Como você sabe, o escritório Assis e Mendes tem entre suas especialidades a Conformidade com a LGPD e Direito dos Titulares:
Nós auxiliamos sua empresa na conformidade com a Lei Gera de Proteção de Dados focando das bases legais para o tratamento de dados, revisão dos contratos e cumprimento do Direito dos Titulares. Mas sabemos que nosso trabalho cobre a parte jurídica da conformidade com a lei.
Para a parte tecnológica, contamos com parceiros especializados em Segurança da Informação para atender nossos clientes desde o assessment até a implantação de ferramentas que auxiliem na execução de tarefas, gestão de privacidade e segurança dos dados.
Por isso, conversamos com o especialista Marcos Freitas, Diretor de Delivery e Auditor Líder do nosso principal parceiro, a Leadcomm Performance&Security, para te ajudar a entender quais os primeiros passos que a empresa deve fazer no atendimento ao que rege a LGPD, a importância de ter uma política de segurança da informação e de adotar os processos derivados dela para que você possa cuidar de forma efetiva do seu negócio.
- Marcos, é bastante comum ouvir que é importante ter políticas de segurança. Mas, de fato, para podermos entender bem e de forma objetiva, o que são políticas ou política de segurança? E por que as empresas devem se preocupar com isso?
As políticas de segurança são importantes, pois elas estabelecem nas organizações as diretrizes para que todos os envolvidos, dentro de suas funções e habilidades, possam ter responsabilidade com relação ao uso das informações dentro da empresa, como transferência, armazenamento e uso – quem pode acessá-la, quem não pode. Essa é a parte mais importante. A informação é um bem muito preciso e as políticas garantem a proteção e uso correto dos dados. Ainda mais hoje, com a questão da LGPD, essas regras passam a ser ainda mais importante, porque agora existe uma lei que estabelece o direito do titular dos dados e pode acarretar multas às empresas quando há o mau uso dos dados pessoais e sensíveis.
- Quais são os principais desafios encontrados para se desenhar e implementar uma política de segurança?
Eu diria que, mesmo hoje, as empresas no Brasil são pouco maduras no quesito segurança. Os riscos normalmente são muito negligenciados. Através da consultoria LGPD que realizamos pela Leadcomm, conseguimos ver que há um despreparo de grandes organizações para poder atender toda e qualquer legislação que trate da segurança de dados. Enxergamos uma distância entre a realidade e o que de fato se deseja nessa área. Por mais que esse seja um tema tratado há, pelo menos, mais de três décadas de forma intensa, a gente percebe pouca evolução nas grandes empresas (e nas demais também).
Outra questão importante, que sempre ouvimos, é o direcionamento da gestão de segurança de uma organização para e somente à área de TI (tecnologia da informação) quando, na verdade, a segurança é um tema corporativo e deve ser tratada como tal. Além do mais, muitas informações estão fora da alçada da TI.
- Classificação de dados – o que é isso?
Quando a gente fala de política de segurança e das boas práticas para o trato das informações, é importante entender que os dados não possuem os mesmos graus de importância. Dentro de uma organização, encontramos vários grupos de informações – desde as pouco importantes até as estratégicas. O desafio é rotular todas mediante esse fator.
A classificação de dados é o rótulo que se dá a determinadas informações – a pública, a confidencial, a restrita – e a partir dessa classificação estabelece-se controles de armazenamento, transferência, trocas, forma de descarte, etc.
- Fala-se bastante da importância de classificar os dados sensíveis dentro de uma empresa. É algo que pode ser feito internamente?
O grande desafio de classificar dados internamente é que é pouco provável que a empresa tenha um profissional dedicado a isso e que consiga compreender, por exemplo, a LGPD, que é muito ampla. Isso se dá pela negligência que ocorre há muito tempo por parte das empresas em relação à segurança e pela defasagem de profissionais no mercado.
As empresas enfrentam dificuldades em encontrar profissionais da área de segurança, agravado pela entrada da LGPD, e esse são especializados e focados na TI – que é apenas uma das camadas da segurança.
É preciso ter visão do negócio.
Com isso, é mais fácil buscar por parceiros/terceiros com expertise, profissionais qualificados e competência para entregar o trabalho. Assim, a empresa também pode continuar focada no seu negócio (core business).
- Existe uma forma ideal para mapear dados? Aliás, qual é a diferença entre classificar dados e mapear dados?
O mapeamento é o entendimento de onde estão os dados captados, utilizados e armazenados pela empresa e como são utilizados cada tipo de dado (classificados conforme explicado anteriormente). Por exemplo: a LGPD trata dados pessoais e sensíveis. O mapeamento irá determinar quais as áreas da empresa que recebem, tratam e armazenam esses dados e de que forma o fazem.
Para mapear, é necessário conhecer todos os processos de todos os setores da empresa, para identificar onde existem dados pessoais, quais são esses dados, de quem, como são tratados e onde ficam armazenados.
A classificação é o rótulo que ajudará a determinar qual a política que será seguida para aquele dado mapeado.
- O mapeamento de dados e as políticas de segurança são questões de responsabilidade exclusiva da área de TI?
Não. A segurança da informação é um problema corporativo, deve ser tratada como tal e ser parte da estratégia de negócio da organização. É claro que a TI tem muita relação com a segurança, principalmente porque falamos de infraestrutura, sistemas, monitoramento, suporte, análises, etc. Mas tudo isso deve estar alinhado à uma política geral de segurança.
- Para finalizar:
O tema segurança é bastante antigo, o ponto é que deixamos a política de segurança da informação como algo mais prático do que teórico. Encontramos muitas empresas com políticas escritas, mas muito distante daquilo que é possível ser executado na prática – muitas vezes as empresas possuem diretrizes e documentos escritos, mas são coisas muito distantes do que podem executar. A política de SI tem que retratar algo que seja próximo ao dia a dia da empresa, caso contrário, será mais um documento que vai ficar parado na gaveta.
Muitas vezes, empresas copiam políticas uma das outras, mas na prática, o que foi copiado não é possível de se aplicar no dia a dia porque está muito longe da realidade e dos aspectos culturais da empresa.
Criar uma política de SI própria para sua empresa é, além de um investimento, uma forma de garantia de que processos serão realizados da forma correta e um seguro para que sansões não sejam aplicadas por uso incorreto de dados e informações.
Caso queira mais informações sobre Políticas de Segurança de Informações, Consultoria LGPD ou soluções de Segurança de Dados, entre em contato com a Leadcomm: www.leadcomm.com.br/contato/