Segurança de dispositivos móveis: o que é e qual sua importância no cenário atual

Os smartphones, tablets e outros recursos tecnológicos portáteis são ferramentas imprescindíveis para diversos profissionais. Não ter uma visão crítica sobre essa nova conjuntura é um erro grave, porque afeta o nível de segurança de dispositivos móveis e aumenta as brechas para cibercriminosos invadirem a rede corporativa. 

Esse cenário também mostra que boas práticas de segurança da informação passaram a ter um valor ainda mais estratégico no mundo corporativo. E ignorar esse fato é pedir para uma empresa perder não apenas competitividade, mas também o foco em resultados mais expressivos em médio e longo prazos.  

Neste artigo, vamos detalhar diversos procedimentos para aumentar o nível de proteção dos dados institucionais que trafegam em dispositivos móveis. Confira! 

O que é a proteção de dispositivos móveis?

Podemos definir essa iniciativa como um conjunto de ações para reduzir ao máximo a possibilidade de recursos tecnológicos (celulares, tablets, entre outros) serem invadidos por criminosos digitais. É crucial que uma empresa priorize a necessidade de manter esses dispositivos com um elevado grau de segurança da informação

Para isso ser alcançado, um passo importante consiste em campanhas de conscientização que ajudem os colaboradores a adotarem práticas que mantenham os equipamentos menos vulneráveis às ações ilícitas. Além do investimento em pessoal, outra boa medida é apostar em boas soluções de TI.  

Há diversas ferramentas que contribuem para monitorar o fluxo de informações que circulam em uma rede corporativa. Ao optar por esse recurso, uma companhia tem mais condições de identificar as ameaças virtuais e mitigá-las com um elevado grau de eficiência. 

Também é recomendado adquirir soluções de segurança para o e-mail institucional. Um dos motivos é que muitos golpes de engenharia social são aplicados pelo correio eletrônico. Ao filtrar e eliminar as mensagens ilícitas, torna-se mais simples evitar problemas que afetarão a disponibilidade dos serviços digitais ao público-alvo.  

A importância da segurança de dispositivos móveis

Com a transformação digital e a computação em nuvem sendo cada vez mais valorizadas pelas corporações, é indispensável haver uma política de segurança da informação que torne os dispositivos móveis mais seguros contra os ataques virtuais. 

Vale ressaltar que, com a Lei Geral de Proteção de Dados (LGPD), uma organização pode receber uma multa de até R$ 50 milhões ou o correspondente a 2% do seu faturamento bruto. Dependendo da situação econômica da empresa, essa penalidade pode prejudicar não apenas a imagem, mas também a capacidade de investir em ações com foco na melhoria contínua.  

Isso mostra, sem dúvida, como é preciso ter um direcionamento para evitar situações indesejadas, como o roubo ou o vazamento de informações. Ao permitir que os funcionários usem smartphones e tablets para executar tarefas, as companhias devem adotar medidas de segurança voltadas para esses recursos tecnológicos. Do contrário, serão elevadíssimas as chances desses equipamentos serem a porta de entrada para a invasão da rede institucional. 

A segurança de dispositivos móveis e o home office

O trabalho remoto deixou de ser apenas uma tendência e passou a ser uma alternativa para as corporações terem funcionários mais produtivos e focados em um desempenho notável. Uma consequência disso é que as empresas precisam se adequar ao novo cenário para manter a segurança em um elevado patamar. 

Com os colaboradores atuando fora do ambiente físico controlado, os riscos de comprometimento da rede e dos dados corporativos aumentam de forma considerável. Isso ocorre, principalmente, em virtude de os cibercriminosos adotarem mecanismos para invadir os recursos tecnológicos usados pelos empregados durante o home office.  

Para minimizar os riscos, a melhor saída é investir em soluções de segurança adicionais que sejam capazes de combater efetivamente as tentativas de invasão e de roubos de informações institucionais por meio dos dispositivos móveis dos usuários remotos.  

O aumento nos ataques contra dispositivos móveis durante a pandemia

Inegavelmente, a expansão do trabalho remoto tem chamado a atenção dos cibercriminosos, que sabem como os funcionários, fora do ambiente empresarial, ficam mais vulneráveis para serem vítimas de ataques virtuais

De acordo com uma pesquisa de mercado, os ataques de phishing cresceram 124% no período de fevereiro a março de 2021. Por isso, é fundamental muita atenção principalmente com o uso do WhatsApp, aplicativo bastante empregado pelos cibercriminosos para disseminar golpes digitais durante a pandemia.  

Se não houver investimentos em conscientização e em soluções de segurança de dispositivos móveis, uma empresa estará muito vulnerável e poderá sofrer problemas graves por causa de ciberataques. Não levar isso em consideração é um equívoco grave que pode, inclusive, afetar a sustentabilidade do negócio.   

Como colocar a segurança de dispositivos móveis em prática

A prevenção, sem dúvida, é o melhor caminho para uma organização estar mais segura ao adotar o home office como alternativa para os funcionários terem um melhor rendimento e mais qualidade de vida. Para isso se tornar uma realidade, o indicado é adotar as melhores práticas de segurança da informação

No caso dos dispositivos móveis, uma empresa deve apostar em softwares que possibilitem monitorar o fluxo de informações e eliminar as tentativas de invasão à rede. Outra medida válida é apostar em antivírus com um foco mais específico para recursos móveis, como os smartphones. 

No quesito acesso, é pertinente incluir uma solução de Zero Trust Network Access (ZTNA), caso os colaboradores da organização utilizem os dispositivos móveis para realizar acessos à bases de dados e/ou sistemas e aplicações integradas. 

Também é válido investir em softwares de AntiSpam que minimizem as chances de mensagens de correio eletrônico maliciosas serem visualizadas pelos funcionários. Com certeza, é uma opção interessante de reduzir as chances de sucesso de um golpe digital. 

Com o objetivo de elevar o nível de proteção dos dados dos clientes, a Future conta com soluções que priorizam aumentar a segurança de dispositivos móveis. Em outras palavras, disponibiliza um recurso capaz de combater, com eficiência, os ataques direcionados para equipamentos como celulares e tablets.  

Saiba mais sobre segurança de dispositivos móveis com a Future

Para manter a segurança de dispositivos móveis, é indispensável haver um esforço direcionado para a melhoria contínua dos mecanismos de proteção. Afinal, os cibercriminosos estão empregando métodos cada vez mais avançados para atingir os objetivos e prejudicar cidadãos e empresas no mundo inteiro.  

