A Comissão Nacional de Proteção de Dados (CNPD) definiu recentemente, mediante a Diretriz n.º 1/2023, de 10.01.2023, as medidas organizativas e técnicas de segurança aplicáveis aos tratamentos de dados pessoais. Segundo a CNPD, a maior parte dos ataques podiam ter sido evitados ou, pelo menos, ter as suas consequências substancialmente reduzidas. As medidas técnicas e organizativas devem ser adotadas para garantir a segurança adequada dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental. O responsável pelo tratamento deve avaliar e aplicar as medidas técnicas e organizativas necessárias para conferir ao tratamento dos dados pessoais um nível de segurança adequado ao risco, incluindo a capacidade para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência dos sistemas e serviços de tratamento. Consoante o que for adequado às características e sensibilidade de cada tratamento de dados pessoais efetuado e às especificidades da concreta organização, devem ser consideradas as seguintes medidas de segurança:
Medidas organizativas
- definir e exercitar regularmente o plano de resposta a incidentes e recuperação do desastre, prevendo os mecanismos necessários para garantir a segurança da informação e a resiliência dos sistemas e serviços, bem como assegurar que a disponibilidade dos dados é restabelecida atempadamente após um incidente;
- classificar a informação de acordo com o nível de confidencialidade e sensibilidade e adotar as medidas organizativas e técnicas adequadas à classificação;
- documentar as políticas de segurança;
- adotar procedimentos de análise para a monitorização dos fluxos de tráfego na rede;
- definir políticas de gestão de palavras-passe seguras, impondo requisitos para o tamanho, a composição, o armazenamento e a frequência com que uma palavra-passe precisa de ser alterada;
- criar uma política de gestão de ciclo de vida dos utilizadores, para garantir que cada trabalhador tem acesso apenas aos dados necessários para executar as suas funções e rever com frequência as permissões dos vários perfis de utilizadores, se possível, bem como a desativação/revogação de perfis inativos;
- adotar alarmística que permita identificar situações de acesso, tentativas ou utilização indevida;
- verificar se as medidas de segurança definidas estão em prática, garantindo que são eficazes e atualizando-as regularmente, especialmente quando o processamento ou as circunstâncias se alteram, incluindo as que são implementadas pelos subcontratantes nos tratamentos de dados;
- documentar e corrigir as vulnerabilidades de segurança detetadas sem demora;
- tomar as medidas necessárias para garantir o RGPD no que respeita ao desenvolvimento de uma política interna para lidar e documentar eventuais violações de dados pessoais;
- fomentar junto dos colaboradores uma cultura de privacidade e segurança da informação, para que cada colaborador esteja capacitado para reconhecer potenciais ameaças e agir em conformidade, e como forma de reduzir a ocorrência e o impacto do erro humano;
- dar a conhecer aos trabalhadores o dever de confidencialidade a que estão sujeitos pelo facto de tratarem dados pessoais;
- avaliar periodicamente as medidas de segurança, técnicas e organizativas, internas e proceder à sua atualização e revisão sempre que necessário;
- definir, numa fase inicial, as melhores práticas de segurança de informação a adotar, quer em fase de desenvolvimento de software, quer em fase de testes de aceitação, considerando em particular:
– os princípios de proteção de dados desde a conceção e por defeito, análises de risco do tratamento e do ciclo de vida dos dados, métodos de pseudonimização e anonimização dos dados, mesmo quando o sistema seja desenvolvido e mantido por subcontratante;
– realizar auditorias de segurança de TI e avaliações de vulnerabilidade (testes de penetração) sistemáticos, para que os utilizadores possam ter conhecimento das próprias fragilidades e para que as organizações consigam monitorizar os alvos mais frágeis e invistam em formação com conteúdo específico e direcionado, de acordo com as vulnerabilidades detetadas.
Medidas técnicas
Autenticação
- usar credenciais fortes com palavras-passe longas (pelo menos 12 caracteres), únicas, complexas e com números, símbolos, letras maiúsculas e minúsculas, alterando-as com frequência;
- equacionar a aplicação de autenticação multifator, designadamente face à sensibilidade da informação, aos privilégios dos utilizadores ou à forma de acesso (por exemplo, remota);
Infraestrutura e sistemas
- garantir que os sistemas operativos de servidores e terminais se encontram atualizados, bem como todas as aplicações (por exemplo, browser e plugins);
- manter atualizado o firmware dos equipamentos de rede;
- desenhar e organizar os sistemas e a infraestrutura por forma a segmentar ou isolar os sistemas e as redes de dados para prevenir a propagação de malware dentro da organização e para sistemas externos;
- robustecer a segurança dos postos de trabalho e servidores, nomeadamente:
– bloquear o acesso a sítios que sejam suscetíveis de constituir um risco para a segurança;
– bloquear os redireccionamentos suspeitos através de motores de busca;
– bloquear de imediato os ficheiros e aplicações infetadas com malware;
– realizar inspeção periódica do estado e utilização dos recursos do sistema;
– monitorizar a utilização do software instalado;
– ativar e conservar os registos de auditoria (log);
– validar os acessos por IP aos servidores que estão expostos ao público;
– alterar o porto configurado por omissão para o protocolo de acessos remotos (RDP).
