A proteção dos dados vai muito além da LGPD

Para avançar para além do compliance é prudente elevar a capacidade de proteção dos sistemas e garantir uma resposta rápida a quaisquer incidentes que possibilitem o acesso aos dados

Jaime Muñoz (*)

Estar em compliance às novas regras de proteção de dados, LGPD, não deve ser considerada pelas organizações como o fim de sua uma jornada de governança de dados. Na verdade, as organizações devem se manter ocupadas permanentemente em garantir a segurança total e inviolável de seus sistemas de informação e aplicações, centrando seus esforços em criar uma estrutura confiável que envolva a integração de processos e ferramentas capazes de garantir uma confiança capaz de ir além do que determina as novas leis.

Isso porque estar em compliance é uma etapa e não o fim. A governança de dados vai além de garantir que os dados estejam livres do risco de serem utilizados de maneira equivocada, não sofram ataques cibernéticos ou que possam ser, de algum modo, vazados para fora do controle das empresas. Para avançar para além do compliance é prudente elevar a capacidade de proteção dos sistemas e garantir uma resposta rápida a quaisquer incidentes que possibilitem o acesso aos dados, em particular aqueles que devem ser regidos pelas normas regulatórias. Atenção redobrada e contínua é vital para isso.

Integração processos de governança de dados com ferramentas essenciais de proteção de dados é um ótimo caminho para se seguir rumo à construção de uma forte proteção eficaz tão logo um dado externo seja coletado para dentro da organização e circule por diversas áreas de negócios sem a devida classificação de seu real significado e valor para o negócio.

Por onde começar?

A realização de um mapeamento de dados deve ser observada como o primeiro passo importante para se identificar os dados e verificar por onde eles circulam dentro da estrutura da organização. Saber identificar a sua origem e o seu destino é vital para se obter a proteção dos dados e atingir o compliance.

Uma cibersegurança confiável envolve várias abordagens. Sem se aprofundar em cada uma delas devido à limitação de espaço para um artigo introdutório, podemos listar aqui as principais:

1 – Segurança dos Dados

– Classificação de dados – processo pelo qual se determina o valor e significado dos dados, se define quem, como e o que se pode fazer com eles;

– Data Loss Prevention – DLP – Aplicação de prevenção da perda de dados que detecta possíveis violações, transmissões e extração de dados por meio do monitoramento, detecção e bloqueio de dados enquanto estiver em uso, em movimento e em repouso;

– Transferência segura de arquivos gerenciados – uma abordagem tecnológica que permite que as organizações compartilhem dados por meios eletrônicos entre sistemas e pessoas de maneira segura para atender às necessidades de conformidade.

– Encriptação – processo de codificação de mensagens ou arquivos responsável por gerar um código que permite que apenas aqueles que possuem as chaves corretas tenham acesso a eles.

2 – Gerenciamento de identidade e acesso

O gerenciamento de identidade e acesso é uma parte essencial da segurança geral de TI que gerencia identidades digitais e acesso dos usuários a dados, sistemas e recursos dentro de uma organização. A segurança do IAM – Identity and Access Management inclui as políticas, programas e tecnologias que reduzem os riscos de acesso relacionados à identidade em uma empresa.

Como uma função crítica de segurança, o IAM permite que as empresas não apenas respondam às mudanças nos negócios, mas também se tornem mais proativas na previsão de riscos de acesso relacionados à identidade que resultam do ambiente de negócios dinâmico.

3 – Proteção de infraestrutura

A proteção da infraestrutura crítica consiste na adoção de medidas para proteger sistemas, redes e ativos interdependentes que fazem parte do ambiente de sistemas e dados das organizações e os serviços oferecidos aos clientes em todos os setores da economia e devem ser considerados:

– Gerenciamento de vulnerabilidade de aplicações;

– Detecção e prevenção de intrusão;

– Proteção contra vírus e códigos maliciosos;

– Monitoramento de Segurança e Integridade; – Gerenciamento das Políticas de Segurança.

4 – Compliance

Manter a empresa em compliance com as principais normas regulatórias da indústria exige atender a uma vasta documentação e regras abrangentes. Entre as principais podemos listar:

– LGPD – Lei Geral de Proteção de Dados Pessoais do Brasil

– GDPR – Regulamento Geral sobre a Proteção de Dados, Europa

– HIPAA – Lei de Responsabilidade e Portabilidade de Seguro Saúde

– PCI Compliance, ou PCI DSS – Padrão internacional de segurança de dados voltado para a indústria de cartões

– SOX Compliance – A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas.

5 – Relatórios de conformidade

Os relatórios podem consumir um tempo precioso das empresas e a revisão exigida para esta tarefa é um dos “comedores” de tempo. Investir na elaboração de relatórios abrangentes e precisos devem ser usados para identificar problemas de segurança sob a luz das exigências da conformidade. Por esta razão, a classificação de dados facilita identificar o real valor dos dados e sua a sensibilidade para o negócio como um todo e não apenas para se cumprir a LGPD. Temos que pensar além das normas regulatórias.

Sabemos que as auditorias de conformidade são um fato da vida no cenário de ameaças de hoje e à medida que os padrões do setor e as regulamentações governamentais ficam mais complexos, os relatórios de conformidade costumam ser a parte mais desafiadora da conformidade. Encontrar as ferramentas pode colocar as equipes de dados no controle da situação.

Capacitação das equipes rumo à governança e segurança dos dados

Quando se investe na interação destas ferramentas que comentamos, o cenário melhora a favor deste controle desejado e eleva a qualidade do compliance. Depois de cumpridas estas etapas, as empresas nunca podem se esquecer da capacitação e educação das equipes. Se a empresa se limita a apenas em aplicar políticas e não leva em conta que os processos de negócios e de segurança envolve pessoas, ela está a um passo de trabalho duro para cumprir todas estas etapas citadas acima e se perder porque duas equipes não estão conscientes os desafios que toda a organização tem pela frente rumo a proteção dos negócios e, também, dos empregos de todos os envolvidos.

(*) Diretor de Desenvolvimento de Negócios para Brasil e América Latina da HelpSystems

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *