respeito pela privacidade do usuário

• Define diretrizes para a coleta, uso ou divulgação de informações pessoais;

• Define diretrizes para garantir a integridade e exatidão das informações pessoais;

• Define diretrizes sobre o acesso às informações pessoais;

• Define diretrizes sobre como as organizações devem estabelecer mecanismos de reclamação, atualização e comunicação das informações ao público.

REALIZAÇÃO

Qual é o princípio de Privacy by Design mais desafiador?

REALIZAÇÃO

Estudo de Caso

Estudo de Caso

Startup de Mobilidade Urbana

Resumo:Invasão e captura de dados pessoais por hacker devido a vulnerabilidades em API que permitiam chamadas e acesso a dados pessoais de mais de 57 milhões de clientes.

A empresa tentou esconder a invasão das autoridades e ofereceu montante para que os hacker apagassem os dados, que incluíam acesso a carteiras de motoristas, endereços eletrônicos e telefones dos usuários

Acordo Judicial˜ US$150.000.000,00

Estudo de Caso

Empresa de Tecnologia

Resumo:Multa pela ausência de clareza em documentos como a “Política de Privacidade” e “Termos de Uso” de aplicativo disponível na loja de aplicativos, que não estavam disponíveis em língua portuguesa.

A falta de uma versão local dos contratos acabou deixando usuários desinformados sobre o compartilhamento de dados do usuário com outras empresas e para outros países.

"A informação adequada, clara e em língua portuguesa é direito básico”.

Multas +R$ 7.000.000,00

REALIZAÇÃO

O atendimento a qual princípio de Privacy by Design poderia

ter evitado o caso?

REALIZAÇÃO

Implementando Privacy by Design

O Paradigma da Árvore

RamificaçãoRequisitos, Riscos

& Desenho

AmadurecimentoTreinamentos, Testes e

Melhoria Contínua

SustentoGovernança, Política e

Programa de Privacidade & Segurança

EnraizamentoCultura de Privacidade

na Organização

\

Enraizando a cultura de Privacidade

Capacitar a organização sobre os conceitos e princípios de Privacidade e Segurança é fundamental para obter sucesso neste processo, abordando:

Como identificar e analisar requisitos da organização?

Quais riscos e impactos considerar?

Quais ferramentas e métodos devem ser seguidos?

\

Definir uma estrutura sólida que ofereça a sustentação adequada

Programas sólidos de gestão e governança para Privacidade e Segurança da Informação, devem fornecer as diretrizes e bases para a implementação dos princípios de Privacy by Design, definindo:

Diretrizes de Privacidade e Segurança alinhadas à organização

Níveis de tolerância ao Risco

Políticas, ferramentas, padrões e melhores práticas

Organização e accountability

\

Ramificando a Privacidade em processos, projetos, produtos e sistemas

A concepção de novos produtos, processos, sistemas e demais projetos da organização devem basear-se em avaliações de riscos e requisitos de Segurança e Privacidade, incluindo:

Requisitos Internos & Externos

Análises de Segurança e de Privacidade

Privacy by Default

Modelagem de Ameaças

Tratamentos de dados e suas finalidades

\

Amadurecimento ocorre por meio de monitoramento e lições aprendidas

Uma vez operacional, o monitoramento contínuo do ambiente e as lições aprendidas, permitem alimentar o Programa para que novos insights sejam incorporados, a partir de:

Base de conhecimento ampliada

Radar tecnológico & regulatório

Exercícios e testes

Manutenção e melhoria contínua

Resolução de incidentes e probelmas

REALIZAÇÃO

Framework de Implementação

Um ponto de vista sobre a implementação

1. Set-up 2. Planejamento 3. Desenvolvimento 4. Operação

2.1. Treinamento2.1. Treinamento

2.2. Análise de Requisitos2.2. Análise de Requisitos

3.1. Desenho3.1. Desenho

3.2. Desenvolvimento3.2. Desenvolvimento

3.3. Testes3.3. Testes

3.4. Lançamento3.4. Lançamento

1.1. Programa de Privacidade & Proteção de Dados

1.1. Programa de Privacidade & Proteção de Dados

1.2. Programa de Segurança da Informação

1.2. Programa de Segurança da Informação

2.3. Análise de Riscos2.3. Análise de Riscos

4.1. Resposta a Incidentes & Vazamento de Dados

4.1. Resposta a Incidentes & Vazamento de Dados

4.2. Melhoria Contínua e Manutenção

4.2. Melhoria Contínua e Manutenção

PessoasPessoas

ProcessosProcessos

TecnologiaTecnologia

REALIZAÇÃO

Perguntas?

REALIZAÇÃO

Referências

Referências

The Open Web Application Security Project (OWASP) | https://www.owasp.org/index.php/Main_Page

The Norwegian Data Protection Authority (DPA) | https://www.datatilsynet.no/en

NIST: National Institute of Standards and Technology | https://www.nist.gov

IAPP: International Association of Privacy Professionals | https://iapp.org

Privacy by Design - The 7 Foundational Principles | Ann Cavoukian, Ph.D.

Global Privacy & Security by Design | https://gpsbydesign.org

ISO - International Organization for Standardization | https://www.iso.org/home.html (ISO 27.701)

CONTAΩ

Leonardo CaríssimiDirectorCyber Security & Privacy Consulting

Leonardo.carissimi@capgemini.com

Pedro CarazatoSr. ManagerCyber Security & Privacy Consulting

Pedro.carazato@capgemini.com

Matheus WekedManagerCyber Security & Privacy Consulting

Matheus.weked@capgemini.com