• No results found

mars Nr. 356 2010

In document N ORSK L OVTIDEND (sider 39-51)

Existem várias abordagens possíveis para implementar soluções de pseudonimização de dados existentes em registos de eventos. À partida, existem dois cenários básicos que nos vêm à ideia. No primeiro, a pseudonimização é feita pelo sistema operativo ou pelas aplicações, na fase de geração de logs. No segundo, a pseudonimização é feita na fase de agregação.

A pseudonimização dos logs, no entanto, pode ser feita em qualquer uma das fases da infraestrutura da gestão de logs: geração, análise, armazenamento e apresentação.

A fase de análise incluí vários processos sequenciais: ▪ Parsing – Tradução do formato das mensagens;

▪ Agregação – Consolidação de entradas semelhantes numa única entrada que contém um campo com número de ocorrências de um dado evento;

▪ Transformação – Transformação de dados através da utilização de filtros;

▪ Indexação – Criação de índices com as palavras contidas nos registos para facilitar o processo de pesquisa.

4.2.1. Pseudonimização na fase de Geração dos Registos

A primeira possibilidade para implementação de um sistema de pseudonimização consiste em pseudonimizar os dados pessoais na fase de geração os logs. Assim, as entradas que são acrescentadas aos ficheiros de registo de eventos já contêm, à partida, os dados pessoais pseudonimizados. Esse processo pode ser feito diretamente pelo sistema operativo ou pelas aplicações, ou através de plugins que são instalados para o efeito (Figura 4.4).

Figura 4.4 – Pseudonimização na fase de geração dos registos.

Toda a infraestrutura de gestão de logs trabalha com os registos que foram pseudonimizados no momento em que foram gerados, pelo que não é necessário tomar medidas adicionais ao nível da pseudonimização para garantir a conformidade com o regulamento.

Ao serem tratados numa fase inicial do processo, os dados pessoais ficam desde logo salvaguardados e não ficam expostos nas fases de transporte, análise, armazenamento e apresentação.

Utilizador Registo Indexação Armazenamento Apresentação

Como a pseudonimização é feita pela aplicação ou pelo sistema operativo, a responsabilidade pela pseudonimização dos dados pessoais é do proprietário da informação, libertando o gestor da infraestrutura de gestão dessa responsabilidade. O problema de garantir a privacidade dos dados pessoais armazenados também está desde logo resolvido.

A grande desvantagem deste método é que para cada aplicação, fonte ou método de geração de logs, é necessário desenvolver uma solução específica. Se a aplicação ou o serviço não integrarem uma componente de pseudonimização de dados pessoais, os registos gerados não poderão ser ingeridos na infraestrutura de gestão, ou terão de ser tratados à parte através de um método alternativo, como qualquer um dos métodos seguintes.

4.2.2. Pseudonimização na fase de Ingestão dos Registos

Após a geração dos logs e respetivo armazenamento em ficheiros de registo, é possível pseudonimizar os dados neles contidos antes que estes sejam disponibilizados ao sistema de gestão (Figura 4.5).

Figura 4.5 – Pseudonimização na fase de ingestão dos registos.

A pseudonimização pode ser feita através de um módulo integrado num dos agentes responsáveis pela transmissão da informação entre o host e o servidor de gestão de logs, à saída dos clientes ou à entrada do servidor.

Se o processo for feito no lado do servidor, apenas terá de ser desenvolvido um módulo no agente do servidor.

Se o processo for feito à saída dos clientes, terão de ser desenvolvidos módulos para cada agente cliente. No entanto, isto resulta numa distribuição do processamento pelas várias máquinas, tornando o processo mais eficiente.

Aplicação Utilizador

Apresentação Armazenamento

A pseudonimização também pode ser feita no lado do servidor, através de um módulo de pseudonimização entre o agente e o serviço de gestão de logs. Como o módulo de pseudonimização é independente das fontes que geram os logs e do sistema de gestão, existe uma grande flexibilidade nos requisitos inerentes ao seu desenvolvimento, podendo ser utilizados quaisquer métodos de cifragem ou resumo.

A desvantagem deste método reside na necessidade de se desenvolverem e configurarem módulos capazes de processar os diversos tipos de entradas. Cada módulo terá de ser configurado para interpretar os dados dos diversos tipos de documentos de entrada, identificar os campos com dados pessoais e proceder à respetiva pseudonimização.

4.2.3. Pseudonimização de Registos usando Duplicação de Índices

Um método simples de abordar o problema da pseudonimização consiste em duplicar os dados na fase de indexação (Figura 4.6).

Um dos índices contém os valores identificativos originais, os quais são cifrados e armazenados de forma segura num repositório apropriado, para permitir uma eventual consulta por pessoal devidamente credenciado e autorizado.

O segundo índice é idêntico ao primeiro, com a exceção dos dados identificativos que são pseudonimizados através de funções de resumo.

Este método envolve as fases ingestão, indexação e armazenamento, uma vez que a duplicação é feita na ingestão e a indexação é feita sobre os documentos originais e sobre os que contêm os dados pseudonimizados. Os índices são, por sua vez, armazenados em repositórios distintos.

Aplicação Utilizador

Para garantir a privacidade e a confidencialidade dos dados, o repositório com os valores identificativos deve ser sujeito a medidas de segurança adicionais, através da implementação de mecanismos de cifragem e controlo de acessos.

A duplicação de índices é um método fácil de implementar, manter e utilizar. No entanto, como a informação é duplicada, este método consome recursos adicionais de armazenamento e licenciamento.

4.2.4. Pseudonimização na fase de Apresentação dos Registos

A pseudonimização dos valores identificativos pode ser feita apenas na fase de apresentação dos dados, na interface de monitorização. Os dados identificativos não poderão ser pesquisáveis e a página de resposta do motor de pesquisa é transformada num documento equivalente, mas com os valores identificativos pseudonimizados (Figura 4.7).

Figura 4.7 – Pseudonimização na fase de apresentação dos registos.

A pseudonimização dos dados, feita imediatamente antes da sua apresentação na interface de monitorização, causa necessariamente um atraso considerável no processo de pesquisa. Como a pseudonimização é feita apenas na fase de apresentação, todos os dados identificativos estão armazenados com os valores originais, pelo que o utilizador comum não poderá ter acesso direto à base de dados. O acesso apenas poderá ser feito através de uma interface pré-definida (dashboard), ou utilizando um perfil com permissões de pesquisa e visualização limitadas.

Aplicação Utilizador

In document N ORSK L OVTIDEND (sider 39-51)