Como a segurança da informação é afetada pela nova Lei Geral de Proteção de Dados
A lei traz regras sobre coleta e tratamento de dados pessoais e sensíveis. Confira como a segurança da informação é afetava.
Você já parou para pensar em como a segurança da informação é afetada pela LGPD? É sobre esse assunto que falaremos neste artigo. Siga a leitura e confira!
A relação entre segurança da informação e LGPD
A relação entre segurança da informação e LGPD diz respeito à privacidade e à proteção de dados pessoais. A lei traz muitos benefícios para a empresa quanto à prática de segurança por prever a utilização de medidas administrativas e técnicas que aprimoram a cibersegurança.
Pode-se dizer que muitos pontos da Lei Geral de Proteção de Dados já se constituem como boas práticas na segurança da informação. Uma dinâmica fundamental de TI, por exemplo, é a garantia de prevenção à fraude, o que assegura a integridade dos dados. Esta prática está prevista na LGPD.
Em resumo, falar de segurança da informação e LGPD é, além de falar de tecnologias e melhores práticas técnicas, abordar o universo de governança, riscos e compliance. Isso possibilita entender criptografia de informações, controle de acessos, criação de camadas de segurança, análises e testes, habilitação de autenticação. Todas essas práticas, já presentes no dia a dia empresarial, são reforçadas com a lei.
Não custa lembrar que dados de 2018 apresentados no Global Risk Report, do Fórum Econômico Mundial, apontaram que, até 2023, atingiremos US$ 8 trilhões de custos de crimes cibernéticos contra empresas. A violação à privacidade e o vazamento de dados é a maior ameaça.
Considerando esse contexto, as condutas adequadas à LGPD minimizam o risco de perda financeira e reputação das empresas.
Os impactos da LGDP nas empresas
A adoção de soluções tecnológicas de ponta não garantem a adequação à LGPD. Por este motivo, as empresas precisam compreender os principais impactos da lei em suas atividades para garantir a conformidade.
O primeiro ponto que merece a atenção do gestor de TI é a necessidade de investimento em cibersegurança, de forma a implementar sistemas de proteção efetivos de prevenção, detecção e remediação de vazamento de dados. Isso é fundamental, porque a lei considera a adoção de boas práticas como um critério atenuante para eventuais penalidades.
Outra questão fundamental é a nomeação do Encarregado de Proteção de Dados (DPO – Data Protection Officer), cuja principal atividade será o monitoramento e a disseminação de boas práticas de proteção de dados pessoais dentro da organização e perante os stakeholders. Ele também será a interface com a Autoridade Nacional de Proteção de Dados (ANPD). Por fim, será preciso dar atenção às práticas para garantir a conformidade entre segurança da informação e LGPD.
A conformidade da segurança da informação e LGPD
Uma pesquisa do Serasa Experian, de 2019, apontou que 81% das grandes organizações já estavam conscientes de que haveria impacto sobre os recursos tecnológicos para assegurar a conformidade estabelecida pela LGPD.
No entanto, é preciso, de fato, tomar as medidas direcionadas à segurança digital e cibernética que contemplam pessoas, processos e tecnologia. O ideal é contar com serviços, aplicações e soluções que se fundamentam em segurança da informação e LGPD.
Dados armazenados em infraestrutura local, por exemplo, podem demandar camada de proteção adicional para criptografar arquivos. Por sua vez, estes não podem ser acessados sem autorização, motivo pelo qual será preciso ter uma política de acesso eficiente, com gestão da identidade.
Para dados armazenados em dispositivos móveis, é possível utilizar recursos de gerenciamento que movem a camada de criptografia para os aplicativos e aplicam controles adicionais sobre o compartilhamento. Em qualquer caso, a conformidade com a LGPD deve levar em consideração governança, conformidade documental (adequação jurídica de termos, contratos e políticas de privacidade e de proteção de dados) e conscientização. A governança merece destaque especial.
Governança
A governança de segurança da informação e LGPD inclui a gestão de incidentes e de riscos, o mapa de dados e o DPO.
Uma boa gestão de incidentes inclui um comitê que trata do evento ocorrente, de forma a minimizar seus efeitos para a empresa. Ela também faz uma base de dados dos incidentes ocorridos, de modo a documentar as vulnerabilidades e otimizar a prevenção.
Neste ponto, vale a lembrança de que a LGPD obriga a informação de qualquer incidente que envolva vazamento de dados pessoais à ANPD. A gestão de riscos, por sua vez, é uma das boas práticas de adequação quanto à governança. Por meio dela, o gestor identifica os riscos inerentes, elaborando um mapa de calor dos riscos conforme seu impacto e a probabilidade de ocorrência.
A identificação de riscos e ameaças do ambiente organizacional envolve testes de vulnerabilidades e de invasão, com o objetivo de encontrar ameaças e fragilidades do ambiente tecnológico. A partir da identificação, é feita uma análise da relação entre segurança da informação e LGPD. O que precisa ser ajustado conforme a lei?
Essa prática proporciona ao gestor ter uma previsão de como se pode controlar e mitigar os riscos. Já o Mapa de Dados é uma atividade extensa, pois envolve todas as áreas do negócio. Afinal, todas elas tratam dados pessoais, como é o caso dos dados dos colaboradores, que também são pessoais. Um mero atestado médico para o colaborador, com CID, já traz informação sensível.