Se está em busca de uma maior proteção para a rede e os dados institucionais, entre em contato conosco agora mesmo! Estamos dispostos a ajudar o seu negócio a atingir resultados cada vez mais expressivos. 

Quais são os principais desafios para encontrar dados pessoais?

Você já deve ter ouvido a frase de Clive Humby de que os “dados são o novo petróleo”. Em tempos de tecnologia, essa é uma verdade incontestável. Além disso, a coleta e utilização de dados pessoais ficou ainda mais valiosa depois do início da LGPD – Lei Geral de Proteção de Dados – no Brasil, no final de 2020. 

Isso porque a partir da LGPD, a coleta e o gerenciamento dos dados ficaram ainda mais restritivos. Mais do que nunca, para coletar e utilizar determinados dados, é necessário obter a expressa autorização dos proprietários. Caso contrário, as empresas podem sofrer multas que chegam a R$ 50 milhões. 

Para ter facilidade para encontrar os dados pessoais e solucionar outros desafios, preparamos as dicas a seguir. Siga conosco e confira! 

O que são dados pessoais

É uma informação que pode ser integralmente ligada a uma pessoa, representando nessa cadeia a associação de algo a um indivíduo. E ainda, segundo a SERPRO (Secretaria Federal de Processamento de Dados), trata-se de informações que permitem identificar qualquer pessoa viva. Nesta lista, estão, entre outros: 

  • Nome 
  • RG 
  • CPF 
  • Gênero 
  • Data e local de nascimento 
  • Telefone 
  • Endereço residencial 
  • Retrato em fotografia 
  • Prontuário de saúde 
  • Cartão bancário 
  • Renda 
  • Histórico de pagamentos 
  • Hábitos de consumo 
  • Preferências de lazer 

Dados sensíveis

Dentro da categoria de dados pessoais existem os dados sensíveis, que demandam ainda mais atenção quanto à coleta e, principalmente, uso. Entre seus principais tipos de dados, estão: 

  • Origem racial ou étnica 
  • Convicção religiosa 
  • Opinião política 
  • Filiação a sindicato ou a organização de caráter religioso 
  • Filiação a grupo filosófico ou político 
  • Informação referente à saúde ou vida sexual 
  • Dados genéticos ou biométricos 

É importantíssimo entender corretamente a utilização dos dados sensíveis, pois esses podem ferir diretamente a liberdade de seus titulares. 

Vale lembrar que a coleta dessas informações deve ser expressamente autorizada. No caso de crianças e adolescentes, essa autorização precisa vir dos pais ou responsáveis. Além disso, caso sejam feridas as leis protetivas da LGPD sobre a coleta dessas informações, é grande a possibilidade de a empresa sofrer consequências jurídicas. 

Dados anonimizados

São conhecidos como dados anonimizados aqueles cujos titulares não são identificados. Esses dados são processados para que se percam as conexões diretas com os indivíduos. São muito utilizados em estatísticas, além de alimentar o crescimento da Inteligência Artificial, Machine Learning e Internet das Coisas (IoT), que aprendem com diferentes informações sobre como tomar decisões melhores e mais rápidas. 

É importante saber que se houverem quaisquer meios de identificação dos proprietários desses dados eles deixam de ser anonimizados e podem ferir a LGPD

Mas atenção: existem também os dados pseudonimizados, que a princípio parecem não ter associação direta com uma determinada pessoa, mas quando olhados em conjunto com outros dados, acabam por identificar o proprietário. 

Quais riscos correm os dados desprotegidos?

O número de ciberataques, conforme noticiado em várias mídias, vem crescendo de forma exponencial. São grandes as chances de um indivíduo ser atacado nos dias de hoje, e são ainda maiores de acontecer com as empresas, principais alvos dos criminosos. 

Portanto, não é exagero dizer que seu negócio está na mira. E o que reforça isso é o estudo no qual foram registrados 8,4 bilhões de tentativas de ataques no país. É um número absolutamente assustador. 

Entre os principais tipos de ataques estão as tentativas de phishing (e-mails com links falsos). Ao clicar no link, o usuário pode ter o acesso ao seu dispositivo ou rede invadidos. 

Tratando-se de empresas, a consequência mais comum é que os hackers sequestram dados sensíveis e peçam quantias altas para o resgate, ameaçando a exposição desses dados caso tal resgate não seja pago.

Como proteger os dados pessoais?

Como você pôde ver, os riscos para os seus dados desprotegidos vêm de todos os lados. E o primeiro passo para protegê-los já se adequando às regras da LGPD é por meio do mapeamento dos dados pessoais. 

Mapeamento de dados

O mapeamento de dados (data mapping) auxilia a encontrar os diferentes tipos de dados e a categorizá-los. Com ele, é possível saber onde e como os dados trafegam, o que auxilia na identificação das informações. 

Ele possibilita um detalhamento das informações, classificando, por exemplo, se os dados são originários de clientes, parceiros ou colaboradores, bem como qual o grau de risco envolvido durante a coleta dessas informações e as regras de compliance que serão aplicadas. 

Como é o mapeamento de dados, na prática?

São 4 os passos principais para realizar o mapeamento de dados nas empresas. Confira abaixo cada um desses passos: 

1. Definir equipe multidisciplinar

Para um mapeamento completo, é fundamental a participação de diferentes áreas da empresa. Isso ajudará a identificar possíveis falhas técnicas e jurídicas no tratamento dos dados. A grande vantagem desse esforço é criar uma cultura voltada à proteção dos dados na empresa

2. Identificar o fluxo dos dados

Consiste em identificar as maneiras sobre como os dados passam por cada departamento, quais ferramentas são utilizadas, entre outros. 

Neste momento devem ser realizados, entre outros: 

  • Questionários para identificar o ciclo de vida dos dados na empresa; 
  • Entendimento sobre como os dados são compartilhados com terceiros; 
  • Avaliação de documentos existentes; 
  • Identificação de ativos e mapeamento de topologia (servidores, serviços e aplicações). 

3. Análise de riscos

A partir desse mapeamento, é possível identificar quais dados serão coletados, quais podem ser descartados e quais tratamentos fogem à LGPD. Além disso, é possível notar possíveis vulnerabilidades e criar políticas de acesso aos dados com a finalidade de evitar vazamentos. 

