Preços
Teste

Modelo de avaliação de risco | RGPD

Neste artigo, obténs um modelo de avaliação de riscos que te ajuda a realizar e a documentar as tuas avaliações de riscos RGPD de uma forma simples e estruturada.

Modelo de avaliação de risco | RGPD

A seguir, vamos ver como podes utilizar o modelo de avaliação de riscos para apoiar a tua conformidade com o RGPD.

Como utilizar o modelo de avaliação de riscos?

Como parte do teu trabalho de conformidade com o RGPD, já deves ter mapeado todas as tuas actividades de tratamento e os activos utilizados para essas actividades. Isto significa que enumeraste onde e como os dados pessoais são tratados e quais os sistemas, software ou ferramentas envolvidos. Este mapeamento é a base da tua conformidade com o RGPD e também da tua avaliação de riscos.

O objetivo de uma avaliação de riscos é determinar se o tratamento de dados pessoais é seguro para as pessoas cujos dados tratas e garantir que a tua organização dispõe de medidas adequadas para as proteger. Para tal, é necessário avaliar os riscos relacionados com cada atividade de tratamento ou ativo.

Vê o modelo em ação no seguinte vídeo.

Que atividade/ativo estás a avaliar?

Começa por selecionar uma atividade de tratamento ou um ativo do teu mapeamento para ser o foco da avaliação de riscos. Neste exemplo, vamos usar um ativo chamado Base de Dados de Clientes, que também está listado na primeira linha do modelo Excel da avaliação de risco. Esta base de dados de clientes contém dados pessoais sobre os clientes, tais como nomes, detalhes de contacto e histórico de compras ou transacções.

Identifica as ameaças

A primeira etapa da avaliação consiste em identificar potenciais ameaças que possam afetar o ativo.

No nosso exemplo, identificamos uma única ameaça: o acesso não autorizado à base de dados de clientes. Esta ameaça pode ter um efeito negativo nos três princípios fundamentais da segurança da informação, a chamada tríade CIA, que significa Confidencialidade, Integridade e Disponibilidade. A confidencialidade refere-se à garantia de que os dados pessoais só são acessíveis a pessoas autorizadas. Se um funcionário interno ou um estranho, sem a devida autorização, obtiver acesso a dados pessoais na base de dados, a confidencialidade é quebrada. Integridade significa que os dados devem permanecer exactos e inalterados, pelo que devemos poder confiar na integridade dos dados. Se um atacante manipular ou apagar registos na base de dados, a integridade perde-se. Disponibilidade significa que os dados têm de estar acessíveis quando são necessários para fins legítimos. Se o sistema for bloqueado, encriptado ou colocado offline, a disponibilidade é afetada. Assim, esta ameaça de “acesso não autorizado à base de dados de clientes” pode afetar os três elementos da tríade CIA.

Identifica as vulnerabilidades

Em seguida, tens de identificar as vulnerabilidades que tornam mais provável a ocorrência desta ameaça. Uma vulnerabilidade é uma fraqueza no teu sistema, processo, comportamento das pessoas ou controlos que podem ser explorados. Neste exemplo, identificamos controlos de acesso fracos como uma vulnerabilidade central. Isto pode significar que nem todos os utilizadores têm logins únicos, que as palavras-passe não são suficientemente fortes ou que os direitos de acesso não são revistos regularmente.

Avaliar o impacto de uma ameaça

Depois de identificar a ameaça e a vulnerabilidade, podes avaliar o impacto e a probabilidade de a ameaça ocorrer. O impacto descreve a gravidade das consequências para os titulares dos dados se a ameaça se concretizar. Se uma pessoa não autorizada acedesse à base de dados de clientes, poderia expor informações pessoais e detalhes financeiros. Isto poderia levar a roubo de identidade, fraude ou outros danos para os titulares dos dados. Por este motivo, classificamos o impacto como elevado.

