LGPD, faltam 6 meses

A LGPD – Lei Geral de Proteção de Dados entra em vigor em agosto de 2020, muitas questões ainda continuam em aberto dentro das empresas, como está sua preparação?

Nesse início de ano visitamos algumas empresas para falar sobre  as nossas soluções e a preparação para o início da lei em agosto e tenho observado que nem todas estarão prontas.

Antes, vamos explicar onde a be.MAV atua:

    • A varredura de toda a plataforma tecnológica pelos dados que foram considerados sensíveis, arquivos estruturados e não estruturados,
    • A proteção desses dados através da criptografia,
    • A integração da criptografia ao controle de acesso,
    • Consultoria para definição do nível de acesso por função ou a revisão do que já existe
    • Monitoração continua  do que foi considerado como dado sensível está sendo tratado corretamente, relatórios de auditoria, evitando possíveis multas.

Entendemos que olhando a lei temos muitos outros aspectos a serem considerados, mas optamos por atuar no nosso DNA.

No final do ano passado participamos de um evento na FAAP em vídeo conferência com um secretário do governo em Brasília e fiz exatamente esse questionamento, sobre o eventual despreparo de algumas organizações, em especial as de médio e pequeno porte, incluindo as multas que poderão ser aplicadas e a resposta foi evasiva.

Em nossas conversas temos observado que um dos principais pontos, que é o controle de acesso ou para alguns gestão de identidade, ainda está relegado a segundo plano:

    • Em algumas organizações ainda existe uma dissonância entre quem iniciou o processo de preparação para o LGPD e a área de TI e SI, que efetivamente terão que se envolver no que diz respeito aos dados,
    • Não existe um processo de controle de acesso ou se existe está desatualizado e aqui envolve TI/SI, RH e usuários,
    • Vimos o erro comum em achar que um software de controle de acesso irá resolver, quando o fundamental é o trabalho inicial de definição das funções ou a revisão do que existe, depois existem muitas ferramentas que poderão ajudar, das mais caras (que nem sempre são necessárias) as baratas (que resolvem o problema),
    • Em nossa vivência, observamos que a grande maioria das organizações que iniciaram com ferramentas de controle de acesso viram seus projetos darem água no passado.
Clique aqui e acesse o material complete e as soluções
Clique aqui e acesse o material completo e as soluções

Para nós da be.MAV, fazer a varredura dos dados sensíveis e criptografar é coisa fácil, pois temos parceiros de qualidade, mas o que realmente nos preocupa é o sucesso do projeto dos nossos clientes, e nisso o controle de acesso é fundamental.

Caso sua preocupação seja a mesma que a nossa, podemos ajudá-lo nessa fase de montagem ou revisão dos acessos, um trabalho que demanda entrevistas, integração de áreas, conscientização de cada gestor na definição de quem pode o que.

Um caso dentre muitos que estamos acompanhando:

Estivemos reunidos com um gerente de SI onde não é a TI que está conduzindo o processo de LGPD.

Faltando 6 meses e a TI/SI ainda não foi envolvida efetivamente no processo.

Abordei o principal ponto, na nossa visão, que é o controle de acesso e esse gestor de SI faz o trabalho dentro das possibilidades que a organização permite, tem seu controle de acesso com base no que ele vê por controles tecnológicos, tem tudo em planilha e não faz as entrevistas periódicas para definir ou revisar e nem tem integração com RH.

Curiosamente ele acaba, de forma reativa, descobrindo acessos indevidos aos dados e então atua, em geral quando um usuário liga com uma dúvida.

O mais preocupante é que temos visitado empresas que não tem nenhum controle.

Algumas informações e dicas coletadas:

    • 64% das organizações dizem não saber onde seu conteúdo sensível está localizado e quem pode acessá-lo, as empresas ainda têm um longo caminho pela frente para atenderem às novas regras.
    • 21% de todas as pastas em uma empresa são abertas a todos os funcionários e 88% das organizações com mais de 1 milhão de pastas têm mais de 100 mil abertas para qualquer membro da equipe. Ou seja, quase não há controle e nem registros do que é realizado dentro dos arquivos de dados e por quem.
    • Saber onde estão localizadas as informações pessoais que precisam ser protegidas é só o primeiro passo para estar em conformidade com a LGPD. Uma vez que você sabe onde está localizado o conteúdo sensível, os maiores desafios vêm a seguir: entender quem tem acesso a essas informações, quem está usando, quem é o dono se foram violados, se podem ser excluídos, se oferecem riscos e quem vai ser afetado com uma eventual mudança em seu conteúdo.
    • 76% de todas as pastas contêm dados obsoletos, um problema que, inclusive, também é previsto pelo LGPD, uma vez que a lei deixa claro que as empresas só podem manter informações enquanto forem necessárias e, caso não atendam a esse requisito, devem eliminá-las permanentemente.

Controle de acessos

    • Conhecer e adotar os melhores padrões técnicos de qualidade em segurança da informação é apenas um dos passos. Sua atenção deverá se voltar ao controle de acessos realizado dentro da sua empresa.
    • Você sabia que grande parte dos vazamentos de dados são realizados a partir de acessos válidos? Isso significa que o invasor sequer precisa quebrar o sistema. Por isso, hierarquizar todo o controle de acesso da sua organização é uma ação urgente.
    • Comece a trabalhar o quanto antes na Política de Controle de Acesso, um documento que precisa ser revisado constantemente, no qual constam todos os requisitos de segurança da informação do seu negócio.
    • O caminho mais comum a ser seguido no mundo corporativo é o controle de acesso baseado na função. Basicamente, são definidas permissões e restrições de acordo com a função de cada colaborador dentro da organização.
    • Comece o quanto antes a revisar as permissões de acesso e de controle de segurança da sua empresa. Sua gestão precisa estar 100% alinhada à LGPD e o tempo está cada vez mais curto.

Clique aqui e acesse o material completo e as soluções

Ou entre em contato, clique aqui…