Isso permitirá um plano de ação completo e eficaz na proteção de dados

4. Emissão de relatórios e planos de ação

Como todo o mapeamento realizado e o risco avaliado, chega o momento de emitir os relatórios finais, incluindo o Plano de Ação para correção das falhas identificadas. 

Comece a cuidar dos dados pessoais em sua empresa

Um bom parceiro é indispensável para te auxiliar no mapeamento dos dados existentes e garantir as devidas proteções. 

A Future é uma empresa que atua há 24 anos protegendo os dados dos mais diversos clientes. Especializada na LGPD, a empresa contempla uma linha de soluções completas, de ponta a ponta, para dar toda a segurança necessária às informações sensíveis de sua empresa. 

Fale agora mesmo com um especialista e saiba como elevar o nível de proteção aos dados de sua empresa para evitar ataques e vazamentos. 

Como um SIC pode apoiar na adequação à LGPD?

O cuidado com as informações se tornou uma das ações mais estratégicas para empresas e órgãos públicos nacionais com o surgimento da Lei Geral de Proteção de Dados (LGPD). Afinal, erros graves de gestão, roubo e vazamento de dados podem provocar multas com base na legislação e danos à imagem e credibilidade. Para evitar essa situação, está havendo um maior foco na adesão ao Security Intelligence Center (SIC). 

Esse recurso tem como peça-chave proporcionar às companhias mais condições de enfrentar as ameaças virtuais com agilidade e eficiência, o que é essencial para manter o ambiente de TI devidamente protegido contra os cibercriminosos. Com os ataques cibernéticos sendo cada vez mais sofisticados, é necessário adotar mecanismos para minimizar riscos e perdas. 

Neste artigo, vamos apontar diversos detalhes sobre como o SIC pode ser útil para as organizações estarem mais preparadas e menos vulneráveis às ações de cibercriminosos no tocante a privacidade. Confira! 

O que é o Security Intelligence Center?

Consiste em uma central de segurança, com funcionamento no sistema 24/7/365, atuando de maneira ininterrupta para manter os serviços de uma instituição com elevado nível de proteção. 

Um aspecto positivo dessa central é a capacidade de fazer um monitoramento inteligente, permitindo identificar de forma ágil e proativa as ameaças virtuais. Para isso, conta com profissionais altamente capacitados e com o uso de métodos e ferramentas que previnem e eliminam tentativas que possam gerar incidentes de segurança

Também vale destacar que o SIC é uma evolução do Security Operation Center (SOC). Em virtude das táticas dos hackers estarem evoluindo de forma contínua, é muito importante que as organizações contem com recursos avançados para diminuir ao máximo problemas relacionados com a dificuldade de manter os dados protegidos.  

Como o SIC funciona

Ter mecanismos avançados para enfrentar os hackers com eficiência é, sem dúvida, um fator que merece ser levado em consideração. Com o objetivo de ajudar você a compreender isso melhor, vamos mencionar como o Security Intelligence Center age para proporcionar um maior nível de segurança aos usuários. Acompanhe! 

Antecipando ameaças

Analisar o ambiente de TI de maneira ágil e eficiente é crucial para uma organização estar mais segura. Por isso, apostar no SIC consiste em uma medida inteligente para antecipar ameaças com uma postura mais proativa. 

Por meio de relatórios, a solução permite avaliar como minimizar as vulnerabilidades na rede corporativa. À medida que há uma visão mais ampla sobre como os cibercriminosos estão tentando roubar informações, maiores são as possibilidades de utilizar os procedimentos corretos de proteção. 

Não há dúvidas de que investir em segurança da informação de forma estratégica é a melhor alternativa para manter os sistemas institucionais e os serviços digitais com um alto nível de disponibilidade. Com a transformação digital cada vez mais enraizada, isso não pode ser ignorado em hipótese alguma.  

Detectando riscos

Com a implantação do SIC, podem ser configurados alertas personalizados. Assim, é viável identificar, com mais rapidez, as tentativas de acesso indevido. Ter à disposição um recurso moderno para a notificação de eventos é um elemento que ajuda na melhoria contínua do uso de mecanismos voltados à proteção dos dados. 

A velocidade em constatar a presença de ameaças contribui para elevar o nível de segurança de um ambiente de TI. Quanto mais rápido forem empregadas ações para combater as ações de cibercriminosos, maiores são as chances de evitar problemas graves, como o vazamento de dados, alvo principal da LGPD.  

A inserção no mundo digital exige das organizações uma maior capacidade de identificar riscos. Nenhum serviço público ou privado pode ficar várias horas inacessível para os cidadãos, porque isso afeta negativamente o atendimento às demandas e o nível de satisfação dos usuários.   

Solução e proteção

Cada instituição tem uma realidade que precisa ser analisada com muita atenção. Tratar uma corporação financeira da mesma forma que, por exemplo, uma indústria é um erro que não pode ser cometido pelos gestores de TI. Por isso, o SIC tem como elemento marcante disponibilizar recomendações de segurança personalizadas. 

Ou seja, o ambiente de TI é analisado considerando o contexto em que o cliente está inserido e o tráfego de informações. Uma avaliação precisa é fundamental para que os mecanismos de segurança sejam mais efetivos e minimizem os riscos de ataques virtuais alcançarem as metas estabelecidas.   

Um monitoramento eficiente é cada vez mais necessário para proteger os dados e dificultar ao máximo as ações de hackers. E isso somente se torna possível quando há um investimento em soluções avançadas de proteção dos dados.   

Qual sua importância na LGPD?

O avanço tecnológico tem como uma das principais consequências a capacidade de os cibercriminosos adotarem processos cada vez mais sofisticados para roubar informações de uma instituição. Essa situação deve ser evitada ao máximo, porque causa transtornos ao público-alvo e pode resultar em multas relacionadas com o descumprimento das normas da LGPD

Dependendo do caso, é possível uma organização ser obrigada a pagar até R$ 50 milhões ou 2% do seu faturamento bruto. Para minimizar os riscos de conviver com prejuízos financeiros e de imagem, uma excelente alternativa é apostar em recursos com grande capacidade de proteger os dados

Essa conjuntura mostra como o investimento no SIC é uma boa escolha para uma instituição não apenas estar menos sujeita a vazamentos de dados, mas também demonstrar maturidade em segurança da informação, adequação às leis e normas e governança, de forma estratégica e inteligente, o que melhora a reputação e credibilidade, elementos bastante positivos para engajar os stakeholders. 

