Acreditamos que a LGPD vai começar a fazer parte da atividade da área de TI nas empresas.

Um dos passos iniciais para TI, é fazer um mapeamento detalhado dos ativos de tecnologia que armazenam ou transferem dados sensíveis, ou também chamados de “silos de dados”.

Como um mapa claro pode-se estabelecer níveis de proteção e controles adequados…

Segue alguns exemplo de “silos” que armazenam ou coletam dados:

  • Banco de dados internos e externos, como SQL e outros tipos de bancos não estruturados.
  • Aplicações Web que armazenam dados.
  • Servidores de arquivos internos, como Windows File Server, NFS, etc.
  • “Share” de Rede, ou sejam os compartilhamentos na rede.
  • “Buckets” de dados na nuvem, como por exemplo Amazon S3, Dropox Business, Google Drive, etc.
  • Servidores de backup internos.
  • Drives de backup na nuvem.
  • Servidores de email e arquivamento de mensagens.
  • API’s de aplicações.
  • Ferramentas de marketing de terceiros.

Com um mapa dos ativos, pode-se verificar como esses “silos” trocam dados entre eles, por exemplo:

  • É utilizada criptografia para transferência de dados, como SSL/TLS ?
  • É utilizada criptografia para armazenar o dado, como AES ou outro algoritmo ?
  • Quem tem acesso a determinado dado?
  • Há registro (log) de acesso ao dado?
  • É executada uma análise de vulnerabilidades nos “silos” de dados?
  • Qual a frequência da verificação das vulnerabilidades?
  • É possível verificar quais vulnerabilidades já foram corrigidas?
  • Qual a frequência de atualização de versão e patchs de determinados “silos” que estão na empresa?

Os exemplos citados acima são somente uma visão geral do que mapear e quais controles aplicar nos ativos de TI.

Esperamos que estes post ajude a dar alguns insights para começar a mapear ativos de tecnologia.

Bom trabalho.


Nota: esse post é uma interpretação livre dos artigos da LGPD. Não deve ser tomada como uma consulta legal e/ou recomendação legal e/ou consultoria jurídica. Sempre consulte a área jurídica da sua empresa, advogado ou consultor jurídico para adequar a LPDG à sua empresa.


PS: Se você é Gerente de TI ou analista e está envolvido com Cyber Segurança na sua empresa, temos uma lista exclusiva com Boas Práticas e Procedimentos que NÃO publicamos no blog. Se quiser receber esse material exclusivo por favor deixe seu email abaixo: