Escolar Documentos
Profissional Documentos
Cultura Documentos
A nova regulação oferece a oportunidade única para iniciar um diálogo em sua organização
sobre a cultura de segurança proativa, dando maior visibilidade às estratégias de proteção de
dados.
Embora a segurança da informação não seja de forma alguma a única consideração da lei, ela é
estritamente necessária. De fato, a LGPD solicita explicitamente “proteção adequada” para
que a conformidade com o regulamento seja alcançada.
Novamente, a LGPD é explícita sobre os objetivos — os dados devem ser protegidos contra
processamento não autorizado ou ilegal. Também devem ser protegidos contra perda,
destruição ou dano acidental.
No entanto, em vez de oferecer uma lista de verificação de controles específicos, a LGPD difere
de muitas outras estruturas de conformidade, pois exige que as organizações implementem o
controle para garantir um nível de segurança apropriado ao risco.
Isso implica adotar uma visão de segurança baseada em risco e seguir um programa e uma
estrutura também baseados em risco. Embora essa seja uma abordagem que ganhou espaço
nas organizações, para algumas pode ser necessária uma mudança drástica na maneira como
lidam com a segurança.
Há mais segurança do que apenas prevenção. De fato, uma forte postura de segurança
reconhece que a prevenção não é possível 100% do tempo. Responder à LGPD ou a qualquer
exigência regulatória semelhante simplesmente comprando mais tecnologia preventiva é um
erro, porque não faz parte de uma estratégia maior.
Em vez disso, existem três componentes críticos para uma forte abordagem de segurança:
proteção, detecção e resposta. Eles formam não apenas a espinha dorsal de um programa de
segurança focado na LGPD, mas devem ser internalizados até estarem arraigados na memória
muscular de uma organização, tornando-se o núcleo de suas operações de segurança.
Proteção eficaz
Isso requer um entendimento de suas responsabilidades e do que você está protegendo, que
vem de conhecer completamente seus dados e ativos críticos para os negócios e estar ciente
de quem possui direitos de acesso a eles e quão seguras são suas práticas.
A proteção eficaz combina a avaliação de possíveis ameaças por meio de inteligência avançada
contra ameaças e uma abordagem baseada em riscos para proteger esses ativos e processos
associados.
Isso requer recursos de monitoramento 24×7 que vão além de simplesmente sinalizar ameaças
para a capacidade de acessar informações abrangentes sobre os atores de ameaças e seus
produtos. É preciso possuir a capacidade de consultar e analisar dados de intrusão.
Isso permite acelerar e aprimorar sua resposta, identificando exatamente quais sistemas estão
comprometidos, quais dados foram acessados, como isso aconteceu e como você pode repará-
los e restaurá-los.
Assim, você poderá julgar se uma violação relatável sob a LGPD ocorreu e quais dados ela
afetou ou se você capturou a invasão a tempo de impedir que os dados no escopo fossem
comprometidos. Quanto mais precisamente você puder detectar, mais eficiente será sua
resposta.
Obviamente, os relatórios são apenas a primeira resposta a incidentes. Você deve conter
quaisquer violações, corrigir os sistemas comprometidos e examinar toda a falha de segurança
para aprender com o incidente e impedir que isso aconteça novamente.
Todos esses aspectos devem ser sustentados por políticas e procedimentos abrangentes,
cuidando para melhorar a governança e o envolvimento dos negócios, atribuindo
responsabilidade e garantindo que os usuários entendam suas responsabilidades de segurança
por meio de treinamento apropriado.
Ainda assim, ouvimos falar de violações de dados que afetam milhões de usuários. As violações
continuam porque, à medida que a infraestrutura de segurança se padronizou, os atores de
ameaças tornaram-se hábeis em atacar e evitar as defesas.
A presunção operacional deve ser que a infraestrutura de TI da sua organização esteja sob
ataque contínuo e que já esteja comprometida de várias maneiras. Isso muda a conversa da
prevenção de ameaças para a detecção e resposta de ameaças.
Outra consideração seria adotar uma solução que permita configuração para limitar a
exposição de dados sensíveis à privacidade e conteúdo bruto (pacotes e logs) usando uma
combinação de técnicas, incluindo:
Firewall: funciona como uma parede digital que mantém usuários e softwares maliciosos fora
do seu computador. Ele utiliza um filtro, que avalia a segurança e a legitimidade de tudo o que
deseja entrar no seu computador;
Rede Privada Virtual (VPN): cria um “túnel”, através do qual seus dados trafegam ao entrar e
sair de um servidor web. Esse túnel criptografa e protege seus dados para que não possam ser
lidos (ou espionados) por hackers ou softwares mal-intencionados;
Backups: uma das maneiras mais fáceis e eficazes de evitar a perda de dados ou de arquivos
importantes e cruciais é fazer um backup dos dados regularmente. Há muitas maneiras de
fazer backup, e cabe a você definir quantas cópias de seus dados deseja manter.
Conclusão
A LGPD apresenta diferentes desafios para cada organização. É essencial compreender e agir
sobre as implicações para sua própria organização. Isso significa adotar uma abordagem
baseada em risco para garantir que você esteja fazendo o que precisa para gerenciar seus
próprios riscos específicos às informações pessoais.