Saiba mais sobre o SIC

É muito importante contar com soluções modernas de segurança, porém é crucial ter parceiros que saibam usar a tecnologia a favor do seu negócio. Com foco em resultados concretos para seus clientes, a Future tem um robusto centro de inteligência e monitoramento. 

Ao priorizar investimentos planejados em recursos de ponta, uma organização pode contar com ferramentas avançadas e atualizadas. Essa ação é fundamental para ter à disposição um SIC que seja capaz de identificar vulnerabilidades e combater as ameaças digitais de forma estratégica. 

Se está à procura de uma solução diferenciada para proteger seus dados, realizar adequação à LGPD e aumentar a maturidade de segurança da sua organização, entre em contato com a nossa equipe agora mesmo! Estamos à disposição para tirar todas as suas dúvidas e garantir uma maior sustentabilidade para a sua instituição! 

ISO 27701: a norma da Privacidade

ISO 27701, uma extensão ISO 27001, é uma norma internacional focada em gestão de privacidade de dados. Seu principal objetivo é definir os requisitos adicionais à norma de segurança, de modo que o tratamento das informações considere a questão da privacidade das mesmas.  

Por se tratar de uma norma generalista, é aplicável a organizações de diferentes portes e segmentos de mercado, sendo estas do setor público ou privado. Graças a isso, as empresas podem utilizá-la como base para se adequarem à Lei Geral de Proteção de Dados (LGPD), e as demais leis deste tipo que foram criadas ao redor do mundo nos últimos anos. 

Neste artigo destacaremos o que é a ISO 27701, suas vantagens e para quem é indicada. Além disso, destacaremos o passo a passo para sua implantação. Acompanhe a seguir. 

Qual a diferença entre a ISO 27001 e a ISO 27701?

A ISO 27001 é a norma que estabelece os controles necessários para uma adequada gestão de segurança da informação. Por meio dessa norma, torna-se possível implantar os princípios de segurança da informação de maneira eficiente e eficaz. 

Já a ISO 27701 endereça especificamente a questão das informações relacionadas a privacidade, trazendo para isso controles adicionais a ISO 27001. Ou seja, a implantação da 27701 depende da implantação 27001.  

Como a ISO 27701 apoia a Lei Geral de Proteção de Dados?

Antes de prosseguirmos com este artigo é necessário entendermos o conceito básico da Lei Geral de Proteção de Dados (LGPD).  

LGPD está em vigor no Brasil desde agosto de 2020, tendo como objetivo garantir a transparência e a segurança no tratamento de dados pessoais por parte das empresas. Baseia-se na General Data Protection Regulation (ou Regulamento Geral sobre a Proteção dos Dados), uma lei europeia que define as regras sobre a coleta e o compartilhamento de informações pessoais, respeitando os princípios da privacidade e da liberdade. 

Entretanto, a LGPD, assim como as leis de privacidade específicas de cada país, determina o que deve ser feito, mas não como deve ser feito. E neste momento chegamos a ISO 27701. Esta norma pode, e deve, ser utilizada como um direcionador para implantar os controles necessários para uma adequada gestão de privacidade, dando assim um maior respaldo legal à empresa que a implanta. 

Quais as vantagens da ISO 27701?

A ISO 27701 é capaz de proporcionar diversos benefícios para as empresas. Entre os principais estão: 

  • mostrar aos funcionários, fornecedores e clientes que a empresa se preocupa com seus dados, melhorando assim a imagem da empresa perante o mercado; 
  • otimizar os processos internos referentes à proteção dos dados pessoais, reduzindo o risco de vazamento de dados; 
  • conscientizar os funcionários sobre a importância da segurança e da privacidade das suas informações; 
  • proporcionar transparência nos controles direcionados à gestão da privacidade, pois todos saberão como os dados são tratados; 
  • facilitar o fechamento de acordos com parceiros que se preocupam com o tema da privacidade; 
  • E, finalmente, direcionar a adequação à Lei Geral de Proteção de Dados e às outras leis relacionadas à privacidade. 

Para quem a ISO 27701 é indicada?

A ISO 27701 é recomendada para as empresas que realizam o armazenamento e/ou tratamento de informações pessoais em larga escala, ou para fornecedores de empresas que os fazem. 

É cada vez mais comum a inclusão de cláusulas relacionadas à privacidade em minutas contratuais, e uma certificação como a ISO 27701 traz a tranquilidade do cumprimento de tais cláusulas para ambas as partes. 

Como implementar a ISO 27701?

Primeiramente, a empresa deve adequar-se aos controles definidos na ISO 27001, que, como mencionado anteriormente, é a norma base para essa. Depois de tal adequação, os próximos passos são: 

  • Avaliar os processos corporativos, identificando aqueles que tratam informações pessoais; 
  • Adequar os processos corporativos à norma; 
  • Implantar os demais controles especificados na norma; 
  • Promover treinamentos regulares para todos os colaboradores, garantindo que os mesmos seguirão as novas práticas de gestão de segurança da informação
  • Contratar uma instituição avaliadora para verificar se a sua organização adota os processos da ISO 27701 de forma adequada. 

Como a Future pode te ajudar?

Sabemos que a execução dos passos citados acima não é algo simples, dependendo de conhecimento específico e da disponibilidade de recursos (humanos e financeiros). 

Com ampla experiência em processos de avaliação e adequação à LGPD, a Future destaca-se no mercado brasileiro como uma das principais alternativas para apoiar empresas de todos os portes e segmentos em sua jornada de adequação à ISO 27001. Conte conosco. 

Ficou com alguma dúvida sobre a ISO 27701? Entre já em contato conosco! Nós, da Future, estamos disponíveis para ajudá-lo a esclarecer os seus questionamentos. Será um grande prazer auxiliá-lo! 

Os desafios do Encarregado de Proteção de Dados

Os desafios do Encarregado de Proteção de Dados

A Lei Geral de Proteção de Dados (Lei Federal 13.709/2018) no Art. 5 inciso VII, define o papel do encarregado de proteção de dados para as empresas, conforme o texto abaixo:

Art. 5º Para os fins desta Lei, considera-se:

VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);    (Redação dada pela Lei nº 13.853, de 2019)   

Em seguida, no Art. 41., a Lei define algumas das atribuições do Encarregado de Proteção de Dados Pessoais:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

  • 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
  • 2º As atividades do encarregado consistem em:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

  • 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Pensando nas atribuições destacas na Lei e, ainda, aquelas que poderão vir em normas complementares a serem editadas pela ANPD, o encarregado terá alguns grandes desafios para desempenhar este papel dentro das organizações.

