23/02/2023, 17:17 O que priorizar em segurança da informação?

| Legislação | Valor Econômico

g1 ge gshow

Legislação
PUBLICIDADE

O que priorizar em segurança da informação?

Deve ser priorizada a atualização das políticas em geral, de acordo com a evolução
do cenário corporativo, pelo menos anualmente

Por Caio César Carvalho Lima

23/02/2023 05h01 · Atualizado há 12 horas

Sempre que se inicia um novo ciclo, é comum que projetos relevantes sejam
(re)pensados. E com a segurança da informação não é diferente. A cada novo
projeto, existe a intenção de incluir muitos produtos e serviços, mas nem sempre é
possível realizar todo o planejamento das áreas, em razão de diversos limites.

https://valor.globo.com/legislacao/coluna/o-que-priorizar-em-seguranca-da-informacao.ghtml 1/11
23/02/2023, 17:17 O que priorizar em segurança da informação? | Legislação | Valor Econômico

Então fica a dúvida: quais são as prioridades? A resposta não é tão simples, até
porque cada organização tem particularidades que precisam ser analisadas. Ciente
disso, observando pela perspectiva jurídica, trazemos abaixo alguns pontos de
atenção para o ano de 2023, ponderando a legislação e as manifestações da
Autoridade Nacional de Proteção de Dados (ANPD).

Deve ser priorizada a atualização das políticas em geral, de

acordo com a evolução do cenário corporativo

O primeiro ponto que pode ser destacado são os treinamentos. Criar cultura
organizacional nessa temática é o passo inicial para engajar e conscientizar o time.
Além dos treinamentos expositivos (que devem ocorrer pelo menos a cada dois
meses), a criatividade deve ser usada para idealizar outras ações que tracionem o
assunto internamente (reports mensais, pílulas semanais, cartilhas, entre outros). É
importante que o material apresentado seja adaptado à realidade de cada área,
ajustado para que cubra riscos específicos enfrentados pelos colaboradores.

É fundamental, ainda, realizar força-tarefa para incluir cláusulas de privacidade,

segurança da informação e confidencialidade, especialmente nos contratos de
média e alta criticidade, levando em conta o volume e a natureza dos dados
tratados. O contrato bem redigido possibilitará a rápida solução de dúvidas em
momentos críticos, como em exposições de dados pessoais e de informações
confidenciais. Devem ser endereçados nos instrumentos aspectos sobre: posição
como agente de tratamento (controlador, operador, controlador conjunto ou
suboperador); ciclo de vida do tratamento de dados pessoais (coleta, uso,
armazenamento, compartilhamento e exclusão); obrigações; responsabilidade; e
medidas técnicas e organizacionais. Além disso, se houver vedação ao
compartilhamento de dados com terceiros (o que pode ser especialmente relevante
quando houver o tratamento de grande volume de dados sensíveis), isso também
deve ser objeto de restrição contratual.

https://valor.globo.com/legislacao/coluna/o-que-priorizar-em-seguranca-da-informacao.ghtml 2/11
23/02/2023, 17:17 O que priorizar em segurança da informação? | Legislação | Valor Econômico

Também deve ser prioridade a estruturação de mecanismos para validar o nível de

segurança dos parceiros de negócio, de acordo com o risco potencial. Assim, aqueles
fornecedores de alto risco devem passar por análise mais criteriosa (incluindo a
validação de políticas e documentos), a qual deve ser renovada no máximo em seis
meses. Já os parceiros de menor risco (que tratam poucos dados pessoais, por
exemplo) podem ser solicitados a preencher autodeclaração, com atualização anual.
Esse aspecto tem sido prestigiado pelas autoridades de proteção de dados, que
veem com bons olhos as organizações que implementam essas soluções, sendo um
dos fatores considerados para a mitigação de multas.

Adicionalmente, a eficiente gestão de acesso aos dados é uma forma de reduzir o

risco, já que, naturalmente, limita a quantidade de informação disponível dentro da
organização. Assim, revisar e ajustar permissões devem ser prioridade,
implementando duplo fator de autenticação sempre que possível. Além disso, quem
tiver áreas logadas abertas ao público (sites de comércio eletrônico, por exemplo)
deve investir em mecanismos para bloquear tentativas de acesso em larga escala e
impedir a exposição indevida de dados - além do duplo fator, podem ser usados
mecanismos para identificar e bloquear tentativas em massa partindo de um
mesmo Protocolo de Internet (IP), além do captcha (letras e números que precisam
ser digitados antes da liberação de acesso a determinados portais).

Por fim, deve ser priorizada a atualização das políticas em geral (especialmente a de
segurança da informação, o plano de resposta a incidentes e o plano de
continuidade do negócio), de acordo com a evolução do cenário corporativo, pelo
menos anualmente. Com isso, será possível garantir que os documentos
representem a situação vigente da corporação, reduzindo riscos por descompasso
entre a norma e a situação atual. Assim, essa atualização deve levar em conta não
apenas as modificações internas da corporação e os novos riscos agregados com o
passar do tempo, mas aspectos relacionados à evolução legislativa, novas
tecnologias, mudanças na jurisprudência, entre outros.
https://valor.globo.com/legislacao/coluna/o-que-priorizar-em-seguranca-da-informacao.ghtml 3/11
23/02/2023, 17:17 O que priorizar em segurança da informação? | Legislação | Valor Econômico

Além de observar esses pontos, é essencial documentar todas as ações realizadas,

pois a ANPD ou outro ente regulador pode solicitar evidências do cumprimento dos
aspectos acima, o que se torna especialmente relevante em cenário no qual se
discuta a aplicação de sanção, quando as evidências do esforço corporativo poderão
reduzir eventuais penas aplicadas.

Existem, portanto, muitos pontos que devem ser priorizados, sendo o encarregado
pelo tratamento de dados pessoais (ou DPO - Data Protection Officer) e o Chief
Information Security Officer (CISO) as pessoas ideais para entenderem o que é mais
adequado ao momento específico da organização, liderando essa relevante missão
para 2023. A atuação deles deve ser proativa, traçando cronograma alinhado com as
prioridades da ANPD, da companhia e do mercado, com o objetivo de antecipar
eventuais situações de vulnerabilidade e preencher as lacunas, mitigando os riscos
que possam causar prejuízos reputacionais e financeiros.

Caio César Carvalho Lima é sócio do Escritório Opice Blum, Bruno e Vainzof
Advogados Associados

Este artigo reflete as opiniões do autor, e não do jornal Valor Econômico. O

jornal não se responsabiliza e nem pode ser responsabilizado pelas
informações acima ou por prejuízos de qualquer natureza em decorrência do
uso dessas informações

Conteúdo Publicitário Links patrocinados por taboola

LINK PATROCINADO

Por que esses quebra-cabeças fazem tanto sucesso?

PUZI

LINK PATROCINADO

Atenção! Este jogo vai deixar até sua namorada com ciúmes!
MMOHAVEN.COM

LINK PATROCINADO

Lote de perfumes importados é vendido por loja com preço de liquidação

PERFUMES

https://valor.globo.com/legislacao/coluna/o-que-priorizar-em-seguranca-da-informacao.ghtml 4/11