AzureGestão de TISegurança

Como a tecnologia em nuvem pode te ajudar na preparação para a LGPD 

Então, o que é a LGPD?

Em diferentes segmentos e atividades, há coleta de informações pessoais de dentro e fora da empresa. 

Essas informações estão dentro de sistemas, planilhas e outros, com a finalidade de serem usadas das mais diversas formas como, campanhas de Marketing, controles de registros do RH e etc.   

A LGPD (Lei Geral de Proteção de Dados Pessoais) cria regras para proteger a privacidade das informações, inviolabilidade da intimidade do cidadão e garantir direitos fundamentais de liberdade e de privacidade.  

Então pode-se dizer que, a menos que haja o consentimento (manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada), as empresas não poderão divulgar e ou mobilizar ações estratégicas vinculando publicamente os dados dos cidadãos.  

Neste momento, empresas estão buscando mais informações no mercado e recorrendo aos escritórios de advocacia na tentativa de estabelecer formas de mitigar os riscos e suas implicações.  

Existe uma preocupação sob o vazamento das informações, sendo ele de dentro da empresa. Por exemplo processos falhos ou “fora” por ataques ao datacenter/serviços de TI.   

 

Sanções sob descumprimento da Lei  

  • Advertência, com indicação de prazo para adoção de medidas corretivas;  
  • Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;  
  • Multa diária, observado o limite total a que se refere o inciso II;  
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência;  
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;  
  • Eliminação dos dados pessoais a que se refere a infração. 

*Fonte: Presidência da República | Casa Civil | Subchefia para Assuntos Jurídicos:  http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm  

 

Fora isso, o potencial de dano decorrente da exposição pública dessas informações é incalculável, dependendo da situação financeira a que se encontra, o vazamento de dados pode quebra-la, e um ponto maior de atenção é o prazo para adequação, 29 de dezembro de 2020.  

O maior impacto e responsabilidades tem recaído sob a área de tecnologia da informação, porque acreditasse que todos os dados estão “seguros” em uma estrutura interna de infraestrutura, por exemplo.  

Por outro lado, grande parte das empresas no Brasil não investem em melhores práticas de segurança, deixando brechas internas e externas que possibilitam uma invasão.

Atenção aos pontos:   

Adequação e Prazo   

Alguns questionamentos importantes: 

  1. Existem GAPs dentro do meu processo? 
  2. A comunicação sobre a LGPD e seu impacto no negócio tem sido discutido? 
  3. Existem levantamentos sob o risco para o negócio? Quanto é possível investir? 
  4. Minha área de tecnologia tem ferramentas suficientes para mitigar riscos, criar regras e monitorar as informações? 
  5. Em quanto tempo levaria para embarcar mais segurança na infraestrutura atual de Tecnologia da Informação? 
  6. E etc… 

 Sob a ótica de Tecnologia e infraestrutura o Gartner orienta resumidamente: 

  • Nomear um oficial de proteção de dados ou diretor de privacidade fora das organizações de TI ou de segurança; 
  • Desenvolva um diagnóstico do estado atual de privacidade; 
  • Formalizar a Governança do Programa de Gerenciamento de Privacidade; 
  • Desenvolver uma resposta à violação de dados; 

Executar tantas atividades, testar e comunicar é algo que torna ainda mais desafiador essa adequação, então, o que está disponível para otimizar todo esse esforço elevando o patamar principalmente de segurança? 

A nuvem é uma tecnologia habilitada a atender a norma e já é uma realidade principalmente em empresas fora do Brasil, e aqui, podemos dizer que de forma muito incipiente os líderes de TI vêm trabalhando esse tema. 

Entenda o que está disponível nas tecnologias Microsoft e alguns exemplos práticos de uso para que possa se planejar melhor:

 

O que é o Azure Information Protection?  

A Proteção de Informações do Azure (conhecida como AIP) é uma solução baseada em nuvem que ajuda as organizações a classificar e, opcionalmente, proteger documentos e emails aplicando rótulos. Os rótulos podem ser aplicados automaticamente por administradores que definem regras e condições, manualmente pelos usuários ou uma combinação na qual os usuários recebam recomendações.  

A imagem a seguir mostra um exemplo da Proteção de Informações do Azure em ação no computador de um usuário. O administrador configurou um rótulo com regras que detectam dados confidenciais. Neste exemplo, são informações de um cartão de crédito. Quando o usuário salva um documento do Word que contém um número de cartão de crédito, ele vê uma dica de ferramenta personalizada que recomenda aplicar o rótulo configurado pelo administrador. Este rótulo classifica e protege o documento. 

Como os dados são protegidos?  

A tecnologia de proteção usa o Azure Rights Management (muitas vezes abreviado como Azure RMS). Essa tecnologia está integrada a outros aplicativos e serviços em nuvem da Microsoft como o Office 365 e o Azure Active Directory. Ele também poderá ser usado com seus próprios aplicativos de linha de negócios e soluções de proteção de informações de fornecedores de software, se esses aplicativos e soluções estiverem locais ou na nuvem. 

Essa tecnologia de proteção usa políticas de criptografia, identidade e autorização. De forma semelhante aos rótulos que são aplicados, a proteção que é aplicada usando o Rights Management e permanece com os documentos e emails, independentemente da localização — dentro ou fora de sua organização, redes, servidores de arquivos e aplicativos. Essa solução de proteção de informações mantém você no controle de seus dados, mesmo quando eles são compartilhados com outras pessoas.  

Uma vez que há regras para e-mail e maior proteção a acessos e dados já temos um grande salto em mitigar riscos involuntários e quanto aos intencionais, o que a Microsoft dispõe? 

 

Portal da ATP do Azure (Proteção Avançada contra Ameaças do Azure)  

Solução de segurança baseada em nuvem que identifica, detecta e ajuda você a investigar ameaças avançadas, identidades comprometidas e ações de um funcionário mal-intencionado direcionadas à sua organização. 

Por meio do portal você pode monitorar e responder a atividades suspeitas. O Azure permite que você crie sua instância da ATP do Azure e exiba os dados recebidos de sensores da ATP do Azure. Você também pode usar o portal para monitorar, gerenciar e investigar as ameaças em seu ambiente de rede. 

Linha do tempo: Detecção de ameaças 

Links recomendados:

Contemplam as documentações da Microsoft sobre o tema. 

 

Existem dificuldades em entender o valor da tecnologia. Muito se discute de disponibilidade, pagamento pelo uso e etc, deixando de lado outros itens importantes relevantes ao tema, como:  

Fonte: https://azure.microsoft.com/pt-br/overview/trusted-cloud/  

Fonte: https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings  

Confira alguns artigos complementares podem o ajudar neste momento, são eles: 

 

A importância de ter um parceiro de nuvem  

Portanto, contar com um parceiro capacitado é importante para que as informações levantadas sejam usadas da melhor maneira possível. E com isso, viabilizar iniciativas de nuvem com ganhos reais tecnológicos e financeiros.  

A avaliação da capacidade do parceiro deve ser feita de forma criteriosa, levando em consideração principalmente: 

  • a capacidade técnica dos profissionais;  
  • casos de sucesso comprovados em projetos similares;  
  • nível de parceria com o fornecedor de nuvem;  
  • níveis de serviços prestados após um projeto de migração (MUITO importante) dentre outras características que sejam importantes para o negócio. 

Diante disso, a SGA Tecnologia Inteligente se apresenta como parceiro de transformação digital alinhado com as novas demandas de mercado.