You are currently viewing A importância da Segurança da Informação nas jornadas de adequação à LGPD

A importância da Segurança da Informação nas jornadas de adequação à LGPD

As mais recentes tecnologias e processos de transformação digital, como e-commerce, marketing digital  e inteligência artificial, além da disseminação das próprias redes sociais, levaram os países a buscar formas  de regulamentar a relação das empresas com seus cidadãos, garantindo a efetividade de seus negócios,  mas preservando a proteção e a privacidade dos dados pessoais. 

A regulamentação europeia de proteção de dados, GDPR (General Data Protection Regulation), em seu  Art. 24, define que: “o controlador deve implementar medidas técnicas e organizacionais adequadas para  garantir e ser capaz de demonstrar que o processamento (significando tratamento de dados pessoais) é  realizado de acordo com o presente regulamento”. 

Seguindo a mesma linha, a LGPD (Lei Geral de Proteção de Dados – Lei 13.709/2018), em seu Art. 46, prevê que: “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de  destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. 

Dentre os princípios observados na Lei, estão a Segurança e a Prevenção, devidamente consagrados em  seu Art. 6º e ressaltados em várias circunstâncias em artigos subsequentes. 

As empresas em geral, seguindo um padrão histórico, pouco ou nenhum valor deram à segurança de seus  ativos de informação, privilegiando mais as funcionalidades dos seus sistemas e aplicativos que, ao final, viabilizavam o sucesso do negócio. As exceções eram aquelas organizações cujo negócio era fortemente  dependente da segurança, como nas áreas bancária e financeira, ou que precisavam seguir normas  regulatórias, agregando alguns componentes de segurança em seus processos. 

Agora, com o advento da Lei, as empresas precisam estar preparadas para o tratamento adequado dos  dados pessoais, seja de seus clientes, colaboradores ou outras pessoas com as quais mantenham relações  de negócio, e demonstrar esta condição de forma clara e transparente todas as vezes em que forem  solicitadas. 

Os aspectos relacionados à Segurança da Informação e Privacidade de Dados talvez sejam os mais  importantes para as organizações na jornada de adequação à Lei, pelo que representam em  complexidade, custo e tempo de implementação. 

Uma eventual postergação das ações necessárias para a conformidade com a LGPD, mesmo em um  cenário ainda parcialmente afetado pela COVID-19, no qual o foco principal de muitas empresas continua a ser a sobrevivência do negócio, pode resultar em prejuízos financeiros e de imagem para as  organizações. 

Afinal, casos de vazamento de dados e ransomware são registrados diariamente em todo o mundo,  impactando empresas dos mais diferentes portes e áreas de atuação, seja no setor público ou privado. 

Assim, a conformidade com a Lei se torna um elemento fundamental para garantir a segurança jurídica  tanto das empresas quanto dos consumidores, reduzindo o apetite ao risco e agregando valor competitivo  ao negócio.

O tripé Pessoas-Processos-Tecnologia, que respalda o conceito de gerenciamento de processos de  negócio de uma organização, está conectado de modo indelével às medidas de segurança, técnicas e  administrativas expostas na LGPD.  

Partindo do sustentáculo Pessoas, percebe-se que a Capacitação e a Conscientização são fundamentais  para garantir que os colaboradores e terceiros conheçam as políticas e procedimentos de segurança da  informação adotados pela organização e estejam capacitados para lidar com os riscos e ameaças relacionados às suas funções. 

Neste aspecto, é importante criar um programa formal de conscientização e treinamento alinhado com a  Política de Segurança da Informação

A Política, aliás, constitui um dos principais elementos do sustentáculo Processos, no qual se somam as  Normas e Procedimentos que envolvem a implementação de controles de segurança, tais como a gestão  de identidades e acessos, uso de senhas, uso de ativos de TI, proteção contra malware, política de backup  e segurança física e do ambiente, entre outros. 

Para permitir a implantação dos processos de segurança no ambiente corporativo, as empresas fazem uso  de melhores práticas e estratégicas de governança com base em padrões de mercado conhecidos, como  a ISO 27000 (27001, 27002, 27701) e NIST (National Institute of Standards and Technology). 

A realização de um Diagnóstico a partir das melhores práticas, demonstra o grau atual de maturidade em  segurança da informação da empresa, permitindo estruturar e aplicar as medidas necessárias para evoluir  os processos internos até alcançar os níveis mínimos de conformidade. 

O terceiro pilar, Tecnologia, está relacionado ao conjunto de ferramentas que irão viabilizar tanto o  próprio processo de adequação, como a continuidade da estrutura de privacidade pós-adequação, como Data Mapping, Data Discovery e DSAR (atendimento dos direitos dos titulares). 

Além disso, a tecnologia está presente também nas ferramentas de segurança, cuja decisão de  implantação decorre tanto da identificação de não conformidades a partir do diagnóstico, como das  características e necessidades específicas de cada organização. 

Assim, são utilizados recursos como Firewall, DLP (Data Loss Prevention), SIEM (Security Information and  Event Management), WAF (Web Application Firewall), VPN (Virtual Private Network) e o uso de  criptografia, entre outras, para ampliar o nível de segurança frente às ameaças digitais. 

Conforme o exposto, fica suficientemente demonstrada a importância que representam os processos de  Segurança da Informação e Privacidade de Dados na jornada de adequação à LGPD, em termos de  COMPLEXIDADE, CUSTO e TEMPO DE IMPLEMENTAÇÃO. 

Concluindo, não seria arriscado dizer que o esforço (em horas) para a realização de um assessment de  LGPD e, especialmente, a implementação do plano de ação dele decorrente, contando eventualmente  com a expertise de uma consultoria, representaria cerca de 80% do tempo total do projeto em atividades ligadas à Segurança da Informação e TI, dependendo, é claro, do porte da empresa, da natureza dos dados  pessoais e do volume de operações de tratamento.

Por Carlos Roberto Hiltl Swoboda – Consultor em Segurança da Informação

Deixe um comentário