LGPD & Segurança da Informação: 6 pontos prioritários para empresas
Nós sempre ressaltamos o quanto a Segurança da Informação é fundamental para o projeto de adequação à Lei Geral de Proteção de Dados (LGPD). Afinal, a segurança está inclusa nos 10 princípios da LGPD como um requisito básico de conformidade.
Além disso, o capítulo VII da LGPD trata da segurança e das boas práticas de proteção e privacidade de dados. O primeiro tópico deste capítulo é o Artigo 46, que diz o seguinte:
“Os agentes de tratamento (ou as empresas) devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Esta é uma definição ampla, que pode englobar inúmeras medidas dependendo da necessidade de cada negócio. Mas, para facilitar o processo de análise e adequação legal, nós criamos uma lista com os principais pontos de atenção quando se fala de segurança da informação e LGPD.
Confira neste artigo!
Precisa se adequar à LGPD?
Fale com a Get Privacy. Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à lei.
6 pontos de segurança para priorizar na adequação à LGPD
1) Estratégias de Backup & Recuperação de Desastres
Como vimos, um dos pontos que a lei traz é a obrigação das empresas protegerem os dados pessoais de situações ilícitas de perda e destruição. Por isso, é fundamental investir em cópias seguras dos dados, os famosos backups.
Uma estratégia de Backup e de Recuperação de Desastres facilita o dia a dia da empresa e ajuda, principalmente, na hora de lidar com um incidente de segurança, que pode ser causado por um ataque hacker ou devido ao erro de um colaborador.
Deste modo, a empresa previne que dados pessoais sejam perdidos ou apagados. Idealmente, uma estratégia de backup deve seguir a regra 3-2-1:
- Ter pelo menos três cópias dos dados.
- Armazenar estas cópias em duas mídias diferentes.
- Manter uma cópia de backup fora do ambiente local.
Esses são procedimentos simples e eficientes que podem ser decisivos especialmente em casos de ataques de phishing e ransomware, que sequestram dados dos sistemas das empresas em troca do pagamento de resgate.
2) Políticas de autenticação & controle de acesso
Outro fator importante em relação à LGPD é ter total controle e visibilidade sobre quem tem acesso aos dados pessoais. Para reduzir riscos, o acesso deve ser restrito ao máximo, sendo limitado apenas às pessoas que efetivamente precisam acessar determinado dado.
Este é um desafio especialmente grande em tempos de trabalho remoto, que dificulta a confirmação da identidade dos usuários e aumenta os riscos de segurança.
Por isso, uma estratégia de Segurança da Informação eficiente para LGPD deve prever ferramentas para garantir a autenticação dos colaboradores e o controle de acesso aos sistemas da empresa, com diferentes níveis de permissão para cada usuário.
Algumas soluções que podem ajudar nessa tarefa são:
3) Ferramentas de prevenção contra ameaças
Um dos primeiros passos para se proteger contra incidentes de segurança que podem comprometer dados pessoais é adotar ferramentas de proteção contra ameaças e ataques.
Afinal, a maior parte dos ataques cibernéticos a empresas ocorre por meio de estratégias que podem ser prevenidas, como tentativas de phishing ou e-mail maliciosos, acesso a sites comprometidos e download de arquivos infectados.
Também é importante conseguir visualizar e gerenciar eventos de segurança de forma otimizada, sem sobrecarregar o seu time de TI. Para isso, existem ferramentas que identificam ameaças, enviam alertas por ordem de prioridade e automatizam respostas urgentes.
Dentre as ferramentas de segurança mais essenciais, podemos citar:
Simulador gratuito da LGPD!
Entenda agora mesmo quais são os riscos e a situação da sua empresa em relação à Lei Geral de Proteção de Dados.
4) Segurança e acesso ao ambiente físico de TI
Além das políticas e ferramentas que podem ser adotadas, é preciso avaliar ainda a segurança e o controle de acesso ao ambiente físico de TI.
Afinal, uma brecha na segurança física pode levar ao acesso direto e indevido a servidores e bancos de dados, colocando por água abaixo toda a estratégia de segurança digital.
Faça testes de acesso e avalie a necessidade de reforçar a segurança usando, por exemplo, câmeras e fechaduras com controle de senha.
5) Atualização de sistemas e softwares
Infelizmente, sistemas e softwares legítimos apresentam constantemente brechas que são exploradas por cibercriminosos, abrindo caminho para vazamentos e acesso indevido a dados pessoais. Para se proteger contra essas vulnerabilidades, é importante manter seus programas sempre atualizados.
Afinal, assim que uma falha é detectada as fabricantes trabalham para lançar patches com correções, minimizando os riscos. Por outro lado, quanto mais tempo o seu software fica desatualizado, maior a chance da vulnerabilidade ser amplamente divulgada e explorada por hackers.
Em um ambiente complexo de TI nem sempre é uma tarefa fácil manter controle sobre todas as atualizações necessárias para cada equipamento.
Por isso, no programa de adequação à LGPD da Get Privacy nós oferecemos uma análise de vulnerabilidades, realizada por uma equipe de especialistas em segurança, que pode apontar quais equipamentos, softwares e sistemas estão vulneráveis na sua empresa e precisam ser atualizados ou substituídos.
6) Conscientização de segurança para os colaboradores
Por fim, mas não menos importante, é preciso conscientizar os colaboradores a respeito de medidas básicas de segurança, especialmente no que diz respeito aos riscos de acesso e compartilhamento indevido de dados pessoais. Afinal, a responsabilidade pela proteção de dados é de todos.
Para isso, deve-se investir em treinamentos, políticas segurança e simulações, que vão ajudar a incorporar a cultura da proteção de dados ao dia a dia da empresa.
A propósito, o investimento em conscientização acerca de proteção e privacidade de dados também é uma boa prática e ajuda a comprovar a conformidade com a LGPD.
No entanto, nós sabemos das dificuldades que os times de TI enfrentam para que os usuários efetivamente respeitem as políticas de segurança da empresa.
Portanto, treinamentos e políticas de segurança nunca devem ser usados como uma medida isolada. Eles não substituem o investimento em ferramentas e controles de segurança, fundamentais para garantir a integridade dos sistemas e informações.
Inclua a Segurança da Informação no seu programa de conformidade
Se quiser saber ainda mais sobre a relação entre segurança e a lei brasileira de proteção de dados, leia o artigo “Por que investir em Segurança da Informação na LGPD”. Ele vai te ajudar a entender com clareza a importância do assunto.
Agora, se precisar de suporte na sua empresa, conte com a Get Privacy. Nós contamos com uma equipe especializada em Segurança da Informação, Direito e Compliance, que te ajuda a atender todos os pontos relacionados à LGPD e de que forma eles afetam o seu negócio.
Entre em contato para saber mais
CONFIRA
OUTROS POSTS
