{"id":6185,"date":"2021-06-16T16:34:25","date_gmt":"2021-06-16T19:34:25","guid":{"rendered":"http:\/\/blog.binario.cloud\/?p=6185"},"modified":"2024-10-07T14:00:40","modified_gmt":"2024-10-07T17:00:40","slug":"lgpd-e-seguranca-da-informacao-oportunidade-para-as-empresas","status":"publish","type":"post","link":"https:\/\/binario.cloud\/blog\/lgpd-e-seguranca-da-informacao-oportunidade-para-as-empresas\/","title":{"rendered":"[LIVE] LGPD e seguran\u00e7a da informa\u00e7\u00e3o: oportunidade para as empresas"},"content":{"rendered":"\n

Seguran\u00e7a da informa\u00e7\u00e3o<\/strong> tem sido um dos assuntos mais comentados no Brasil desde que a LGPD<\/strong> foi promulgada, em setembro de 2020. A Lei coloca como obriga\u00e7\u00e3o para empresas no Brasil ou que prestam servi\u00e7os para cidad\u00e3os brasileiros a regulamenta\u00e7\u00e3o de atitudes que j\u00e1 deveriam ser consideradas boas pr\u00e1ticas: tratar adequadamente dados pessoais<\/strong>, sem utilizar de pr\u00e1ticas invasivas para comunica\u00e7\u00e3o, nem agir sem o consentimento dos titulares desses dados. <\/p>\n\n\n\n

A Lei Geral de Prote\u00e7\u00e3o de Dados tamb\u00e9m avalia os esfor\u00e7os das empresas em seguir processos \u00edntegros<\/strong>: durante um processo, as empresas t\u00eam o direito de se defender a partir da apresenta\u00e7\u00e3o de documenta\u00e7\u00e3o que comprove a aten\u00e7\u00e3o \u00e0s boas pr\u00e1ticas de seguran\u00e7a da informa\u00e7\u00e3o. Apesar de ser uma prerrogativa imensur\u00e1vel, essa possibilidade \u00e9 um primeiro indicador de que a LGPD n\u00e3o \u00e9 apenas mais uma burocracia que as empresas precisam seguir para evitar multas \u2013 mas tamb\u00e9m, uma oportunidade<\/strong>. <\/p>\n\n\n\n

Esse foi o foco da conversa entre Fernanda Nones (Privacy and Data Protection Specialist da RD Station), Cyrano Rizzo (CTO da Binario Cloud), C\u00e1ssio Nascimento (Project Manager Leader da Binario Cloud) e Luana Nogueira (Head of Marketing da Binario Cloud) na 1\u00aa Edi\u00e7\u00e3o da Bin\u00e1rio Week 2021. Na roundtable \u201cSeguran\u00e7a da Informa\u00e7\u00e3o e LGPD com especialistas em infraestrutura e gest\u00e3o de TI\u201d, o bate-papo cobriu temas como os principais desafios nas empresas, monetiza\u00e7\u00e3o de dados, o papel do DPO nas empresas, al\u00e9m de dicas pr\u00e1ticas para auxiliar organiza\u00e7\u00f5es a se manter em compliance<\/strong><\/a>. <\/p>\n\n\n\n

Por isso, vamos conferir neste artigo quais s\u00e3o as principais oportunidades que as empresas podem explorar quando o assunto \u00e9 LGPD e seguran\u00e7a da informa\u00e7\u00e3o nessa conversa que, assim como a legisla\u00e7\u00e3o, deu muito pano pra manga! Se preferir, voc\u00ea tamb\u00e9m pode dar play na grava\u00e7\u00e3o da roundtable agora.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

O que toda empresa precisa saber sobre LGPD e seguran\u00e7a da informa\u00e7\u00e3o<\/strong><\/h2>\n\n\n\n

