Linkedin Instagram Youtube Twitter
Entre em Contato
Contato

Política de segurança da informação, classificação e mapeamento de dados. A TI e seus desafios

7 de dezembro de 2020

Como você sabe, o escritório Assis e Mendes tem entre suas especialidades a Conformidade com a LGPD e Direito dos Titulares:

Nós auxiliamos sua empresa na conformidade com a Lei Gera de Proteção de Dados focando das bases legais para o tratamento de dados, revisão dos contratos e cumprimento do Direito dos Titulares. Mas sabemos que nosso trabalho cobre a parte jurídica da conformidade com a lei.

Para a parte tecnológica, contamos com parceiros especializados em Segurança da Informação para atender nossos clientes desde o assessment até a implantação de ferramentas que auxiliem na execução de tarefas, gestão de privacidade e segurança dos dados.

Por isso, conversamos com o especialista Marcos Freitas, Diretor de Delivery e Auditor Líder do nosso principal parceiro, a Leadcomm Performance&Security, para te ajudar a entender quais os primeiros passos que a empresa deve fazer no atendimento ao que rege a LGPD, a importância de ter uma política de segurança da informação e de adotar os processos derivados dela para que você possa cuidar de forma efetiva do seu negócio.

  1. Marcos, é bastante comum ouvir que é importante ter políticas de segurança. Mas, de fato, para podermos entender bem e de forma objetiva, o que são políticas ou política de segurança? E por que as empresas devem se preocupar com isso?

As políticas de segurança são importantes, pois elas estabelecem nas organizações as diretrizes para que todos os envolvidos, dentro de suas funções e habilidades, possam ter responsabilidade com relação ao uso das informações dentro da empresa, como transferência, armazenamento e uso – quem pode acessá-la, quem não pode. Essa é a parte mais importante. A informação é um bem muito preciso e as políticas garantem a proteção e uso correto dos dados. Ainda mais hoje, com a questão da LGPD, essas regras passam a ser ainda mais importante, porque agora existe uma lei que estabelece o direito do titular dos dados e pode acarretar multas às empresas quando há o mau uso dos dados pessoais e sensíveis.

  • Quais são os principais desafios encontrados para se desenhar e implementar uma política de segurança?

Eu diria que, mesmo hoje, as empresas no Brasil são pouco maduras no quesito segurança. Os riscos normalmente são muito negligenciados. Através da consultoria LGPD que realizamos pela Leadcomm, conseguimos ver que há um despreparo de grandes organizações para poder atender toda e qualquer legislação que trate da segurança de dados. Enxergamos uma distância entre a realidade e o que de fato se deseja nessa área. Por mais que esse seja um tema tratado há, pelo menos, mais de três décadas de forma intensa, a gente percebe pouca evolução nas grandes empresas (e nas demais também).

Outra questão importante, que sempre ouvimos, é o direcionamento da gestão de segurança de uma organização para e somente à área de TI (tecnologia da informação) quando, na verdade, a segurança é um tema corporativo e deve ser tratada como tal. Além do mais, muitas informações estão fora da alçada da TI.   

  • Classificação de dados – o que é isso?

Quando a gente fala de política de segurança e das boas práticas para o trato das informações, é importante entender que os dados não possuem os mesmos graus de importância. Dentro de uma organização, encontramos vários grupos de informações – desde as pouco importantes até as estratégicas. O desafio é rotular todas mediante esse fator.

A classificação de dados é o rótulo que se dá a determinadas informações – a pública, a confidencial, a restrita – e a partir dessa classificação estabelece-se controles de armazenamento, transferência, trocas, forma de descarte, etc.

  • Fala-se bastante da importância de classificar os dados sensíveis dentro de uma empresa. É algo que pode ser feito internamente?

O grande desafio de classificar dados internamente é que é pouco provável que a empresa tenha um profissional dedicado a isso e que consiga compreender, por exemplo, a LGPD, que é muito ampla. Isso se dá pela negligência que ocorre há muito tempo por parte das empresas em relação à segurança e pela defasagem de profissionais no mercado.

As empresas enfrentam dificuldades em encontrar profissionais da área de segurança, agravado pela entrada da LGPD, e esse são especializados e focados na TI – que é apenas uma das camadas da segurança.

É preciso ter visão do negócio.

Com isso, é mais fácil buscar por parceiros/terceiros com expertise, profissionais qualificados e competência para entregar o trabalho. Assim, a empresa também pode continuar focada no seu negócio (core business). 

  • Existe uma forma ideal para mapear dados? Aliás, qual é a diferença entre classificar dados e mapear dados?

