Porque a LGPD não garante a segurança dos seus dados
Se você está preocupado com a Lei Geral de Proteção de Dados, precisa ler este texto antes de se contentar com a conformidade.
Utilizando a metáfora criada pela analista política Michele Wucker para descrever os perigos “altamente óbvios, altamente prováveis, mas ainda negligenciados”, a LGPD é como um rinoceronte cinza prestes a invadir as organizações brasileiras.
Os motivos para negligenciar a ameaça são muitos: resistência em aceitar as mudanças, minimização dos riscos para a segurança e integridade do negócio, comodismo diante das leis atuais que deixam os dados à deriva e problemas operacionais para implementação.
E claro: uma dificuldade imensa em enxergar a segurança da informação para além da LGPD.
Para muitos, estar em compliance com as novas normas é suficiente, mas será que a LGPD é realmente a panaceia da proteção de dados nas empresas?
Se você também desconfia dessa “solução milagrosa”, ou está achando que a nova lei vai resolver todos os problemas da sua empresa, este texto é para você.
Continue lendo e questione tudo o que você sabe — ou achava que sabia — sobre LGPD e cibersegurança.
A LGPD vai entrar sem pedir licença
Nossa Lei Geral de Proteção de Dados Pessoais (LGPD), ou Lei nº 13.709, deve entrar para a história do país como uma das mais polêmicas e difíceis de implementar.
Ela foi aprovada em 2018 e estava prevista para entrar em vigor no dia 14 de agosto de 2020, mas já enfrentava resistência a esse prazo desde o início.
Para você ter uma ideia, 84% das empresas brasileiras afirmaram não estar preparadas para a chegada da LGPD, segundo uma pesquisa publicada na Época Negócios.
Então, por ironia do destino, a pandemia do coronavírus obrigou o governo a adiar a vigência da lei para maio de 2021, por meio da Medida Provisória nº 959/2020.
Em agosto de 2020, a estabilização do coronavírus trouxe outra reviravolta: o Senado Federal derrubou o adiamento e determinou que a LGPD valeria a partir de 27 de agosto de 2020, com ou sem a sanção do presidente, conforme noticiado no Uol.
Agora, o governo tem 15 dias para decidir se sanciona ou não a lei, mas a ideia é que as penalidades para quem não cumprir a LGPD só passem a valer em agosto de 2021 — a temida multa de 2% do faturamento que pode chegar a R$ 50 milhões.
Enquanto isso, a Autoridade Nacional de Proteção de Dados (LGPD) já está criada e aguardando apenas a nomeação de um diretor-presidente, embora a fiscalização não tenha previsão para começar.
Independentemente dessa saga, há uma certeza: a LGPD está batendo à nossa porta e vai entrar a qualquer momento — e quem não estiver preparado pode ter problemas muito piores do que as multas previstas na lei.
Por que a conformidade com a LGPD é essencial, mas não suficiente
Com a iminência da LGPD, foi dada a largada para uma corrida de conformidade entre as empresas.
Em tempo recorde, elas terão que garantir que os dados de clientes, colaboradores, parceiros sejam protegidos de vazamentos, perdas, destruição, exposição e acesso não autorizado nas empresas, além de tratados mediante consentimento e manipulados sob normas rigorosas.
Para isso, será preciso implementar uma política de segurança, classificar informações, controlar o acesso, realizar testes, ter planos de resposta a incidentes, e várias outras medidas.
Algumas empresas estão recorrendo à ISO 27701, que ficou conhecida como certificação da LGPD, ainda que suas diretrizes não sejam suficientes para garantir o compliance.
Outras estão contratando pacotes “prontos” com softwares e metodologias pouco efetivas, que estão longe de pensar os processos de forma abrangente.
Mas será que adianta ter o “selo LGPD” sem uma cultura de segurança da informação sólida?
É o que vamos entender nos próximos tópicos.
Como o GRC pode agilizar a adequação à LGPD
GRC é a sigla para Governança, Gestão de Risco e Conformidade: uma abordagem 360 que garante o alinhamento do TI com os objetivos do negócio, a mitigação de riscos e o compliance corporativo.
Estes são os três pilares que a estruturam:
- Governança: sistema geral de normas, práticas, padrões e processos de administração da empresa que guia a tomada de decisão, informação de gestão e estruturas de controle
- Gestão de risco: conjunto de estratégias e processos de análise, monitoramento e resposta aos riscos que ameaçam a organização, buscando identificar incertezas e antecipar desafios
- Conformidade ou compliance: é a conformidade com normas, padrões, requisitos e leis internas e externas.