Apesar das multas serem uma das principais preocupa\u00e7\u00f5es das empresas, o que toda organiza\u00e7\u00e3o precisa ter em mente \u00e9 que a quest\u00e3o sobre LGPD n\u00e3o s\u00e3o as multas, mas sim a oportunidade de constru\u00e7\u00e3o de um novo mindset<\/strong> voltado para processos, ferramentas e pr\u00e1ticas seguras, que beneficiem todas as partes interessadas. Um bom exerc\u00edcio para fomentar essa pr\u00e1tica e realmente abra\u00e7ar as novas oportunidades do mercado \u00e9 nos colocarmos mais no papel do \u201cusu\u00e1rio final\u201d, entendendo quais s\u00e3o suas dores. Mas isso s\u00f3 ser\u00e1 poss\u00edvel com uma mudan\u00e7a na cultura das organiza\u00e7\u00f5es.<\/p>\n\n\n\n

Cultura organizacional \u00e9 uma necessidade<\/h4>\n\n\n\n

Para que as empresas aproveitem as oportunidades que a legisla\u00e7\u00e3o traz para os neg\u00f3cios, \u00e9 necess\u00e1rio que exista o comprometimento de todo o time executivo em injetar uma cultura organizacional com foco na seguran\u00e7a da informa\u00e7\u00e3o<\/strong>. Afinal, uma adequa\u00e7\u00e3o efetiva \u00e0 LGPD s\u00f3 \u00e9 poss\u00edvel se todos os colaboradores souberem seu papel no fluxo de informa\u00e7\u00f5es, bem como o impacto do n\u00e3o seguimento das melhores pr\u00e1ticas de prote\u00e7\u00e3o de dados para as demais \u00e1reas na empresa. <\/p>\n\n\n\n

N\u00e3o \u00e9 poss\u00edvel se adequar \u00e0 lei sem entender o cen\u00e1rio corporativo<\/h4>\n\n\n\n

Cada empresa \u00e9 um organismo vivo, com uma cultura pr\u00f3pria, processos que se adequam \u00e0 realidade de neg\u00f3cio e requisitos diferentes. Isso significa que nenhum framework sobre compliance com a LGPD e seguran\u00e7a da informa\u00e7\u00e3o vai servir 100% para todas as empresas. <\/p>\n\n\n\n

De acordo com C\u00e1ssio Nascimento, a chave para resolver esse problema \u00e9 conhecer sua organiza\u00e7\u00e3o<\/strong>: \u201cN\u00e3o \u00e9 sobre se adequar apenas, mas sim, entender como sua empresa funciona e fazer as adequa\u00e7\u00f5es necess\u00e1rias em outras \u00e1reas, visando criar processos que n\u00e3o engessam, mas sim, que impulsionam o neg\u00f3cio\u201d, comenta o Project Manager Leader da Binario Cloud. <\/p>\n\n\n\n

O importante \u00e9 come\u00e7ar<\/h4>\n\n\n\n

Para Cyrano Rizzo, \u201co maior risco da LGPD \u00e9 deixar pra l\u00e1. Da mesma forma que n\u00e3o d\u00e1 pra ter um avi\u00e3o no c\u00e9u sem um piloto, n\u00e3o existe uma ferramenta m\u00e1gica que vai proteger seu ambiente sem que existam boas pr\u00e1ticas e pessoas. Por isso, o importante \u00e9 come\u00e7ar\u201d. <\/p>\n\n\n\n

Conforme pontuaram os porta-vozes da roundtable, este \u00e9 um momento delicado para a entrada de uma nova Lei em vigor. Por\u00e9m, para as empresas que est\u00e3o come\u00e7ando a pesquisa agora, existem muitas mudan\u00e7as que j\u00e1 podem ser feitas, mesmo que n\u00e3o exista a figura do DPO, nem budget para uma consultoria.<\/p>\n\n\n\n

O papel do DPO para o compliance das organiza\u00e7\u00f5es com a LGPD<\/strong><\/h2>\n\n\n\n