Avaliar a probabilidade de uma ameaça

A probabilidade descreve a probabilidade de a ameaça poder efetivamente acontecer. Como identificámos controlos de acesso fracos, é realista que possa ocorrer um acesso não autorizado. Por conseguinte, avaliamos a probabilidade como média.

Nível de risco

Agora que temos uma classificação de impacto e de probabilidade, podemos calcular uma pontuação de risco. Para o fazer de uma forma simples, podemos atribuir números a cada nível: baixo equivale a 1, médio equivale a 2 e alto equivale a 3. A pontuação do risco é então calculada multiplicando o impacto pela probabilidade. No nosso exemplo, o impacto é elevado (3) e a probabilidade é média (2), o que resulta numa pontuação de risco de 6.

Esta pontuação numérica permite-te comparar os riscos na tua organização. Por exemplo, podes ver quais os riscos mais críticos e quais os que podem ser geridos com as medidas existentes. Neste caso, uma pontuação de 6 é considerada alta. Isto significa que o risco tem de ser reduzido para atingir um nível aceitável antes de o tratamento poder ser considerado adequadamente protegido.

Medidas de redução dos riscos

Para reduzir o risco, deves analisar os controlos que já tens em vigor e as acções adicionais que podem ser tomadas.

No nosso exemplo, já temos o controlo de acesso baseado em funções implementado, o que significa que apenas os funcionários com funções específicas têm acesso à base de dados de clientes. Isto ajuda a garantir que apenas o pessoal relevante pode ver e gerir os dados dos clientes. No entanto, poderá ser útil rever esta medida, dadas as vulnerabilidades identificadas. Além disso, como o risco ainda é elevado, decidimos adicionar a autenticação multifactor (MFA). A MFA acrescenta um passo adicional ao início de sessão, como um código de verificação num dispositivo móvel, e reduz significativamente a probabilidade de alguém conseguir obter acesso não autorizado.

Implementação de controlos

Todas as acções de redução dos riscos devem ter uma pessoa responsável claramente definida e um prazo de execução. Isto assegura a responsabilização e permite o acompanhamento para confirmar que as medidas foram aplicadas eficazmente. Estes pormenores podem ser facilmente registados diretamente no modelo Excel nas colunas relevantes para “Pessoa Responsável” e “Prazo”.

Atualização

Ao utilizar este modelo de avaliação de riscos, torna o seu processo de conformidade com o RGPD estruturado e transparente. Obtém uma visão geral de todos os riscos identificados, documenta o seu raciocínio e decisões e demonstra que trabalha ativamente para proteger os dados pessoais que trata.

O modelo também facilita a revisão e atualização regular das avaliações de risco. À medida que a sua organização cresce ou as suas actividades de tratamento mudam, pode atualizar a folha, adicionar novos riscos e registar a forma como os riscos existentes foram reduzidos ao longo do tempo. Este processo contínuo ajuda-o a manter uma abordagem consistente à proteção de dados e documenta os seus esforços para reduzir o risco, o que é um requisito para a conformidade com o RGPD.

Descarregar o modelo de avaliação de risco Excel

Transfere o ficheiro Excel com o modelo de avaliação de riscos para começares a utilizá-lo na tua conformidade com o RGPD.

É uma simples folha de Excel onde podes listar as tuas actividades e activos de tratamento, anotar as ameaças e vulnerabilidades relacionadas e registar as tuas pontuações e acções. Ajuda-te a controlar o que precisa de atenção, quem é responsável e quando as coisas devem ser feitas. O modelo é fácil de ajustar à tua própria configuração, para que se possa adaptar à tua organização. Descarrega-o abaixo e experimenta-o.

Descarrega o modelo de avaliação de riscos (.xlsx)

Teste RGPD

Vê se conheces bem o RGPD.

  • Vais responder a 13 perguntas sobre o RGPD.
  • Demora apenas 1-2 minutos.
  • Normalmente, os especialistas respondem corretamente a todas as 13 perguntas.
Iniciar o teste

Teste gratuito

Entraremos em contacto contigo por e-mail o mais rapidamente possível.