Como a LGPD afeta sua abordagem de segurança?

A LGPD fornece um regime abrangente de proteção de dados, do qual a segurança da

informação é uma grande parte. Questões de privacidade e proteção de dados têm
implicações de longo alcance para muitos aspectos das operações comerciais e a LGPD exige
mudanças significativas em muitas partes da organização.

A nova regulação oferece a oportunidade única para iniciar um diálogo em sua organização
sobre a cultura de segurança proativa, dando maior visibilidade às estratégias de proteção de
dados.

Embora a segurança da informação não seja de forma alguma a única consideração da lei, ela é
estritamente necessária. De fato, a LGPD solicita explicitamente “proteção adequada” para
que a conformidade com o regulamento seja alcançada.

Os objetivos fundamentais da LGPD afirmam que os dados pessoais devem ser:

 processados de forma legal, justa e transparente;

 coletados e processados apenas para fins específicos, explícitos e legais;
 mantidos no mínimo exigido para a finalidade;
 devem ser armazenados de forma a permitir a identificação do titular dos dados por
não mais do que o necessário para sua finalidade;
 processados de maneira a garantir a segurança adequada dos dados pessoais.

O que é proteção adequada?

Novamente, a LGPD é explícita sobre os objetivos — os dados devem ser protegidos contra
processamento não autorizado ou ilegal. Também devem ser protegidos contra perda,
destruição ou dano acidental.

No entanto, em vez de oferecer uma lista de verificação de controles específicos, a LGPD difere
de muitas outras estruturas de conformidade, pois exige que as organizações implementem o
controle para garantir um nível de segurança apropriado ao risco.

Isso implica adotar uma visão de segurança baseada em risco e seguir um programa e uma
estrutura também baseados em risco. Embora essa seja uma abordagem que ganhou espaço
nas organizações, para algumas pode ser necessária uma mudança drástica na maneira como
lidam com a segurança.

Noções básicas sobre segurança baseada em risco

Segurança baseada em risco significa estabelecer prioridades e tomar decisões, avaliando a

sensibilidade dos dados, a vulnerabilidade do sistema e a probabilidade de ameaças. No
entanto, exige mais do que simplesmente levar em consideração o risco na implantação de
soluções de segurança.

É uma abordagem holística, construindo uma compreensão do risco em todas as decisões

relacionadas à segurança.

Por fim, uma postura madura de segurança da informação é construída em torno do

entendimento de risco de uma organização no contexto das necessidades dos negócios.
Essa abordagem de segurança baseada em risco deve ser usada para identificar objetivamente
quais controles de segurança aplicar, onde devem ser aplicados e quando devem ser aplicados.

O que uma estratégia de segurança da informação apropriada à LGPD inclui?

Há mais segurança do que apenas prevenção. De fato, uma forte postura de segurança
reconhece que a prevenção não é possível 100% do tempo. Responder à LGPD ou a qualquer
exigência regulatória semelhante simplesmente comprando mais tecnologia preventiva é um
erro, porque não faz parte de uma estratégia maior.

Em vez disso, existem três componentes críticos para uma forte abordagem de segurança:
proteção, detecção e resposta. Eles formam não apenas a espinha dorsal de um programa de
segurança focado na LGPD, mas devem ser internalizados até estarem arraigados na memória
muscular de uma organização, tornando-se o núcleo de suas operações de segurança.

Proteção eficaz

A proteção eficaz é baseada em controles de segurança pragmáticos, baseados em riscos, e

básicos, envolvendo tecnologia, pessoas, processos e dados e outros ativos.

Isso requer um entendimento de suas responsabilidades e do que você está protegendo, que
vem de conhecer completamente seus dados e ativos críticos para os negócios e estar ciente
de quem possui direitos de acesso a eles e quão seguras são suas práticas.

A proteção eficaz combina a avaliação de possíveis ameaças por meio de inteligência avançada
contra ameaças e uma abordagem baseada em riscos para proteger esses ativos e processos
associados.

Detecção bem sucedida

A detecção bem-sucedida requer visibilidade aprimorada em toda a empresa, rede, terminais,

dispositivos móveis, nuvem, software como serviço e muito mais. A LGPD exige a capacidade
de detectar violações — se você não tem visibilidade, não pode monitorar e,
consequentemente, não poderá detectar.

Isso requer recursos de monitoramento 24×7 que vão além de simplesmente sinalizar ameaças
para a capacidade de acessar informações abrangentes sobre os atores de ameaças e seus
produtos. É preciso possuir a capacidade de consultar e analisar dados de intrusão.

Isso permite acelerar e aprimorar sua resposta, identificando exatamente quais sistemas estão
comprometidos, quais dados foram acessados, como isso aconteceu e como você pode repará-
los e restaurá-los.

Assim, você poderá julgar se uma violação relatável sob a LGPD ocorreu e quais dados ela
afetou ou se você capturou a invasão a tempo de impedir que os dados no escopo fossem
comprometidos. Quanto mais precisamente você puder detectar, mais eficiente será sua
resposta.