Posso afirmar que será impossível o Encarregado exercer suas funções o auxílio da tecnologia, mas não estou falando das tecnologias para monitorar, proteger ou detectar possíveis incidentes de segurança, mas estou falando de ferramentas que efetivamente ajudem o dia a dia do Encarregado na gestão da privacidade e da conformidade com as Leis de Privacidade de uma forma geral.

Para desafiar a pensar sobre o dia a dia de um Encarregado, vamos começar com algumas perguntas sobre temas que ele deverá saber responder:

  1. Quantos registros de Dados Pessoais a sua organização gerencia atualmente?
  2. Do total de repositórios (Bancos de Dados, Servidores de Arquivos, Sistemas, Serviços em Nuvem, entre outros) que uma organização utiliza, quantos tratam dados pessoais?
  3. Uma vez conhecidos os repositórios, como encontrar os dados pessoais e, como associar estes dados a uma identidade ou um indivíduo?
  4. Quando houver Dados Pessoais sob a custódia de uma base legal de consentimento, será necessário fazer a gestão desta informação adicional, quantas repositórios estão sobre esta base legal e quanto já possuem funcionalidades prontas para fazer esta gestão?
  5. Qual a estrutura que as organizações irão disponibilizar ao encarregado, para que ele consiga exercer as suas atividades?
  6. Quantos titulares deverão exercer algum dos seus direitos? Como atender esta demanda? Ou seja, identificar os Dados Pessoais de um Titular nos diversos repositórios e responder o Titular se houver centenas ou milhares de solicitações?

 

Refletindo sobre cada umas destas questões, o primeiro desafio para o Encarregado é efetivamente conhecer os processos de negócios que capturam e tratam dados pessoais, mas mais do que isto entender onde os Dados Pessoais são armazenados e processados, pois eles podem estar distribuídos em dados estruturados – quando os dados estão dentro de um sistema ou um banco de dados e, podem ser não-estruturados – quando os dados estão dentro de documentos ou planilhas sem uma estrutura padrão ou conhecida. Portanto, o primeiro desafio é saber onde eles estão e como encontra-los, mas mais do que isto, como manter este inventário de dados atualizado constantemente, pois os dados que as organizações processam crescem e se modificam todos os dias.

O outro desafio diante do volume de dados pessoais que podem ser encontrados nas organizações é como correlacioná-los de uma forma, que possamos conectar todos os registros de dados pessoais de um indivíduo, independente do repositório que este registro se encontra. Desta forma, será muito mais fácil de atender a demanda de um Titular, senão o desafio será encontrar os possíveis identificadores do Titular e procurar em cada repositório utilizando o identificador correspondente. Como fazer isto com centenas ou milhares de solicitações e, como consolidar as respostas? Estas demandas serão atendidas pelo Encarregado ou a área de TIC ou compliance quem ajudarão nestas atividades? Será que as organizações estão planejando estrutura ou métodos ou ferramentas para executar isto?

Por fim, mas não menos importante, são os dados pessoais que possuem como base legal o consentimento. Quando um dado pessoal é capturado e tratado com base no consentimento será necessário fazer a gestão do consentimento, pois o Titular poderá exercer o direito de revogar o consentimento, portanto aquela captura e tratamento deverá ser encontrada e revogada e, em consequência, identificar os dados capturados e, estes, deverão ser removidos. Recentemente, visitei uma empresa que fornecia acesso à Internet para os seus visitantes e, para que eles pudessem usufruir, eles deveriam preencher um cadastro, consentir e concordar com a Politica de Privacidade, ou seja, uma captura e tratamento de dados tipicamente baseada no consentimento do Titular. Diante disto, questionei a empresa se eles tinham a lista dos visitantes que eles tinham capturado o consentimento no dia de ontem para usar o serviço de internet deles e, se algum visitante voltasse no dia seguinte e revogasse o consentimento, como eles fariam? Enfim, descobri que na verdade a empresa que prestava o serviço havia apenas modificado o texto do captive portal de autenticação dos visitantes, adicionando as questões relacionadas com a nova Lei de Privacidade e se o usuário autorizava a captura dos seus dados, mas não havia qualquer registro efetivo do consentimento em si e que a única maneira de remover o consentimento seria apagando os dados dos visitantes, mas não teria como registrar a revogação do consentimento. Enfim, faltava ferramenta efetiva para fazer a gestão efetiva do consentimento e, é isto que observamos de uma forma geral para cookies, formulários e outros serviços que capturam dados com base no consentimento – não há gestão.

O Encarregado vai necessitar de uma ou mais ferramentas para auxiliá-lo nas suas atividades, sem nenhuma dúvida. Pois, gerenciar dados pessoais dentro das organizações de uma forma geral é uma necessidade nova e sem conhecimento profundo da quantidade e da dinâmica de como estes dados são utilizados no dia a dia de cada organização.

Revise as perguntas acima e reflita a respeito e veja se consegue responde-las no contexto da organização em que você trabalha.

Na próxima semana, vamos explorar ferramentas que podem ajudar o encarregado a tratar estes desafios.

Um abraço,

Airton Coelho Vieira Jr, MsC
Chief Technology Officer

 

 

 

Por que a LGPD deve orientar a tomada de decisão dos CIOs

Sancionada em agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) é mais do que uma lei de alcance federal, com escopo de aplicação ao poder público e em empresas do setor privado. Os requisitos foram criados como instrumento para fortalecer a privacidade dos consumidores e exige consentimento explícito para coleta e uso dos dados, além da apresentação de opções para o usuário visualizar, corrigir e excluir as informações coletadas.

Essa evolução dos mecanismos de controle tem como base e motivação o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), da União Europeia, os constantes e recorrentes vazamentos de dados pessoais após inúmeros ataques cibernéticos aos bancos de dados de todos os tipos de organizações, aliados ao fato de vivermos em uma economia cada vez mais baseada em dados, com o uso de Big Data, Internet das Coisas (IoT) e inteligência artificial.

A partir de agosto de 2020 a lei entra em vigor e até essa data as empresas devem se adequar e repensar como os dados estão sendo tratados desde o momento da coleta das informações até a disposição final conforme definido pela lei. Trata-se de uma lei rigorosa que pode alcançar multas diárias de até R$ 50 milhões aos negócios que registram informações dos clientes sem sua autorização, ou que os repassem, armazenem sem necessidade comprovada, ou que tenham esses dados vazados de alguma forma.

