Se você está preocupado com a Lei Geral de Proteção de Dados, precisa ler este texto antes de se contentar com a conformidade.
Utilizando a metáfora criada pela analista política Michele Wucker para descrever os perigos “altamente óbvios, altamente prováveis, mas ainda negligenciados”, a LGPD é como um rinoceronte cinza prestes a invadir as organizações brasileiras.
Os motivos para negligenciar a ameaça são muitos: resistência em aceitar as mudanças, minimização dos riscos para a segurança e integridade do negócio, comodismo diante das leis atuais que deixam os dados à deriva e problemas operacionais para implementação.
E claro: uma dificuldade imensa em enxergar a segurança da informação para além da LGPD.
Para muitos, estar em compliance com as novas normas é suficiente, mas será que a LGPD é realmente a panaceia da proteção de dados nas empresas?
Se você também desconfia dessa “solução milagrosa”, ou está achando que a nova lei vai resolver todos os problemas da sua empresa, este texto é para você.
Continue lendo e questione tudo o que você sabe — ou achava que sabia — sobre LGPD e cibersegurança.
Por que a conformidade com a LGPD é essencial, mas não suficiente
Foi dada a largada para uma corrida de conformidade entre as empresas.
Em tempo recorde, elas terão que garantir que os dados de clientes, colaboradores, parceiros sejam protegidos de vazamentos, perdas, destruição, exposição e acesso não autorizado nas empresas, além de tratados mediante consentimento e manipulados sob normas rigorosas.
Para isso, será preciso implementar uma política de segurança, classificar informações, controlar o acesso, realizar testes, ter planos de resposta a incidentes, e várias outras medidas.
Algumas empresas estão recorrendo à ISO 27701, que ficou conhecida como certificação da LGPD, ainda que suas diretrizes não sejam suficientes para garantir o compliance.
Outras estão contratando pacotes “prontos” com softwares e metodologias pouco efetivas, que estão longe de pensar os processos de forma abrangente.
Mas será que adianta ter o “selo LGPD” sem uma cultura de segurança da informação sólida?
É o que vamos entender nos próximos tópicos.
Como o GRC pode agilizar a adequação à LGPD
GRC é a sigla para Governança, Gestão de Risco e Conformidade: uma abordagem 360 que garante o alinhamento do TI com os objetivos do negócio, a mitigação de riscos e o compliance corporativo.
Estes são os três pilares que a estruturam:
» Governança: sistema geral de normas, práticas, padrões e processos de administração da empresa que guia a tomada de decisão, informação de gestão e estruturas de controle
» Gestão de risco: conjunto de estratégias e processos de análise, monitoramento e resposta aos riscos que ameaçam a organização, buscando identificar incertezas e antecipar desafios
» Conformidade ou compliance: é a conformidade com normas, padrões, requisitos e leis internas e externas.
Ou seja: a governança garante que a gestão está seguindo o caminho certo e mantendo a transparência, a análise de risco permite gerenciar potenciais ameaças e a conformidade deixa a empresa em dia com as questões regulatórias essenciais à sua operação.
E o que isso tem a ver com a LGPD?
Absolutamente tudo, pois uma solução de GRC facilita a adequação à nova lei de proteção de dados pessoais e amplia as políticas de segurança para proteger também os dados corporativos.
Por exemplo, com os serviços especializados GRC, a organização consegue centralizar seus dados e gerenciar a informação com muito mais agilidade, facilitando a tarefa de classificar e tratar todos os dados — incluindo dados pessoais e outros dados de projetos, clientes e projeções da empresa.
A estratégia também serve como base para a criação de um programa de governança e privacidade e planos de resposta à violação de dados.
Dessa forma, a empresa pode manter o controle sobre o uso dos dados, detectar vulnerabilidades, agir rapidamente em caso de incidentes e garantir a conformidade com a LGPD sem esforço.
Por isso, as empresas que já têm uma cultura de segurança da informação sólida não estão ameaçadas pelo rinoceronte cinza da LGPD, uma vez que já se preocupam em manter seus dados corporativos e pessoais protegidos.
Como ir além da LGPD com análise de risco
Muitas empresas podem estar em compliance com a LGPD sem nunca terem feito uma análise de risco.
Isso é preocupante, pois a nova lei deixa clara a importância de mapear, monitorar e criar estratégias de resposta contra as ameaças que rondam os dados pessoais de usuários.
Além disso, os negócios lidam diariamente com dados confidenciais sobre projetos, clientes, metodologias, resultados financeiros, entre outras informações que também precisam ter sua integridade e privacidade garantida.
Por isso, as empresas preocupadas com cibersegurança e atentas ao cenário global incluem a análise de risco em seus processos.
E mais importante: elas fazem isso não apenas para se adequar à LGPD, mas para proteger todos os dados da empresa de riscos como perda, vazamento e exclusão acidental.
Na prática, a análise de risco é uma avaliação da probabilidade de ocorrência de determinados eventos e nível de impacto que poderão causar à empresa, que permite classificar e priorizar riscos.
Por exemplo, imagine o prejuízo de sofrer perda, danos ou vazamento de dados sobre um projeto prioritário da empresa ou sobre seu principal cliente.
Com um processo de análise de risco envolvendo pessoas, processos e tecnologia, é possível:
» Entender se os riscos estão associados a problemas de governança, falta de recursos ou falhas de infraestrutura
» Identificar os dados sensíveis e classificá-los conforme os riscos a que estão expostos
» Mapear ameaças eletrônicas, físicas, humanas e de infraestrutura
» Identificar rapidamente os tipos de riscos, grau de impacto e chances de ocorrência
» Implementar testes e medidas preventivas para mitigar riscos
» Criar planos de resposta e contingência em caso de incidentes
» Monitorar continuamente os riscos identificados e novas ameaças.
A DM11 é a empresa parceira da Picture no fornecimento de Serviços em Segurança da Informação, IT GRC e Continuidade de Negócios e tem como missão ajudar as empresas a proteger dados e garantir a privacidade e continuidade das operações.
Além da solução completa para implementação da LGPD, a DM11 oferece os seguintes serviços especializados:
- Consultoria para atendimento a ISO 27001;
- Consultoria para atendimento a ISO 27701;
- Simulação de ataques cibernéticos;
- Gestão de vulnerabilidades;
- Conformidade com BACEN 4658 e BACEN 3909;
- Adequação para a Certificação PCI-DSS;
- Programa completo de Data Protection & Privacy;
- Implementação do COBIT;
- Implementação do ITIL;
- Serviços de avaliação de segurança na nuvem;
- Construção de estrutura de cibersegurança personalizada.