
23 de maio de 2023
Segurança da Informação – 7 passos para evitar problemas com a LGPD
A Lei Geral de Proteção de dados entrou em um novo momento, no qual as empresas podem ser punidas pesadamente pela falta de segurança da informação. Isso pelo fato de que a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, ou norma de dosimetria, que estabelece parâmetros e critérios para aplicação de penalidades por descumprimento.
Assim, agora é hora das empresas pensarem em estratégias para melhorar a infraestrutura das empresas, principalmente referente à segurança. Essa preocupação se reforça em função do aumento de problemas relacionados ao tema nos últimos ano. As implicações sobre segurança da informação e privacidade envolvem questões legais e de reputação, podendo colocar em risco os usuários, a empresa e o governo.
Esses fatos levam a acreditar que cada vez mais as empresas estão expostas a problems mais golpes e incidentes de segurança da história, sendo importante se preparar o quanto antes. Se proteger 100% contra esses incidentes ainda não é possível, mas sim melhorar a segurança e a gestão de sua empresa para descobrir e lidar com um eventual incidente o mais rápido e com maior eficiência. Veja algumas orientações para que isso ocorra:
1 — Políticas de segurança
Para elevar a segurança de sua empresa, é importante que toda a equipe esteja em sintonia. Por isso, deve existir um padrão de gerência do ambiente e dos ativos, prevendo cenários de riscos e práticas defensivas. Crie uma política de segurança!
2 – Governança de dados
Avaliar e garantir a qualidade de dados é fundamental para se ter uma segurança cibernética. Para isso, é preciso de gestão: criar políticas, diretrizes, e processos, garantindo a maior precisão no tratamento de dados e a mitigação de riscos.
Para tratar os dados de maneira mais eficaz e ter os registros atualizados e precisos, você precisa definir, por exemplo:
- Quais são os dados tratados pela empresa;
- Onde exatamente esses dados ficam armazenados;
- Quem tem acesso.
A partir disso, poderá ser feita a revisão de impactos e riscos, assim como assegurar que medidas de controle sejam implementadas para a mitigação dos riscos.
3 — Plano de ação
É necessário ter um plano de ação para mitigar os riscos gerados por um eventual incidente, como um plano de resposta estruturado e padronizado, bem como um plano de notificação do incidente às autoridades em caso de violação de dados pessoais.
Por meio desse plano, poderá ser realizado o monitoramento e o relato dos incidentes para manter a eficácia das políticas, possibilitando a avaliação para melhorias na segurança.
4 — Atualização dos sistemas
É necessário fazer um check-up periódico dos sistemas, mantendo-os atualizados e realizando o diagnóstico conhecido como “GAP analysis”, a fim de identificar possíveis falhas na segurança e manter sua empresa segura.
5 — Equipe treinada
Importante frisar: investir apenas em sistemas e criação de políticas não é o suficiente. Uma peça muito importante para o funcionamento da gestão de riscos é uma equipe bem treinada para conter a crise. Quanto maior o desconhecimento das técnicas pela equipe, maiores os riscos de haver violação dos sistemas, e menor o retorno dos investimentos. Sua empresa também é feita de pessoas. Mantenha todos os pontos seguros!
6 — Faça backup
Por fim, e igualmente importante para toda a segurança: tenha um backup em nuvem atualizado. Essa pode ser a chave para salvar sua empresa de eventuais incidentes. Além do cenário de sequestro, onde não seria necessário pagar o resgate das informações dos seus bancos de dados, facilita na identificação dos dados perdidos/vazados, não levando tanto tempo para se ter conhecimento da gravidade da violação, possibilitando empregar respostas rápidas.
Carol Lagoa, co-founder da Witec IT Solutions (empresa associada ao Grupo Alliance) e da Falando em Nuvem. Especialista em segurança de dados e presidente da Comissão de Privacidade e Proteção de Dados da OAB Santos.
Relacionados