O Data Protection Officer<\/strong> ou Encarregado de Dados (DPO) \u00e9 um colaborador, que pode ser interno ou externo (como em uma consultoria ou um PJ, por exemplo) encarregado por fazer a interface entre os n\u00edveis de fluxos de dados<\/strong> da organiza\u00e7\u00e3o, monitorar o que est\u00e1 sendo feito na empresa e como s\u00e3o os processos para garantir que tudo ocorra de acordo com as melhores pr\u00e1ticas. Assim, o DPO precisa atuar fortemente no estrat\u00e9gico<\/strong>, compreender o n\u00edvel t\u00e1tico<\/strong> profundamente, at\u00e9 chegar no operacional<\/strong>. <\/p>\n\n\n\n

Apesar disso, ter um DPO nomeado n\u00e3o \u00e9 uma garantia de seguran\u00e7a da informa\u00e7\u00e3o, ele \u00e9 apenas uma parte do processo de prote\u00e7\u00e3o de dados. Sem que exista uma base de processos e metodologias previamente estabelecidas na empresa, o DPO n\u00e3o conseguir\u00e1 lidar com as quest\u00f5es pertinentes \u00e0 seguran\u00e7a da informa\u00e7\u00e3o. Por isso, seu papel \u00e9 essencial, mas existem outros procedimentos que as institui\u00e7\u00f5es precisam priorizar.<\/p>\n\n\n\n

Como implementar um modelo mais seguro quando h\u00e1 falta de recursos<\/strong><\/h2>\n\n\n\n

Quando h\u00e1 falta de recursos para contrata\u00e7\u00e3o de um DPO ou promo\u00e7\u00e3o de um colaborador atual para o cargo, seja por quest\u00f5es de budget, falta de tempo ou at\u00e9 mesmo de pessoas qualificadas, as empresas podem come\u00e7ar realizando o mapeamento do cen\u00e1rio atual em todos os departamentos.<\/p>\n\n\n\n

Mapeamento da infraestrutura de TI<\/h4>\n\n\n\n

Para C\u00e1ssio Nascimento, uma forma de fazer o mapeamento do parque de TI \u00e9 o Assessment, consultoria que pode ser realizada pelos profissionais da empresa ou atrav\u00e9s da contrata\u00e7\u00e3o de um servi\u00e7o especializado que vai aplicar question\u00e1rios, entrevistas, fazer reuni\u00f5es com as partes interessadas, verificar toda a camada de governan\u00e7a, processos e infraestrutura de TI. Dessa forma, \u00e9 poss\u00edvel mapear o cen\u00e1rio tecnol\u00f3gico da empresa, trazer um diagn\u00f3stico e um plano de a\u00e7\u00e3o, viabilizando a implementa\u00e7\u00e3o de medidas caso ocorra algum problema.<\/p>\n\n\n\n

\u201cO importante \u00e9 entender a fundo o que a empresa faz. Quais s\u00e3o os processos que coletam, tratam e armazenam dados pessoais? Quais s\u00e3o as partes interessadas? Existe transpar\u00eancia entre o fornecedor, que vai coletar esses dados, e o titular? Quais s\u00e3o os riscos? Quais s\u00e3o as regras de neg\u00f3cio? A partir da\u00ed, podemos criar as Pol\u00edticas de Seguran\u00e7a<\/strong><\/a>, de Reten\u00e7\u00e3o, de Backup, ou at\u00e9 mesmo revisar as existentes para garantir que elas s\u00e3o aderentes \u00e0 LGPD\u201d, afirma C\u00e1ssio Nascimento.<\/p>\n\n\n\n

Entendimento dos processos de marketing e comunica\u00e7\u00e3o<\/h4>\n\n\n\n

Outra forma de come\u00e7ar \u00e9 olhando para o marketing e as campanhas de comunica\u00e7\u00e3o<\/strong><\/a> nas empresas. De acordo com Fernanda Nones, \u201ca LGPD n\u00e3o vem para matar a an\u00e1lise de dados que permite que as empresas criem campanhas personalizadas para os usu\u00e1rios, mas sim para criar oportunidades\u201d. De acordo com a Data Protection Officer da RD Station, \u00e9 importante que as empresas entendam quais s\u00e3o os limites entre o uso da tecnologia para contato com prospects e o que \u00e9 invasivo para os usu\u00e1rios. Por isso, \u00e9 importante investigar se existe transpar\u00eancia no aceite dos termos de privacidade dos servi\u00e7os que as empresas prestam para os usu\u00e1rios, bem como consentimento de comunica\u00e7\u00e3o e bases legais. <\/p>\n\n\n\n