O volume de dados gerados pela população mundial é de 2,5 quintilhões de bytes diariamente, de acordo com uma publicação realizada pela revista Forbes no primeiro trimestre de 2018. Diante dessa quantidade de dados e um cenário regulador cada vez mais rigoroso, as organizações devem realizar uma análise de risco contextual para identificar quais são as atividades em seus processos que requerem uma adequação e ou implementação da lei. Sendo necessário considerar os processos, sistemas e ferramentas para avaliar como os dados pessoais de seus clientes/usuários são tratados, reforçando a proteção, com responsabilidade e transparência.

Caminhando na direção da economia e na sociedade digital, atualmente 75% dos CIOs de todo mundo consideram que um dos aspectos que mais exige e ocupa suas agendas está em torno do planejamento, execução e monitoramento de mecanismos de segurança cibernética, de acordo com a pesquisa CIO Survey 2019 realizada pela Grant Thornton. Ainda neste detalhado e técnico levantamento, conclui-se que 83% dos líderes dos departamentos de tecnologia incrementaram seus investimentos e gastos em segurança digital.

Casos emblemáticos e recentes de ataques cibernéticos e sequestro de dados à grandes corporações e organizações públicas configuram claramente uma nova preocupação não somente no âmbito da privacidade do indivíduo, mas sobretudo em questões de segurança pública e internacional. Tal cenário vem influenciando não somente aos chefes de estados a se debruçarem cada vez mais sobre segurança digital, como também grandes e médias organizações vêm aumentando seus investimentos em capital humano e financeiro nas áreas de Tecnologia da Informação e compliance.

Quer adequar sua empresa a LGPD? Conte com a Future! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

Cooperação é a melhor estratégia de segurança!

De acordo com o Instituto Ponemon, o custo médio de violação de dados no Brasil é de R$ 1,24 milhão por empresa. E o custo financeiro não é o único prejuízo. Hoje, qualquer empresa, de qualquer tamanho, enfrenta um desafio que cresce a cada dia: segurança.

Uma falha na segurança cibernética tem efeitos que não terminam com a divulgação e solução do problema. Essa violação causa danos, muitas vezes irreparáveis, na reputação da empresa; e com a LGPD mostrando sua cara no horizonte, as consequências financeiras podem chegar a milhões de reais.

E a verdade é uma só: não existe uma solução que impeça todas as ameaças. Existem soluções que alertam sobre possíveis brechas e ajudam as empresas a consertá-las e, dessa, forma, evitá-las.
Como controlar todos os pontos de entrada simultaneamente e saber que basta uma única brecha para todo esse trabalho ter sido jogado fora? Esse é um dos maiores desafios de qualquer equipe de segurança da informação.

Em um país como o Brasil, considerado pelo Instituto Ponemon, o que mais representa risco de violações, investir em melhores práticas de proteção de dados é o único caminho possível. Contar com uma equipe de segurança da informação e ter um plano de respostas a incidentes são medidas urgentes e prioritárias e é nesse ponto que um outro desafio aparece: a falta de talentos em segurança.

Manter um time que saiba lidar com adversidades não é uma tarefa fácil e mesmo que a empresa já conte com uma equipe bem formada, sempre haverá a necessidade de repor algum funcionário que tenha saído.

Antes de sair para o mercado atrás da peça ideal para montar uma equipe ou repor, é preciso entender quais habilidades e recursos são necessários que a equipe possa executar seu trabalho sem contratempos; se a área de TI tem a infraestrutura necessária para realizar os processos necessários para implementar e executar as medidas de segurança e até mesmo avaliar se esse trabalho pode ser feito internamente ou se não é melhor terceirizar.

Resolvido esse pequeno dilema, outro pode surgir. Muitas empresas mantêm a segurança cibernética e a TI separadas, quando deveriam andar juntas, sob o mesmo guarda-chuva, afinal, ninguém conhece melhor o ambiente de dados como a equipe que o criou e gerencia.

Equipes de segurança e TI devem trabalhar lado a lado para entender os requisitos de desempenho e para que os sistemas essenciais para os negócios se mantenham disponíveis durante todo o tempo. Uma medida de segurança não pode, em nenhuma hipótese, comprometer a disponibilidade.

Como a TI tem conhecimento prático do comportamento e interações dos sistemas de dados, seu papel, dessa forma, é vital para detectar ameaças precocemente.

Mas, para isso, é preciso que tenham as ferramentas necessárias e o entendimento do que deve ser monitorado. É nesse ponto que a cooperação entre as áreas se faz mais importante.

Lidar com falhas de conformidade também podem representar prejuízos significativos. Em um mundo cada vez mais regulamentado – LGPD, GDPR, HIPAA -, as empresas encontram-se obrigadas a atender normas cada vez rígidas de proteção de dados e privacidade, assim, o compartilhamento de informações e recursos entre as áreas de segurança e TI mostra-se uma estratégia inteligente e facilita o gerenciamento e manutenção dos processos de conformidade.

Compartilhar o conhecimento é imprescindível para a segurança da informação. Em um ambiente em que não é possível afirmar que algo seja 100% seguro, e com hackers cada vez mais motivados em encontrar novas e inovadoras formas de invasão, manter uma estratégia de segurança que priorize uma combinação de estruturas, equipes e sistemas garante uma vantagem substancial contra possíveis brechas de segurança.

Se a busca por novos talentos é complicada, promover a cooperação entre TI e segurança da informação é a melhor estratégia.

Quer melhorar a segurança na sua empresa? Conte com a Future! Clique aqui e conheça nossas soluções de segurança!

Fonte: CryptoID.

Read More

O que tem em comum GDPR e LGPD?

A similaridade das leis GDPR e LGPD ultrapassam a grafia com siglas de quatro letras. Pioneira na regulamentação e proteção de dados, a General Data Protection Regulation (GDPR) é a lei europeia que entrou em vigor em maio de 2018. Seu objetivo é proteger todos os cidadãos da UE contra a violação de privacidade e dados.

Na América Latina, o Brasil é um dos países com a regulamentação mais atrasada. A Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em dezembro de 2020, chega para fixar parâmetros do mesmo tema da lei européia. No Chile, a legislação de proteção de dados foi decretada em 1999 e, na Argentina, em 2000. Países como Colômbia e Uruguai também seguem avançados quando o assunto é a segurança da informação. Independente do local do decreto, as leis indicam que a proteção de dados é uma necessidade e tendência mundial.