Este mapa, então, ajuda o gestor a identificar os processos da empresa que tratam dados pessoais. Eles abrangem desde o atendimento ao cliente pessoa física até o fornecedor e o colaborador. Dessa forma, ajuda a dar visibilidade sobre a forma de tratamento de dados pessoais, bem como as lacunas quanto ao tratamento.
O Encarregado de Dados (DPO), conforme apontamos, fará o monitoramento e a disseminação das práticas de proteção de dados pessoais dentro da organização. Ele será fundamental para a conscientização e a capacitação de gestores e colaboradores.
A relação entre segurança da informação e LGPD é próxima, porque a lei traz a necessidade de se adotar medidas técnicas de segurança e boas práticas de Data Protection. Análise de vulnerabilidades, adequação e automatização de processos, e digitalização de dados é apenas uma abordagem.
Principais passos para se adequar à LGPD
Agora que você já conhece um pouco mais sobre a LGPD, deve estar se questionando sobre o que é necessário para se adequar à nova legislação, não é mesmo? Listamos alguns dos principais passos que devem ser dados para isso. Veja, a seguir!
Identificar riscos e ameaças
O primeiro passo que deve ser dado para se adequar à LGPD é identificar todos os riscos e ameaças aos quais a sua empresa está exposta.
Aqui, vale lembrar, não estamos falando apenas de programas de computador. Documentos impressos também devem receber tratamento especial, para que dados de terceiros não vazem.
Definir DPO
O Data Protection Officer (DPO) é o profissional encarregado por proteger os dados das organizações e seus clientes. Esse profissional pode ter formação na área de Tecnologia ou do Direito e conhecer todos os pormenores da LGPD.
Proteger os dados
Identificados os riscos a que a empresa está exposta e definido o DPO, é preciso buscar meios para proteger todas as informações da organização, seus clientes e fornecedores. Buscar soluções de criptografia e cloud computing com diferentes níveis de acesso, por exemplo, são ações que podem ser executadas.
Melhorar sistemas e processos
Ainda na busca pela proteção dos dados armazenados na sua empresa, deve-se sempre buscar os melhores sistemas e processos.
É sempre interessante para as organizações, contarem com uma consultoria terceirizada que ajude no acompanhamento e execução das avaliações de riscos e mapa de dados. Também é uma boa prática desenvolver uma espécie de manual interno para que todos os colaboradores saibam como proceder para praticar a LGPD, na íntegra em seu dia-a-dia.
Ebook completo sobre "Saiba tudo sobre cibersegurança". Baixe aqui gratuitamente!
Vulnerabilidade
Compreender sobre vulnerabilidade também é relevante para evitar o descumprimento da LGPD. Uma boa prática é contratar uma empresa de outsourcing de TI, especialista em segurança da informação, para que faça uma análise minuciosa do nível de maturidade do seu ambiente de TI. Muitas vezes, como você já está habituado ao seu ambiente, você pode estar esquecendo de analisar alguma vulnerabilidade. Esse olhar externo é importante para evitar falhas de segurança.
Ameaça
Os profissionais que praticam o outsourcing de TI também podem orientar sobre como analisar ameaças que a empresa pode estar exposta.
O uso de bons antivírus, firewalls, VPNs, por exemplo, ajuda a deixar os computadores e redes mais seguras e evitar invasões de hackers, que podem roubar/sequestrar dados e informações valiosas de seus bancos de dados.
Riscos
Os riscos, conforme explicamos, precisam ser mapeados. É importante que o DPO analise todas as atividades que a empresa faz, sem exceção. Somente dessa maneira será possível se precaver e evitar problemas para o seu negócio.
Incidente
Mesmo tomando todas as precauções, é praticamente impossível garantir um ambiente 100% blindado contra invasões. Os incidentes, como vazamento de dados, podem ocorrer e devem ser sempre tratados com muito cuidado e agilidade. É importante ter um bom plano de contingência e ferramentas de Backup e Disaster Recovery para que as informações sejam rapidamente recuperadas, por exemplo.
Danos
Outra questão relevante é sobre os danos que o vazamento de dados pode trazer para quem confiou informações a vocês. Se as informações pessoais ou sigilosas de um cliente virem a público, por exemplo, a sua empresa pode ser multada em até 2% do faturamento total, podendo chegar ao limite de R$ 50 milhões.
Além da multa, a obrigatoriedade da publicização do vazamento traz danos de imagem severos para a sua marca. E ninguém deseja passar por isso. Não é mesmo?
Segurança da informação
Está mais do que claro que a segurança da informação está diretamente relacionada à LGPD. Assim como a análise jurídica e documental, o trabalho de conscientização e engajamento dos colaboradores, é necessário investimento e monitoramento constante dos ambientes e sistemas de TI para garantir que a nova lei seja cumprida à risca, evitando prejuízos à sua empresa.
A Flowti possui um programa completo de adequação à LGPD, que envolve a esfera jurídica, documental e uma análise aprofundada da sua infraestrutura de TI. Conheça mais sobre nossa consultoria LGPD clicando aqui!
