A LGPD exige que as empresas implementem um programa de governança em privacidade que, no mínimo, a empresa crie políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade.

Também deve possuir planos de resposta a incidentes e remediação, atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

Claro que isso não é uma tarefa fácil.

Primeiramente precisamos quebrar alguns paradigmas e falsas crenças em relação a segurança de dados.

A primeira dela é pensar que apenas ter um firewall, realizar backup periódico é o suficiente.

Vamos descrever algumas boas práticas para começar a estar em conformidade com a LGPD:

1) Formular regras de boas práticas e de governança:

Nós sabemos que a TI já tem algumas regras e boas práticas aplicadas, porém a LGPD reforça isso para que seja bem documentado, estruturado e continuamente avaliado.

– Como os dados serão tratados e armazenados?
– Quem vai cuidar para que os dados sejam coletados de forma adequada?
– Quem entrará em contato com os titulares para tirar dúvidas ou atender solicitações?
– Exemplo: se um cliente ligar dizendo que deseja todos seus dados sejam excluídos, como vai funcionar esse processo?
– Quem será o porta voz da empresa sobre o assunto?

2) Estabelecer políticas e salvaguardas adequadas:

– Devem existir políticas internas como externas.
– Quem pode acessar os dados dentro da empresa?
– Fornecedores externos tem acesso aos dados do banco de dados?
– Existem níveis de acesso os dados da empresa?

3) Processo de avaliação sistemática de impactos e riscos:

A empresa pode realizar testes de invasão, de tempos em tempos para avaliar se existe algum risco que possa trazer prejuízos financeiros ou a reputação da empresa.

Aqui poderia entrar os scans de vulnerabilidades também, assim é possível mapear que danos tal vulnerabilidade poderia causar.

4) Monitoramento contínuo e avaliações periódicas:

Nesse ponto acreditamos que já exista um processo e boas práticas implementadas e agora precisa ser monitorado.

Sabemos que acorrem mudanças constantes, internas e externas, hoje pode estar tudo ok, mas amanha pode sair um novo patch para ser instalado.

Alguém deve estar monitorando isso para não passar batido…

Um funcionário está saindo e sua conta de email continua ativa mesmo depois de sair…

ou o site foi atualizado e deixaram algumas portas abertas, ou serviços funcionando que deveriam estar desativados, curl, ftp, ssh…

Mudanças ocorrem continuamente e devem ser monitoradas sempre que possível.

Podemos ver que algumas coisas mudaram devido a nova lei, algumas empresas estão em dia com tudo que falamos acima, mas a grande maioria ainda precisa arrumar a casa.

Esperamos que possa tirar alguns insights.

Bom trabalho.


PS: Se você é Gerente de TI ou analista e está envolvido com Cyber Segurança na sua empresa, temos uma lista exclusiva com Boas Práticas e Procedimentos que NÃO publicamos no blog. Se quiser receber esse material exclusivo por favor deixe seu email abaixo: