LGPD & Segurança da Informação: 6 pontos prioritários para empresas

Ilustração representando a segurança da informação aplicada em empresas.

Nós ressaltamos com frequência aqui na Get Privacy o quanto a Segurança da Informação é fundamental para a adequação à Lei Geral de Proteção de Dados (LGPD). Afinal, a Segurança é um dos dez princípios da lei e um requisito básico de conformidade.

Se você ler nossa postagem sobre “Por que investir em Segurança da Informação na LGPD”, vai entender com clareza a importância do assunto. Mas, além disso, é preciso entender também como a segurança se aplica à sua empresa com base nos requisitos da lei.

Vale lembrar que a LGPD determina que as empresas devem adotar medidas técnicas e administrativas para proteger os dados pessoais “de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Esta é uma definição ampla, que pode englobar inúmeras medidas dependendo da necessidade de cada negócio.

Para facilitar o processo de análise e adequação legal, nós preparamos uma lista com os principais pontos de atenção quando se fala de segurança e LGPD. 

Confira!

Confira neste artigo!

Precisa se adequar à LGPD?

Fale com a Get Privacy. Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à lei.

6 pontos de segurança para priorizar na adequação à LGPD

1) Estratégias de Backup & Recuperação de Desastres

Como vimos, um dos pontos que a lei traz é a obrigação das empresas protegerem os dados pessoais de situações ilícitas de perda e destruição. Por isso, é fundamental investir em cópias seguras dos dados.

Uma estratégia de Backup e de Recuperação de Desastres amplia a margem de manobra da empresa na hora de lidar com um incidente de segurança, e evita que dados pessoais sejam perdidos ou apagados. 

Idealmente, uma estratégia de backup deve seguir a regra 3-2-1:

  • Ter pelo menos três cópias dos dados
  • Armazenar estas cópias em duas mídias diferentes
  • Manter uma cópia de backup fora do ambiente local

Esses são procedimentos simples e eficientes que podem ser decisivos especialmente em casos de ataques ransomware, que sequestram dados dos sistemas das empresas em troca do pagamento de resgate.

2) Políticas de autenticação & controle de acesso

Outro fator importante em relação à LGPD é ter total controle e visibilidade sobre quem tem acesso aos dados pessoais. Para reduzir riscos, o acesso deve ser restrito ao máximo, sendo limitado apenas às pessoas que efetivamente precisam acessar determinado dado.

Este é um desafio especialmente grande em tempos de trabalho remoto, que dificulta a confirmação da identidade dos usuários e aumenta os riscos de segurança. 

Por isso, uma estratégia de Segurança da Informação eficiente para LGPD deve prever ferramentas para garantir a autenticação dos colaboradores e o controle de acesso aos sistemas da empresa, com diferentes níveis de permissão para cada usuário. 

Algumas soluções que podem ajudar nessa tarefa são:

Solução de Autenticação Multifator

Solução de Controle de Acesso à Rede (NAC)

Virtualização de apps e desktops, com controles de acesso por usuário e dispositivo

3) Ferramentas de prevenção contra ameaças

Um dos primeiros passos para se proteger contra incidentes de segurança que podem comprometer dados pessoais é adotar ferramentas de proteção contra ameaças. Se esta ainda não é uma prioridade na sua empresa, está na hora de incluí-la no seu planejamento.

Afinal, a maior parte dos ataques a empresas ocorre ou começa por meio de estratégias que podem ser prevenidas, como tentativas de phishing, acesso a sites comprometidos e download de arquivos infectados. 

Também é importante conseguir visualizar e gerenciar eventos de segurança de forma otimizada, sem sobrecarregar o seu time de TI. Para isso, existem ferramentas que identificam ameaças, enviam alertas por ordem de prioridade e automatizam respostas urgentes.

Dentre as ferramentas de segurança mais essenciais, podemos citar:

Firewall;

Antivírus corporativo (antiransomware);

E-mail gateway;

SIEM (gerenciador de eventos de segurança).

4) Segurança e acesso ao ambiente físico de TI

Além das políticas e ferramentas que podem ser adotadas, é preciso avaliar ainda a segurança e o controle de acesso ao ambiente físico de TI. 

Afinal, uma brecha na segurança física pode levar ao acesso direto e indevido a servidores e bancos de dados, colocando por água abaixo toda a estratégia de segurança digital.

Faça testes de acesso e avalie a necessidade de reforçar a segurança usando, por exemplo, câmeras e fechaduras com controle de senha.

5) Atualização de sistemas e softwares

Infelizmente, sistemas e softwares legítimos apresentam constantemente brechas que são exploradas por cibercriminosos, abrindo caminho para vazamentos e acesso indevido a dados pessoais. Para se proteger contra essas vulnerabilidades, é importante manter seus programas sempre atualizados.

Afinal, assim que uma falha é detectada as fabricantes trabalham para lançar patches com correções, minimizando os riscos. Por outro lado, quanto mais tempo o seu software fica desatualizado, maior a chance da vulnerabilidade ser amplamente divulgada e explorada por hackers.

Em um ambiente complexo de TI nem sempre é uma tarefa fácil manter controle sobre todas as atualizações necessárias para cada equipamento. 

Por isso, no programa de adequação à LGPD da Get Privacy nós oferecemos uma análise de vulnerabilidades, feita por especialistas em segurança, que pode apontar quais equipamentos, softwares e sistemas estão vulneráveis e precisam ser atualizados ou trocados.

6) Conscientização de segurança para os colaboradores

Por fim, mas não menos importante, é preciso conscientizar os colaboradores a respeito de medidas básicas de segurança, especialmente no que diz respeito aos riscos de acesso e compartilhamento indevido de dados pessoais. Afinal, a responsabilidade pela proteção de dados é de todos. 

Para isso, deve-se investir em treinamentos, políticas segurança e simulações, que vão ajudar a incorporar a cultura da proteção de dados ao dia a dia da empresa. Além disso, esse investimento também é uma boa prática e ajuda a comprovar a conformidade com a LGPD.

No entanto, nós sabemos das dificuldades que os times de TI enfrentam para que os usuários efetivamente respeitem as políticas de segurança da empresa. 

Portanto, treinamentos e políticas de segurança nunca devem ser usados como uma medida isolada. Eles não substituem o investimento em ferramentas e controles de segurança, fundamentais para garantir a integridade dos sistemas e informações.

Inclua a Segurança da Informação no seu programa de conformidade

A Get Privacy pode te ajudar nessa tarefa. Nós contamos com uma equipe especializada em Segurança da Informação, que te ajuda a atender todos os principais pontos relacionados à LGPD.

Para saber mais, fale conosco!

Confira nosso diagnóstico para LGPD!

Responda o questionário e entenda os riscos e a situação da sua empresa em relação à Lei Geral de Proteção de Dados.

acompanhe
nossas redes
receba
mais notícias

CONFIRA
OUTROS POSTS