LGPD para profissionais de TI: novas possibilidades de trabalho e valorização

A Lei Geral de Proteção de Dados (LGPD) é uma norma que entrará em vigor neste ano e prevê requisitos mínimos de como você deve tratar os dados pessoais. Falo mínimos, porque muitos desses requisitos já existem em várias outras regulamentações. Com isso, a Lei acaba não sendo uma novidade, mas sim um reforço para consolidar a necessidade de uma cultura de proteção dentro das empresas. Quem já se preocupa com a segurança de informação está vários passos à frente e quem nunca reparou nessa necessidade vai ser forçado a reparar.

A lei é de fácil compreensão até mesmo para nós, profissionais de TI, e existe uma série de ações que você pode começar a implementar antes mesmo de contratar uma pessoa especializada para cuidar do assunto. Conversei com o Daniel Donda, meu amigo e arquiteto de soluções na Quest Software, para justamente trazer algumas dessas soluções para você conseguir aplicar o quanto antes e começar a se adequar aos requisitos que a LGPD traz para todos nós. A conversa trouxe muitos insights que vão te ajudar a entender como a lei é mais simples do que parece.

Oportunidade para profissionais de TI

“Eu vejo essa lei como uma ótima oportunidade para fomentar os negócios e tecnologia no país, porque as empresas querem investir em tecnologia e elas muitas vezes precisam justificar. Hoje essa lei vai justificar um investimento muito alto em tecnologia de proteção, de gerenciamento, de conformidade e vai dar oportunidade de carreira para muita gente”, trouxe Donda para a nossa conversa.

A lei pode ser uma oportunidade tanto para os profissionais que já estavam realizando esse trabalho de forma padrão dentro das empresas, porque vão ser extremamente valorizados, quanto para os prestadores de serviço que não trabalham em uma empresa específica e vão ter uma demanda muito maior.

Os prestadores de serviço vão ser chamados frequentemente por empresas que tiveram seus dados vazados e vão precisar fazer análise de conformidade e ajudar a gerar relatórios para que o ataque não volte a acontecer. Além disso, vão ter que prover quais foram os riscos relacionados a esse incidente e as medidas que foram adotadas para reverter ou mitigar.

Como começar a se adequar a lei começando pelo básico?

Para começar a se adequar a LGPD não necessariamente você precisa fazer grandes movimentos e investir muito dinheiro em um primeiro momento. Aqui vão algumas dicas que podem auxiliar você a ter um ponto de partida antes mesmo de contratar profissionais capacitados para que todos os artigos da Lei sejam seguidos. São elas:

  1. A primeira coisa que você precisa fazer é identificar quais são e onde estão localizados seus ativos tecnológicos, e ter clareza de quais são os riscos associados a esses ativos. Isso te dará uma matriz de risco para seguir o próximo passo. 
  2. Depois você precisa identificar onde estão localizados os dados pessoais da empresa e quem tem acesso a eles. Parece óbvio, mas muitas pessoas não se dão conta de que os primeiros passos estão em suas mãos. 
  3. Classificar esses dados, principalmente para ver o que é um dado pessoal e o que é um dado pessoal sensível (qualquer dado que pode gerar uma discriminação). Não adianta você ter muitos dados armazenados se você não sabe que dados são esses e para qual fim eles vão ser úteis para você. 
  4. Rever a quantidade das informações que você tem, tendo em vista que a partir da consolidação da LGPD todo dado é um risco. Muitas vezes pedimos informações em formulários que não são realmente necessárias para o fim que precisamos. Esse é o momento de você filtrar e deixar apenas os dados que realmente importam para o seu negócio. 
  5. “Que tipo de segurança você pode usar para proteger esses dados?” Só depois que você já tem consciência de quais dados trabalha e os riscos que eles podem oferecer que você vai pensar nas ações necessárias para se precaver. 
  6. Criar uma cultura de proteção dessas informações dentro do negócio, com técnicas de segurança e cibersegurança. É indispensável que, a partir de agosto deste ano, você veja a segurança dos seus dados como algo primordial. Isso precisa ser um hábito, não uma ação esporádica dentro da empresa.

Mudanças organizacionais geradas pela LGPD

Tudo o que você for fazer vai precisar pensar no risco e na avaliação dos seus ativos. Quem tem acesso aos dados pessoais da sua empresa? Você precisa ter sempre isso em mente. Cuidados simples como não compartilhar arquivos de pessoas que se desligaram da empresa e que muitas vezes são “herdados” por seus substitutos deverão ser tomados. Mais de uma pessoa utilizando uma mesma senha, por exemplo, vai ser completamente inviável, tendo em vista que com a LGPD vai ser imprescindível identificar os acessos a cada dado. Só tem acesso aos dados quem realmente precisa ter acesso à eles.

Hoje é preciso relacionar todas as informações e os acessos com as pessoas?

Conforme Donda reforçou no nosso papo, as pessoas com acesso aos dados serão responsabilizados porque a cobrança em cima das empresas será enorme e todos terão que arcar com a consequência caso ocorra algum ataque. As empresas vão precisar estar muito atentas sobre essas pessoas e se elas realmente precisam ter acesso aos dados.

Além dos cuidados básicos já listados, as organizações vão precisar de pessoas específicas para atender a todas as demandas. Com isso, serão contratadas pessoas com conhecimento em riscos, ameaças, tratamento de dados e privacidade e que saibam a legalidade em relação à tudo isso. Uma ação que já está acontecendo em muitas empresas é a criação de comitês especializados, reunindo profissionais capazes de agir tanto na prevenção quanto durante um ataque.

“O que a gente tem que fazer é adotar medidas padrão, é proteção em camadas. Você tem que ter um firewall, criptografia do disco, o controle de acesso, uma política de controles preventivos, detectivos, corretivos”, explicou o Donda. Com todas essas ações, até mesmo o contrato entre uma instituição e o profissional de TI deve ser alterado para atender todas as necessidades que a lei vai cobrar.

O que fazer quando uma empresa que não tem medida nenhuma de proteção sofrer um ataque?

  • O primeiro passo é identificar se aquilo realmente foi um incidente de segurança. “Como você sabe que foi um vazamento?” Se esse vazamento já está sendo noticiado pela mídia, a empresa provavelmente vai ser acionada pela Autoridade Nacional;
  • O segundo passo se você tem a desconfiança sobre isso é um tratamento para analisar se realmente foi um vazamento;
  • Caso realmente se confirme que vazou dados da sua empresa, a ação é operar para minimizar o impacto;
  • Por fim é inevitável também notificar os titulares dos dados (isso deve ser feito assim que confirmar o vazamento, pois eles precisam saber que suas informações pessoais não estão protegidas) e a Autoridade Nacional de Proteção de Dados, pois é ela que vai tomar as medidas corretas.

Até 2022, as organizações que usam métodos de gerenciamento de vulnerabilidades com base em riscos sofrerão 80% menos vazamentos” – Pesquisa Gartner 2019.

Com base nesse referencial técnico percebemos como a gestão de vulnerabilidades está totalmente ligada com a redução dos riscos de vazamentos. 

Esse é um dos indicadores que me fazem acreditar tanto na EcoTrust, ferramenta desenvolvida por mim e pela minha equipe, e que faz a gestão contínua do monitoramento das vulnerabilidades. É somente com um acompanhamento de perto que você vai conseguir achar as soluções adequadas para o seu problema e com isso diminuir os riscos de ataques cibernéticos. Clique aqui para conhecer a EcoTrust!

 

 

 

 


Compartilhe com um amigo!