O mapeamento é o entendimento de onde estão os dados captados, utilizados e armazenados pela empresa e como são utilizados cada tipo de dado (classificados conforme explicado anteriormente). Por exemplo: a LGPD trata dados pessoais e sensíveis. O mapeamento irá determinar quais as áreas da empresa que recebem, tratam e armazenam esses dados e de que forma o fazem.

Para mapear, é necessário conhecer todos os processos de todos os setores da empresa, para identificar onde existem dados pessoais, quais são esses dados, de quem, como são tratados e onde ficam armazenados.

A classificação é o rótulo que ajudará a determinar qual a política que será seguida para aquele dado mapeado.

  • O mapeamento de dados e as políticas de segurança são questões de responsabilidade exclusiva da área de TI?

Não. A segurança da informação é um problema corporativo, deve ser tratada como tal e ser parte da estratégia de negócio da organização. É claro que a TI tem muita relação com a segurança, principalmente porque falamos de infraestrutura, sistemas, monitoramento, suporte, análises, etc. Mas tudo isso deve estar alinhado à uma política geral de segurança.

  • Para finalizar:

O tema segurança é bastante antigo, o ponto é que deixamos a política de segurança da informação como algo mais prático do que teórico. Encontramos muitas empresas com políticas escritas, mas muito distante daquilo que é possível ser executado na prática – muitas vezes as empresas possuem diretrizes e documentos escritos, mas são coisas muito distantes do que podem executar. A política de SI tem que retratar algo que seja próximo ao dia a dia da empresa, caso contrário, será mais um documento que vai ficar parado na gaveta.

Muitas vezes, empresas copiam políticas uma das outras, mas na prática, o que foi copiado não é possível de se aplicar no dia a dia porque está muito longe da realidade e dos aspectos culturais da empresa. 

Criar uma política de SI própria para sua empresa é, além de um investimento, uma forma de garantia de que processos serão realizados da forma correta e um seguro para que sansões não sejam aplicadas por uso incorreto de dados e informações.

Caso queira mais informações sobre Políticas de Segurança de Informações, Consultoria LGPD ou soluções de Segurança de Dados, entre em contato com a Leadcomm: www.leadcomm.com.br/contato/

Compartilhe:

Mais Artigos

Regulamentação de criptomoedas como meio de prevenção à corrupção e à lavagem de dinheiro

O artigo versa sobre a tentativa do Estado de coibir a prática de crimes decorrentes da utilização de criptomoedas, por meio da criação de leis e normar disciplinadoras.

A PROPRIEDADE INTELECTUAL NAS RELAÇÃO DE EMPREGO: COMO PROTEGER A SUA EMPRESA

O artigo explora a importância da proteção da propriedade intelectual nas relações de emprego, destacando como as criações dos funcionários podem ser protegidas legalmente. Aborda as áreas principais da propriedade intelectual: direito autoral, propriedade industrial e proteção sui generis, explicando como cada uma se aplica ao contexto empresarial. O texto também oferece orientações práticas, como a necessidade de contratos bem elaborados, acordos de confidencialidade e políticas internas claras. Além disso, enfatiza a importância de registrar e proteger adequadamente patentes, marcas e direitos autorais para evitar litígios futuros.

Apostas e Jogos de Azar: Direitos e Opções Jurídicas dos Apostadores

Apostas e jogos de azar no Brasil. Orientações jurídicas em casos de danos.

Cancelamento de Planos de Saúde: Impactos e Orientações para Empresas e Beneficiários

Recentemente, o Brasil tem visto um aumento no cancelamento unilateral de contratos de planos de saúde pelas operadoras, gerando debate e preocupação. Empresas, seus funcionários e consumidores são particularmente afetados. Este artigo busca esclarecer as regras, os impactos e as possíveis ações diante dessa situação.

Fui vítima de um crime virtual: e agora?

É muito importante saber o que fazer para se proteger e buscar justiça.

Minha empresa precisa mesmo de um DPO?

A obrigatoriedade do profissional é patente. Veja os motivos.

Entre em contato

Nossa equipe de advogados altamente qualificados está pronta para ajudar. Seja para questões de Direito Digital, Empresarial ou Proteção de Dados estamos aqui para orientá-lo e proteger seus direitos. Entre em contato conosco agora mesmo!
Fale conosco

Inscreva-se para nossa NewsLetter

Assine nossa Newsletter gratuitamente. Integre nossa lista de e-mails.

Soluções jurídicas para a sua conexão com o mundo digital.
NewsLetter

Assine nossa Newsletter gratuitamente. 

Áreas de atuação
Contato
Linkedin Instagram Youtube Twitter
© 2023 – Assis e Mendes Direito digital, Empresarial e Proteção de dados