Sobre ataques ou invasão de hacker nos sistemas das empresas, de acordo com a Wired, foi este ano que aconteceu a maior violação de dados da história. Apelidada de ”Coleção # 1” a invasão atingiu quase 800 milhões de emails e senhas, totalizando 2.692.818.238 linhas de milhares de fontes diferentes. A invasão, que foi relatada pelo Troy Hunt, especialista em segurança digital , apresentou mais de 12 mil arquivos, com 87 gigabytes de dados, postados em um fórum hacker. Ela envolveu 772.904.997 endereços de e-mail únicos, além de mais de 21 milhões de senhas únicas, superando os hacks dos vazamentos do Equifax e do Yahoo por uma margem extremamente significativa.

Casos como o relatado por Hunt, do Equifax e do Yahoo, de brechas de segurança, são mais frequentes do que imaginamos. Só em 2018, o site Business Insider publicou uma lista dos 21 maiores episódios de violações revelados, classificados de acordo com o número de usuários afetados.

Para as organizações brasileiras, com a LGPD, além de se adequar a uma nova realidade de segurança da informação, conhecer a legislação sobre consentimento e transparência será essencial. Por mais que pareça distante, dezembro de 2020 não é um prazo longo para que todas as obrigações e responsabilidades criadas sejam atendidas. Há bastante a ser realizado com a intenção de adequar-se às regras da nova lei brasileira.

Diferente da realidade europeia, que implantou a General Data Protection Regulation (GDPR) depois da criação de uma cultura de discussão entre organizações sobre o tema, o mercado brasileiro não terá muito tempo para se adequar ao mercado com nova regulação. Mesmo que a portas fechadas, há uma correria e uma preocupação de empresas com essa adaptação.

Se segurança da informação, brechas de segurança e LGPD ainda forem temas distantes para a sua empresa, calma. Listamos abaixo dois passos essenciais para você inserir no seu planejamento organizacional.

Primeiro passo

É preciso conhecer a legislação sobre consentimento e transparência presentes nas dinâmicas de segurança da informação. A LGPD traz algumas definições tais como:

  • Dado pessoal é a informação relacionada à pessoa natural identificada ou identificável;
  • Dados pessoais sensíveis são informações de origem racial/étnica, religiosa, política, filosófica, referentes à saúde, vida sexual, genética ou biométrica;
  • Titular é a pessoa natural a quem se referem os dados pessoais;
  • Controlador é a pessoa que toma decisões sobre o tratamento de dados pessoais;
  • Operador é a pessoa que trata dados pessoais em nome do controlador;
  • Tratamento é a coleta, processamento, armazenamento, eliminação, dentre tantos outros.

Segundo Passo

Para ajudar na educação digital da segurança da informação, é essencial que as empresas tenham parceiros confiáveis, com revisão de contratos, e acompanhamento diário da gestão dessas informações e adequação às novas regras.

É preciso garantir a conformidade com os regulamentos de privacidade e segurança, gerenciar e controlar ameaças cibernéticas com eficiência, assegurar a segurança e privacidade em toda a cadeia digital (serviços, aplicativos, dados, infraestruturas e terminais) e controlar os impactos de qualquer incidente de segurança ou violação de dados.

Falhas provam que até mesmo gigantes como Google, Microsoft e Facebook não estão a salvo de falta de segurança que podem expor os dados confidenciais de seus usuários.

Adeque-se às leis! Conte com a Future!!! Somos parceiros dos maiores fabricantes de soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: IT Forum 365.

Read More

LGPD: controlador e operador devem estar em sintonia para mitigar riscos!

Você já deve ter ouvido falar da Lei nº 13.709, de 14 de agosto de 2018, também conhecida como Lei Geral de Proteção de Dados (LGPD), certo? Desde quando foi promulgada com o objetivo de proteger os direitos fundamentais de liberdade, bem como de privacidade das pessoas a partir dos seus dados pessoais, a LGPD tem despertado diferentes reações pelas partes que compõem a dinâmica.

Por um lado, nas pessoas naturais, essa garantia despertou um sentimento de proteção, haja vista a série de incômodos que sofrem diariamente com abordagens de terceiros que tiveram acesso aos seus dados pessoais de forma não autorizada.

Por outro, nas empresas, a sensação despertada ainda é o desconforto em função da alteração cultural que ela implica, assim como um mar de incertezas (como exemplo, a demora na conversão em lei da Medida Provisória nº869/18, que prorrogou a vigência da LGPD para agosto/2020). Isso suscita perguntas como “será que a lei vai pegar?”, que se tornam mais comum a cada dia.

Mas a grande questão é que, independentemente das inseguranças, fato é que o respeito à proteção dos dados não é passageiro. É mais do que tendência. É um fenômeno global que nasceu com bastante força e que veio para ficar.

No próprio Brasil, no final de 2018, um caso emblemático chamou atenção. Um banco digital que figura dentre os líderes do País acordou o pagamento de uma multa de R$1,5 milhão ao Ministério Público do Distrito Federal em função da perda de dados de clientes em um episódio que veio à tona em maio do mesmo ano.

Ou seja, estamos diante de um prazo desafiador para se adequar à uma realidade que propõe uma mudança sensível que passa por toda a operação de qualquer empresa, desde as internas (que abrange, por exemplo, não apenas os gestores, mas sim todos os colaboradores), até as terceirizadas e realizadas em parcerias em geral.

Uma organização que falha nas medidas de segurança adequadas pode ser responsabilizada por negligência, independente da esfera e do nível em que o problema ocorrer.

Em relação aos parceiros, destaca-se a figura do operador, que pode ser pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (a quem competem as decisões referentes a tal tratamento).

Conforme disposição da LGPD, o operador responde solidariamente pelos danos causados quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador. Ou seja, o titular dos dados pode acionar judicialmente um ou outro, conjunta ou isoladamente, para buscar responsabilização e o ressarcimento do que lhe foi causado em descumprimento à LGPD.

Ainda, o controlador que estiver diretamente envolvido no tratamento do qual decorram danos ao titular dos dados também responde de forma solidária junto com o operador pelo que for causado por esse último.

Temos aí um ponto sensível: a escolha e contratação da figura do operador, sendo recomendável que o controlador exija daquele comprovações de cumprimento à LGPD. Ou seja, aqueles que mais cedo estiverem em compliance com a legislação, mais oportunidades de negócios terão, pois poderão se destacar no mercado e trazer segurança aos potenciais parceiros na possível contratação.