Ferramenta de correio eletrónico
- definir de forma clara e inequívoca políticas e procedimentos internos sobre o específico envio de mensagens de correio eletrónico contendo dados pessoais, que introduzam as verificações adicionais necessárias, no sentido de:
– garantir a inserção dos endereços de correio eletrónico dos destinatários no campo ‘Bcc:’, nos casos de múltiplos destinatários;
– prevenir erros na introdução manual de endereços de correio eletrónico;
– assegurar que os ficheiros enviados em anexo contêm apenas os dados pessoais que se pretendem comunicar;
- equacionar a criação de listas de distribuição ou grupos de contacto, com o objetivo de prevenir a divulgação dos endereços dos destinatários em operações de envio massivo de mensagens de correio eletrónico;
- equacionar a criação de regras com o objetivo de adiar/atrasar a entrega de mensagens de correio eletrónico contendo dados pessoais, mantendo-as na ‘Caixa de Saída’ por um tempo determinado, permitindo verificações de conformidade, após clique em ‘Enviar’;
- encriptar com código, ao qual só o destinatário tenha acesso, os emails e/ou anexos enviados que contenham dados pessoais;
- confirmar com o destinatário, antes de envio de e-mail contendo dados pessoais, o endereço de e-mail preferencial para contacto;
- realizar ações de formação no sentido de capacitar os trabalhadores a operar os mecanismos de envio de mensagens de correio eletrónico de acordo com os procedimentos definidos, sensibilizando-os para os erros mais comuns, potencialmente suscetíveis de originar violações de dados pessoais e incentivando-os à dupla verificação;
- reforçar o sistema de alerta da ferramenta de alarmística utilizada pela entidade, para assegurar visibilidade imediata sobre a criação por utilizadores de regras de encaminhamento automático de e-mails para contas externas;
- reforçar o sistema com ferramentas antiphishing e antispam, que permitam bloquear ligações e/ou anexos com código malicioso;
- adotar controlos de segurança que permitam classificar e proteger as mensagens de correio eletrónico sensíveis.
Proteção contra malware
- utilizar encriptação segura especialmente no caso de credenciais de acesso, de dados especiais, de dados de natureza altamente pessoal ou de dados financeiros (em geral, dados pessoais relacionados com condenações penais e infrações ou com dimensões da vida privada e familiar);
- criar um sistema de cópias de segurança (backup) atualizado, seguro e testado, totalmente separado das bases de dados principais e sem acessibilidade externa;
- reforçar o sistema com ferramentas antimalware que inclua a capacidade de o verificar e detetar, bem como o bloqueio em tempo real de ameaças do tipo ransomware.
Utilização de equipamentos em ambiente externo
- amazenar dados em sistemas internos, protegidos com medidas de segurança apropriadas, e acessíveis remotamente através mecanismos de acesso seguro (VPN);
- permitir acessos apenas por VPN;
- bloquear as contas após várias tentativas inválidas de login;
- ativar a autenticação multifator para os utilizadores dos equipamentos;
- aplicar cifragem dos dados no sistema operativo;
- sempre que for aplicável, ativar a funcionalidade de “remote wipe” e “find my device”;
- efetuar cópias de segurança automáticas das pastas de trabalho, quando o equipamento se encontra ligado à rede da entidade;
- definir regras claras e adequadas para a utilização de equipamentos em ambiente externo.
Armazenamento de documentos em papel que contenham dados pessoais
- usar papel e impressão que seja durável;
- conservar documentação em local com controlo de humidade e temperatura;
- armazenar, devidamente organizados, os documentos que contêm dados pessoais sensíveis em local fechado, resistente ao fogo e inundação;
- controlar os acessos, com registo das respetivas data e hora, de quem acede e do(s) específico(s) documento(s) acedido(s).
- destruir os documentos através de equipamento específico que garanta a destruição “segura”;
Transporte de informação que integre dados pessoais
- adotar medidas para impedir que, no transporte de informação com dados pessoais, estes possam ser lidos, copiados, alterados ou eliminados de forma não autorizada;
- utilizar encriptação segura no transporte, em dispositivos de massa ou arquivo potencialmente permanente (CD/DVD/PEN USB).