Avançar para o conteúdo
Recomendacoes da CNPD_Parte3_Diretris012023_MedTecOrg

Recomendações da CNPD relativa a medidas organizativas e de segurança – 3ª parte 

A CNPD emitiu orientações para as organizações sobre medidas de segurança que devem ser adotadas para minimizar as consequências para os direitos das pessoas quando há ataques a sistemas de informação.

Neste sentido, a CNPD aprovou a Diretriz/2023/1, de 10 de janeiro, sobre medidas organizativas e de segurança destinadas aos responsáveis pelos tratamentos e aos subcontratantes, pretendendo sensibilizá-los para as suas obrigações legais no domínio da segurança dos tratamentos e para a necessidade de realizarem um maior investimento nesta área.

Tendo em conta os crescentes ataques a sistemas de informação, verificados no último ano, que afetaram na sua grande maioria dados pessoais. Estes incidentes de segurança revelaram que se as organizações estivessem dotadas de medidas de segurança adequadas, os riscos teriam sido menores e o impacto nos direitos dos titulares dos dados mais reduzidos.

A CNPD elencou, então um conjunto de medidas organizativas e de medidas técnicas que devem ser consideradas pelas organizações nos seus planos de prevenção e de minimização dos riscos.

Como tal a equipa da MyDataPrivacy, vai proceder à publicação das respetivas recomendações, em seis partes, continuamos com estas publicações acerca das informações referidas na diretriz acerca das Medidas técnicas e organizativas a adotar pelo responsável pelo tratamento e pelo subcontratante:

Técnicas
Autenticação
  • Utilizar credenciais fortes com palavras-passe longas (pelo menos 12 caracteres), únicas, complexas e com números, símbolos, letras maiúsculas e minúsculas, alterando-as com frequência;
  • Equacionar, designadamente face à sensibilidade da informação, aos privilégios dos utilizadores ou à forma de acesso (v.g. remota), a aplicação de autenticação multifator;
Infraestrutura e sistemas
  • Garantir que os sistemas operativos de servidores e terminais se encontram atualizados, bem como todas as aplicações (por exemplo, browser e plugins);
  • Manter atualizado o firmware dos equipamentos de rede;
  • Desenhar e organizar os sistemas e a infraestrutura por forma a segmentar ou isolar os sistemas e as redes de dados para prevenir a propagação de malware dentro da organização e para sistemas externos;
  • Robustecer a segurança dos postos de trabalho e servidores, nomeadamente:

– bloquear o acesso a sítios que sejam suscetíveis de constituir um risco para a segurança;

-bloquear os redireccionamentos suspeitos através de motores de busca;

-bloquear de imediato os ficheiros e aplicações infetadas com malware;

-realizar inspeção periódica do estado e utilização dos recursos do sistema;

-monitorizar a utilização do software instalado;

-ativar e conservar os registos de auditoria (log);

-validar os acessos por IP aos servidores que estão expostos ao público;

-alterar o porto configurado por omissão para o protocolo de acessos remotos (RDP).

Para mais detalhe em relação a termos relacionados com o RGPD click aqui e contate-nos.

Iremos continuar a proceder à publicação de artigos sobre a temática das medidas técnicas e organizativas.

Está disponível uma oferta complementar de E-Learning para “Implementação e Gestão do RGPD” criada por Especialistas em Privacidade certificados pelo IAPP e com dezenas de implementações realizadas. Este curso combinam a elevada qualidade com um preço extremamente competitivo (a partir de 250€ por pessoa ao seu ritmo ) que pode consultar em https://mydataprivacy.eu/formacao-rgpd-curso-completo-de-implementacao-e-gestao/ e Para consultar mais informação sobre a privacidade e RGPD, aceda ao nosso blog Blog MyDataPrivacy sobre Proteção de Dados (RGPD)

error: Content is protected !!