Ou seja: a governança garante que a gestão está seguindo o caminho certo e mantendo a transparência, a análise de risco permite gerenciar potenciais ameaças e a conformidade deixa a empresa em dia com as questões regulatórias essenciais à sua operação.
E o que isso tem a ver com a LGPD?
Absolutamente tudo, pois uma solução de GRC facilita a adequação à nova lei de proteção de dados pessoais e amplia as políticas de segurança para proteger também os dados corporativos.
Por exemplo, com os serviços especializados GRC, a organização consegue centralizar seus dados e gerenciar a informação com muito mais agilidade, facilitando a tarefa de classificar e tratar todos os dados — incluindo dados pessoais e outros dados de projetos, clientes e projeções da empresa.
A estratégia também serve como base para a criação de um programa de governança e privacidade e planos de resposta à violação de dados.
Dessa forma, a empresa pode manter o controle sobre o uso dos dados, detectar vulnerabilidades, agir rapidamente em caso de incidentes e garantir a conformidade com a LGPD sem esforço.
Por isso, as empresas que já têm uma cultura de segurança da informação sólida não estão ameaçadas pelo rinoceronte cinza da LGPD, uma vez que já se preocupam em manter seus dados corporativos e pessoais protegidos.
Como ir além da LGPD com análise de risco
Muitas empresas podem estar em compliance com a LGPD sem nunca terem feito uma análise de risco.
Isso é preocupante, pois a nova lei deixa clara a importância de mapear, monitorar e criar estratégias de resposta contra as ameaças que rondam os dados pessoais de usuários.
Além disso, os negócios lidam diariamente com dados confidenciais sobre projetos, clientes, metodologias, resultados financeiros, entre outras informações que também precisam ter sua integridade e privacidade garantida.
Por isso, as empresas preocupadas com cibersegurança e atentas ao cenário global incluem a análise de risco em seus processos.
E mais importante: elas fazem isso não apenas para se adequar à LGPD, mas para proteger todos os dados da empresa de riscos como perda, vazamento e exclusão acidental.
Na prática, a análise de risco é uma avaliação da probabilidade de ocorrência de determinados eventos e nível de impacto que poderão causar à empresa, que permite classificar e priorizar riscos.
Por exemplo, imagine o prejuízo de sofrer perda, danos ou vazamento de dados sobre um projeto prioritário da empresa ou sobre seu principal cliente.
Com um processo de análise de risco envolvendo pessoas, processos e tecnologia, é possível:
- Entender se os riscos estão associados a problemas de governança, falta de recursos ou falhas de infraestrutura
- Identificar os dados sensíveis e classificá-los conforme os riscos a que estão expostos
- Mapear ameaças eletrônicas, físicas, humanas e de infraestrutura
- Identificar rapidamente os tipos de riscos, grau de impacto e chances de ocorrência
- Implementar testes e medidas preventivas para mitigar riscos
- Criar planos de resposta e contingência em caso de incidentes
- Monitorar continuamente os riscos identificados e novas ameaças.
Para conduzir essas análises, é possível utilizar ferramentas de escaneamento de vulnerabilidades, testes de intrusão e outras técnicas que são integradas à GRC para aumentar a ciber-resiliência da empresa e proteger seus dados.
Não à toa, várias etapas da análise de risco são descritas nas exigências da LGPD, que marca uma nova era da segurança da informação nas empresas brasileiras.
Se você encarar a LGPD como o primeiro passo para desenvolver um GRC eficiente, estará mais perto da maturidade em cibersegurança e pronto para mitigar os riscos que rondam seu negócio.
DM11: soluções completas em ITGRC
Agora que você sabe por que é preciso ir além da LGPD para proteger seu negócio, fica mais fácil entender as soluções em ITGRC da DM11.
Somos uma fornecedora independente de Serviços em Segurança da Informação, IT GRC e Continuidade de Negócios, com a missão de ajudar sua empresa a proteger dados e garantir a privacidade e continuidade das operações.
Além da solução completa para implementação da LGPD, oferecemos os seguintes serviços especializados:
- Consultoria para atendimento a ISO 27001;
- Consultoria para atendimento a ISO 27701;
- Simulação de ataques cibernéticos;
- Gestão de vulnerabilidades;
- Conformidade com BACEN 4658 e BACEN 3909;
- Adequação para a Certificação PCI-DSS;
- Programa completo de Data Protection & Privacy;
- Implementação do COBIT;
- Implementação do ITIL;
- Serviços de avaliação de segurança na nuvem;
- Construção de estrutura de cibersegurança personalizada.
Se você quer evitar que a LGPD e a segurança da informação sejam os rinocerontes cinzas da sua empresa, entre em contato com a nossa equipe e descubra como se defender de qualquer ameaça.