Resposta oportuna a incidentes

A resposta oportuna a incidentes requer preparação acima de tudo:

 conhecendo e documentando seus riscos organizacionais com antecedência, alocando

funções;
 incluindo a responsabilidade pela tomada de decisões;
 entendendo os requisitos legais de relatórios (incluindo prazos e formatos);
 planejando como mitigar o impacto nos negócios; e
  estando pronto para informar as partes interessadas.

Todos esses aspectos precisam ser exaustivamente testados e os participantes treinados. A

LGPD exige notificação ao regulador em tempo hábil após a descoberta da violação, o que
significa que não há tempo disponível para descobrir que seus planos de resposta a incidentes
não funcionam.

Obviamente, os relatórios são apenas a primeira resposta a incidentes. Você deve conter
quaisquer violações, corrigir os sistemas comprometidos e examinar toda a falha de segurança
para aprender com o incidente e impedir que isso aconteça novamente.

Todos esses aspectos devem ser sustentados por políticas e procedimentos abrangentes,
cuidando para melhorar a governança e o envolvimento dos negócios, atribuindo
responsabilidade e garantindo que os usuários entendam suas responsabilidades de segurança
por meio de treinamento apropriado.

Quais ferramentas garantem a segurança em conformidade com a LGPD?

Muitas organizações implementaram medidas técnicas em torno da infraestrutura de proteção

de dados, desde firewalls e filtros de spam, até soluções de prevenção de perda de dados
(DLP) e sistemas de prevenção de intrusões (IPSs).

Ainda assim, ouvimos falar de violações de dados que afetam milhões de usuários. As violações
continuam porque, à medida que a infraestrutura de segurança se padronizou, os atores de
ameaças tornaram-se hábeis em atacar e evitar as defesas.

A presunção operacional deve ser que a infraestrutura de TI da sua organização esteja sob
ataque contínuo e que já esteja comprometida de várias maneiras. Isso muda a conversa da
prevenção de ameaças para a detecção e resposta de ameaças.

As organizações devem considerar soluções de tecnologia que forneçam visibilidade em toda a

rede utilizando dados de logs, pacotes, terminais e inteligência contra ameaças para detectar e
entender rapidamente todo o escopo de um compromisso, a fim de ajudar na resposta rápida
e eficaz.

Ao usar soluções com análise comportamental e aprendizado de máquina, as organizações

podem correlacionar indicadores e atribuir pontuações de risco que identificam anomalias que
justificam a investigação. Diferentemente dos sistemas de prevenção tradicionais, isso ajudará
sua organização a procurar as ameaças que invadiram sua organização com sucesso.

Não detectadas, essas explorações podem causar estragos em sua infraestrutura e

propriedade intelectual e podem levar a tipos de violações de dados passíveis de multa
segundo a LGPD.

Outra consideração seria adotar uma solução que permita configuração para limitar a
exposição de dados sensíveis à privacidade e conteúdo bruto (pacotes e logs) usando uma
combinação de técnicas, incluindo:

Software antivírus: o trabalho do antivírus é detectar vírus no seu computador e removê-los.

Também alerta sobre páginas da Web e softwares potencialmente inseguros;

Firewall: funciona como uma parede digital que mantém usuários e softwares maliciosos fora
do seu computador. Ele utiliza um filtro, que avalia a segurança e a legitimidade de tudo o que
deseja entrar no seu computador;

Single Sign-On (SSO): um serviço de autenticação centralizado, através do qual um login é

usado para acessar uma plataforma inteira de contas e software;
Autenticação de dois fatores (2FA): processo de login que requer um nome de usuário ou
número PIN e acesso a um dispositivo ou conta externa, como endereço de e-mail, número de
telefone ou software de segurança;

Rede Privada Virtual (VPN): cria um “túnel”, através do qual seus dados trafegam ao entrar e
sair de um servidor web. Esse túnel criptografa e protege seus dados para que não possam ser
lidos (ou espionados) por hackers ou softwares mal-intencionados;

Criptografia: uma das tecnologias ou métodos de segurança de dados mais comumente

aceitos. Essa tecnologia ocorre de duas formas principais: software ou hardware;

Backups: uma das maneiras mais fáceis e eficazes de evitar a perda de dados ou de arquivos
importantes e cruciais é fazer um backup dos dados regularmente. Há muitas maneiras de
fazer backup, e cabe a você definir quantas cópias de seus dados deseja manter.

Conclusão

A LGPD apresenta diferentes desafios para cada organização. É essencial compreender e agir
sobre as implicações para sua própria organização. Isso significa adotar uma abordagem
baseada em risco para garantir que você esteja fazendo o que precisa para gerenciar seus
próprios riscos específicos às informações pessoais.

Trabalhar com um parceiro de segurança confiável nas partes do quebra-cabeça de segurança

da informação e resposta a incidentes pode realmente ajudar a tornar esse desafio menos
assustador e os prazos menos comprometedores de recursos.