Importante dizer que o tratamento de dados pessoais será irregular quando não atender as disposições da legislação ou quando não fornecer a segurança que o titular de dados pode esperar do referido tratamento, considerando o modo de realização do tratamento, o resultado e os riscos razoavelmente esperados, bem como as técnicas de tratamento de dados pessoais disponíveis à época de sua realização.Daí nascem dúvidas como seria necessário comprovar culpa ou dolo do controlador ou operador (responsabilidade subjetiva), ou bastaria ao titular de dados demonstrar uma ação ou omissão pelo controlador/operador que acarretou um dano ao titular dos dados (responsabilidade objetiva)?

Conforme o texto da LGPD, o controlador ou o operador apenas não serão responsabilizados se demonstrarem que: (a) não realizaram o tratamento de dados pessoais que lhes é atribuído; (b) embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou (c) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. A partir da análise das excludentes de responsabilidade do controlador e do operador, é possível concluir que essas acabariam por afastar,por completo,o nexo de causalidade entre a ação/omissão e o dano causado ao titular de dados, fato característico de quando está se tratando da responsabilidade objetiva.

Ainda assim, não há como negar que a excludente de responsabilidade de culpa exclusiva de terceiroacaba por alargar o rol de defesa do controlador e do operador em detrimento do titular de dados, ao permitir a discussão e prova quanto à configuração da culpa de terceiros estranhos à atividade.

Contudo, não parece de acordo com espírito trazido pela LGPDque a jurisprudência se incline no sentido de admitir qualquer responsabilidade de terceiro, sendo mais coerente que tal discussão apenas seja cabível em relação a riscos externos ao negócio, ou seja, quando não seria razoável esperarque o controlador ou o operador assumissem o referido risco, sendo tal ação/omissão de terceiro totalmente estranha, inevitável e imprevisível para o negócio.

A infração à LGPD pode acarretar penalidades de até R$50 milhões por infração, assim como a obrigação da empresa publicizar a ocorrência, trazendo inevitáveis problemasde reputação. Todo esse cenário ilumina então um aspecto fundamental no processo de adaptação: não basta conhecer os seus riscos, mas sim agir para mitigá-los, sendo tal mitigaçãotão importante quanto escolher o parceiro comercial que tenha em evidência a mesma preocupação e o mesmo propósito.

Quer se adequar a LGPD? Conte com a Future! Preencha o formulário abaixo e entre em contato conosco.

Fonte: Computer World.

Read More

Transição para LGPD gera a confiança necessária em segurança da informação

Com os objetivos de dar aos cidadãos e residentes europeus formas de controlar os dados pessoais e de unificar o quadro regulamentar dos membros da União Europeia e Espaço Econômico Europeu, o Regulamento Geral sobre a Proteção de Dados (GDPR) deu início à uma onda de melhores medidas para a segurança de dados em diversos países. Aprovado em 15 de abril de 2016, mas entrando em vigor apenas em 25 de maio de 2018, o conjunto de leis busca garantir a privacidade e proteção de informações pessoais e prevê multas de até 4% do faturamento total da empresa que não estiver de acordo com as novas regras.

Porém, os reflexos da GDPR começaram a serem sentidos para além da União Europeia. Isso porque, o regulamento deve ser seguido por toda e qualquer empresa que armazena dados de cidadãos europeus, independente de onde a companhia opera. Isso fez com que inúmeros países se adequassem às novas leis e, consequentemente, pensassem em como as informações pessoais eram geridas dentro de casa. Como reflexo, os anos seguintes ao anúncio do novo regulamento viram aparecer conjuntos de leis semelhantes em outras regiões.

Na América Latina, países como México, Colômbia, Argentina, Chile e Peru se juntam ao Brasil entre aqueles que aprovaram os próprios regulamentos para a gestão de dados pessoais. Por aqui foi criada a Lei Geral de Proteção de Dados Pessoais (LGPD), ratificada no dia 14 de agosto de 2018, que determina como as informações dos cidadãos podem ser coletadas e tratadas, e que prevê punições para transgressões de até 2% sobre o lucro da empresa, com teto máximo de 50 milhões de reais.

Segundo estudo da IDC Brasil, 70% das PMEs nacionais enfrentam dificuldades na jornada digital, e garantir a segurança da informação é um desses desafios. No entanto, o tempo para se adequar às novas regras já está correndo. As empresas brasileiras têm até agosto de 2020 para adequar todos os processos de armazenamento, processamento, acesso, transferência e divulgação dos dados as regras da LGPD. Para fiscalizar o mercado, o governo brasileiro criou, no final de 2018, a Agência Nacional de Proteção de Dados (ANPD), órgão que responde diretamente à Presidência da República.

Esses regulamentos representam um período de transição, do qual sairão empresas mais conscientes sobre a importância da segurança da informação. Para atravessar esse processo sem grandes contratempos, as companhias devem apostar em soluções que estejam atualizadas de acordo com os requisitos de cada lei, o que traz benefícios a curto e a longo prazo. De imediato, as ferramentas ajudam a promover uma cultura de segurança no ambiente de trabalho e, no futuro, a evitar multas por falta de compliance.

Porém, diferentes interpretações do que é ou não é informação pessoal fazem com que as leis estejam em constante debate, e passíveis de mudança. No Brasil, a LGPD não faz nenhuma menção direta às imagens coletadas por vídeos de monitoramento, o que gerou um alerta entre empresas de monitoramento de vídeo.

Com a evolução do setor e a aplicação de tecnologias como cloud computing para transmissão e armazenamento, abre-se uma brecha na interpretação da legislação. Por exemplo, empresas que possuem soluções de câmeras inteligentes, capazes de detectar movimentos e pessoas com sensores, podem ser afetadas se um vídeo que identifica um indivíduo for considerado como dado pessoal.

Para não correr riscos, é necessário ficar atento às mudanças que a LGPD pode sofrer até 2020, ano em que a lei entrará, de fato, em vigor. Dessa forma, é importante utilizar esse período de transição para construir uma relação de confiança com a solução de segurança da empresa, para que a equipe tenha a certeza que, em caso de mudanças na legislação, a ferramenta irá manter a proteção de dados dentro da lei. Encontrar o equilíbrio no investimento de tempo e recursos financeiros para Pessoas – Processos – Tecnologia pode ser o fator determinante para o sucesso na proteção de dados ou pagamento de multas.

Quer adequar sua empresa a LGPD? Conte com a Future! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

Receba conteúdos exclusivos