\u201cNa LGPD, existe o entendimento de que se o aceite aos termos de privacidade for uma condi\u00e7\u00e3o para o oferecimento de um produto ou servi\u00e7o, n\u00e3o h\u00e1 problema em coletar os dados do usu\u00e1rio. Por\u00e9m, a aceita\u00e7\u00e3o da pol\u00edtica de privacidade \u00e9 diferente da aceita\u00e7\u00e3o de comunica\u00e7\u00e3o. Nesse caso, a pessoa precisa ter o direito \u00e0 escolha. Ou seja, sair da lista de comunica\u00e7\u00e3o de uma empresa precisa ser t\u00e3o f\u00e1cil quanto entrar\u201d, comenta Fernanda Nones.<\/p>\n\n\n\n

Em resumo, algumas pr\u00e1ticas iniciais que organiza\u00e7\u00f5es com pouco recurso para investir em DPO e consultoria podem fazer \u00e9 entender a origem e integridade dos dados armazenados<\/strong> hoje. \u201cBasicamente, entender como lidar com esses dados de forma mais \u00e9tica\u201d, complementa Luana Nogueira.<\/p>\n\n\n\n

O uso de ferramentas para garantir processos mais seguros<\/strong><\/h2>\n\n\n\n

Do ponto de vista da tecnologia, muita coisa ainda precisa ser feita para garantir a prote\u00e7\u00e3o de dados, isso por que a LGPD traz consigo uma nova cultura com processos voltados para prote\u00e7\u00e3o de dados que infelizmente n\u00e3o estava nas top priorities das corpora\u00e7\u00f5es. Por\u00e9m, existe muita tecnologia pronta para isso no mercado. Como exemplo, podemos citar as ferramentas de Pentest<\/strong>, que avaliam com assertividade o risco de invas\u00e3o e hacking no parque de TI.<\/p>\n\n\n\n

Para Cyrano Rizzo, \u201cvia de regra, as empresas j\u00e1 utilizam boa parte das principais ferramentas do mercado, como gest\u00e3o de diret\u00f3rios, criptografias e outras solu\u00e7\u00f5es. Dessa forma, o que cabe \u00e9 uma adapta\u00e7\u00e3o global aos processos, trazendo-os para o cotidiano da opera\u00e7\u00e3o. Muitas empresas j\u00e1 t\u00eam as ferramentas para garantir a seguran\u00e7a das informa\u00e7\u00f5es, mas acabam n\u00e3o utilizando por falta de conhecimento\u201d.<\/p>\n\n\n\n

Como trazer processos seguros para dados que j\u00e1 existem na empresa<\/h4>\n\n\n\n

\u00c9 importante ressaltar que, quando falamos na cria\u00e7\u00e3o ou manuten\u00e7\u00e3o de processos que aumentem a seguran\u00e7a da informa\u00e7\u00e3o nas empresas, o objetivo \u00e9 justamente regulamentar o legado \u2013 ou seja, aquilo que j\u00e1 existe nas bases de dados desde a funda\u00e7\u00e3o da institui\u00e7\u00e3o. E apesar desses procedimentos n\u00e3o servirem para os novos dados, constru\u00ed-los \u00e9 necess\u00e1rio para embasar o trabalho que dever\u00e1 ser seguido daqui em diante.<\/p>\n\n\n\n

Na pr\u00e1tica, a constru\u00e7\u00e3o de processos vai seguir tr\u00eas est\u00e1gios:<\/p>\n\n\n\n