Em agosto deste ano foi sancionada a PLC53/2018 que trata sobre a proteção de dados no Brasil, a LPDP – Lei de Proteção de Dados Pessoais.

E até fevereiro de 2020, o governo brasileiro e empresas precisarão se adaptar à nova lei. Ela traz regras sobre a coleta e o tratamento de informações pessoais e sensíveis. Esta adaptação a LPDP afeta profundamente o funcionamento dos processos de negócio das empresas com relação a gestão das informações coletadas de todo e qualquer cidadão brasileiro.

Muito se fala sobre multas e sanções, mas os principais desafios estão entre a questão tecnológica, processos de negócio e aspectos culturais.

De acordo com dados apresentados no Global Risk Report 2018, produzido pelo Fórum Econômico Mundial, os custos de crimes cibernéticos contra empresas devem representar US$ 8 trilhões nos próximos cinco anos. A maior ameaça de ataques cibernéticos é a violação à privacidade e vazamento de dados. Estar em compliance com as normativas e a nova LPDP minimiza o risco de perda financeira e reputação das empresas.

Como preparar-se para a conformidade e a LPDP?

Preparar-se para a conformidade parece um processo rígido, mas pode ser descomplicado. Basta que as atividades que te dão a visão do todo sejam priorizadas.

No caso da LPDP, é necessário tomar as devidas medidas proativas que envolvem ações relacionadas à Segurança Digital e Cibernética que contemplam o ambiente organizacional, pessoas, processos e tecnologia. Além da adequação referente a atualização de contratos, termos de uso e políticas de privacidade.

É de extrema importância que programas de segurança possam ser adotados no ambiente organizacional, contemplando um ciclo de melhoria contínua. Devem estar previstas as etapas de identificação, definição, proteção e resposta em todo o ciclo de vida dos dados.

Identificar

• O primeiro passo é a identificação de riscos e ameaças do ambiente organizacional, através da condução de testes de vulnerabilidades e/ou testes de invasão, com isso é possível ter a visão das ameaças e fragilidades do ambiente tecnológico.
• Com os riscos identificados, é importante realizar uma  Análise de GAP GDPR / LPDP, que compara a “foto” atual do ambiente com os itens necessários para alcançar a maturidade desejada pela lei de privacidade.
• Conduza Avaliações de Impacto na Privacidade – DPIA (Data Protection Assessment).
• Tenha de forma centralizada um inventário de ativos, sistemas e dados. Tenha uma classificação efetiva de dados quanto ao uso e risco por severidade e criticidade.

Definir

• Defina um DPO (Data Privacy Officer) que tem a responsabilidade em responder tanto internamente na companhia como para as pessoas externas. Existem várias discussões em torno de qual área da organização esta função deve ser atribuída devido às atividades que responde. O que faz mais sentido é que a área de Governança e Compliance seja responsável junto a área jurídica. Por não haver obrigatoriedade de ser um cargo dentro da organização existe a oportunidade de se contratar serviços de terceiros especializados, como um DPO Virtual.
• Conduza Programas de Conscientização e Sensibilização em sua organização. Todos os colaboradores e fornecedores devem estar envolvidos e sentirem co-responsáveis pela cultura de segurança e cumprimento dos processos normativos. Para a continuidade dos negócios isso deve ser comunicado através de dinâmicas com cada departamento da empresa.
• Estabeleça controles para garantir os direitos da pessoa em relação a validação e consenso, coleta e deleção segura, segurança e garantia de anonimato.
• Controles na transferência dos dados através de adaptações e integrações entre aplicações e sistemas, contemplando APIs e localidades.
• Definição dos processos de Governança que compõem a força tarefa para proteção de dados, como a formalização de Políticas, Normas e Procedimentos claros, Auditorias periódicas  para garantir que o que foi identificado no GAP Assessment esteja em tratativa e a coleta de métricas para a melhoria contínua.
• Rever instrumentos contratuais existentes.

Proteger

É de extrema importância manter a recorrência das atividades que trazem visibilidade do status do ambiente organizacional. Isso acontece através da implantação de processos de Gestão que englobam:

• Gestão de Vulnerabilidades, que possibilita ter a visão das ameaças e fragilidades do seu ambiente tecnológico, através de varreduras periódicas e classificação de ativos e dados por severidade e criticidade, identificação de causa raiz e avaliação de risco tecnológico,  além de apoiar na priorização na resposta a incidentes e insumos para priorização de investimentos.
• Gestão de Identidades e Acessos,  com procedimentos claros para solicitação e concessão de acessos. Além de ter categorizada todas as identidades existentes através de grupos de perfis de acesso. Controlar, remover e alterar identidades de forma segura e com revisão periódica de acesso. Isso inclui as mudanças em cargos, serviços e parcerias com revisão revisão periódicas de acesso.
• Gestão de Configuração, que utiliza a lista de ativos e sistemas para elaboração de baselines e gerenciamento de  patches, contribui para padronização da configuração mínima de ativos que suportam o ambiente tecnológico, assim como apóia o controle na gestão de mudança com avaliação dos riscos das configurações planejadas.
• Implantação de um Ciclo de Desenvolvimento Seguro – SDLC (Systems Development Life Cycle), que visa integrar líderes, gestores e analistas quanto à necessidade da Segurança e Privacidade by Design, ou seja, que estes assuntos possam ser considerados desde a concepção do projeto e percorra todo o ciclo de desenvolvimento, com a classificação de dados trabalhados nos sistemas, além da avaliação dos pontos de risco, definição dos requisitos de segurança, controle de mudanças e versões, avaliação de fragilidades de ambientes externos e realização de testes em código-fonte e sistema compilado.

Responder

Gestão de Incidentes

Definição de papéis e responsabilidades claras das áreas envolvidas na resposta. Monitoração recorrente de eventos, com procedimentos para declaração e resposta a incidentes e plano de ação com avaliação do risco. Importante atentar-se ao prazo de notificação dos envolvidos e impactados em até 72h, para caso de vazamento de dados pessoais.

Gestão de Riscos e Continuidade de Negócios

Identificação de ativos e sistemas críticos para o negócio e testes da eficácia dos planos de continuidade periodicamente. Além disso, é necessário a nomeação e treinamento das pessoas envolvidas no processo de continuidade.

Melhorar

Após seguir todo o ciclo proposto, é importante:

• Documentar as atividades do processo.
• Revisar todos os pontos implantados e as lições aprendidas.
• Gerar métricas em todo o processo e transformar estas em melhorias.
• Investir constantemente em treinamentos e capacitação dos colaboradores.

A adoção de programas e gestão da segurança da informação de forma proativa, eleva a maturidade das empresas. Isso traz segurança aos dados por ela tratados, além de evitar gastos com a reparação dos danos.

A IBLISS ajuda empresas de todos os portes a ficar em conformidade com as leis de privacidade com programas de segurança customizados. Entregamos valor para empresas que se interessam em aumentar a visibilidade e maturidade de seus processos de segurança cibernética.  

Os programas segurança da informação são customizados e entregues através da plataforma GAT para Gestão integrada de Riscos Cibernéticos e Conformidade.

Solicite hoje hoje mesmo sua demonstração de como todo este processo normativo pode ser gerenciado através de um única plataforma que fornece a visibilidade, orquestração e para a segurança do seu ambiente organizacional.  

Quer saber mais sobre Privacidade? Acesso nosso ebook.