Opinião - O que priorizar em segurança da informação?
Área: Pessoal Publicado em 23/02/2023 | Atualizado em 23/10/2023
Foto: Divulgação Fonte: Jornal Valor Econômico
Deve ser priorizada a atualização das políticas em geral, de acordo com a evolução do cenário corporativo, pelo menos anualmente
Sempre que se inicia um novo ciclo, é comum que projetos relevantes sejam (re)pensados. E com a segurança da informação não é diferente. A cada novo projeto, existe a intenção de incluir muitos produtos e serviços, mas nem sempre é possível realizar todo o planejamento das áreas, em razão de diversos limites.
Então fica a dúvida: quais são as prioridades? A resposta não é tão simples, até porque cada organização tem particularidades que precisam ser analisadas. Ciente disso, observando pela perspectiva jurídica, trazemos abaixo alguns pontos de atenção para o ano de 2023, ponderando a legislação e as manifestações da Autoridade Nacional de Proteção de Dados (ANPD).
Deve ser priorizada a atualização das políticas em geral, de acordo com a evolução do cenário corporativo
O primeiro ponto que pode ser destacado são os treinamentos. Criar cultura organizacional nessa temática é o passo inicial para engajar e conscientizar o time. Além dos treinamentos expositivos (que devem ocorrer pelo menos a cada dois meses), a criatividade deve ser usada para idealizar outras ações que tracionem o assunto internamente (reports mensais, pílulas semanais, cartilhas, entre outros). É importante que o material apresentado seja adaptado à realidade de cada área, ajustado para que cubra riscos específicos enfrentados pelos colaboradores.
É fundamental, ainda, realizar força-tarefa para incluir cláusulas de privacidade, segurança da informação e confidencialidade, especialmente nos contratos de média e alta criticidade, levando em conta o volume e a natureza dos dados tratados. O contrato bem redigido possibilitará a rápida solução de dúvidas em momentos críticos, como em exposições de dados pessoais e de informações confidenciais. Devem ser endereçados nos instrumentos aspectos sobre: posição como agente de tratamento (controlador, operador, controlador conjunto ou suboperador); ciclo de vida do tratamento de dados pessoais (coleta, uso, armazenamento, compartilhamento e exclusão); obrigações; responsabilidade; e medidas técnicas e organizacionais. Além disso, se houver vedação ao compartilhamento de dados com terceiros (o que pode ser especialmente relevante quando houver o tratamento de grande volume de dados sensíveis), isso também deve ser objeto de restrição contratual.
Também deve ser prioridade a estruturação de mecanismos para validar o nível de segurança dos parceiros de negócio, de acordo com o risco potencial. Assim, aqueles fornecedores de alto risco devem passar por análise mais criteriosa (incluindo a validação de políticas e documentos), a qual deve ser renovada no máximo em seis meses. Já os parceiros de menor risco (que tratam poucos dados pessoais, por exemplo) podem ser solicitados a preencher autodeclaração, com atualização anual. Esse aspecto tem sido prestigiado pelas autoridades de proteção de dados, que veem com bons olhos as organizações que implementam essas soluções, sendo um dos fatores considerados para a mitigação de multas.
Adicionalmente, a eficiente gestão de acesso aos dados é uma forma de reduzir o risco, já que, naturalmente, limita a quantidade de informação disponível dentro da organização. Assim, revisar e ajustar permissões devem ser prioridade, implementando duplo fator de autenticação sempre que possível. Além disso, quem tiver áreas logadas abertas ao público (sites de comércio eletrônico, por exemplo) deve investir em mecanismos para bloquear tentativas de acesso em larga escala e impedir a exposição indevida de dados - além do duplo fator, podem ser usados mecanismos para identificar e bloquear tentativas em massa partindo de um mesmo Protocolo de Internet (IP), além do captcha (letras e números que precisam ser digitados antes da liberação de acesso a determinados portais).
Por fim, deve ser priorizada a atualização das políticas em geral (especialmente a de segurança da informação, o plano de resposta a incidentes e o plano de continuidade do negócio), de acordo com a evolução do cenário corporativo, pelo menos anualmente. Com isso, será possível garantir que os documentos representem a situação vigente da corporação, reduzindo riscos por descompasso entre a norma e a situação atual. Assim, essa atualização deve levar em conta não apenas as modificações internas da corporação e os novos riscos agregados com o passar do tempo, mas aspectos relacionados à evolução legislativa, novas tecnologias, mudanças na jurisprudência, entre outros.
Além de observar esses pontos, é essencial documentar todas as ações realizadas, pois a ANPD ou outro ente regulador pode solicitar evidências do cumprimento dos aspectos acima, o que se torna especialmente relevante em cenário no qual se discuta a aplicação de sanção, quando as evidências do esforço corporativo poderão reduzir eventuais penas aplicadas.
Existem, portanto, muitos pontos que devem ser priorizados, sendo o encarregado pelo tratamento de dados pessoais (ou DPO - Data Protection Officer) e o Chief Information Security Officer (CISO) as pessoas ideais para entenderem o que é mais adequado ao momento específico da organização, liderando essa relevante missão para 2023. A atuação deles deve ser proativa, traçando cronograma alinhado com as prioridades da ANPD, da companhia e do mercado, com o objetivo de antecipar eventuais situações de vulnerabilidade e preencher as lacunas, mitigando os riscos que possam causar prejuízos reputacionais e financeiros.
Caio César Carvalho Lima é sócio do Escritório Opice Blum, Bruno e Vainzof Advogados Associados
NULL Fonte: NULL
Deve ser priorizada a atualização das políticas em geral, de acordo com a evolução do cenário corporativo, pelo menos anualmente
Sempre que se inicia um novo ciclo, é comum que projetos relevantes sejam (re)pensados. E com a segurança da informação não é diferente. A cada novo projeto, existe a intenção de incluir muitos produtos e serviços, mas nem sempre é possível realizar todo o planejamento das áreas, em razão de diversos limites.
Então fica a dúvida: quais são as prioridades? A resposta não é tão simples, até porque cada organização tem particularidades que precisam ser analisadas. Ciente disso, observando pela perspectiva jurídica, trazemos abaixo alguns pontos de atenção para o ano de 2023, ponderando a legislação e as manifestações da Autoridade Nacional de Proteção de Dados (ANPD).
Deve ser priorizada a atualização das políticas em geral, de acordo com a evolução do cenário corporativo
O primeiro ponto que pode ser destacado são os treinamentos. Criar cultura organizacional nessa temática é o passo inicial para engajar e conscientizar o time. Além dos treinamentos expositivos (que devem ocorrer pelo menos a cada dois meses), a criatividade deve ser usada para idealizar outras ações que tracionem o assunto internamente (reports mensais, pílulas semanais, cartilhas, entre outros). É importante que o material apresentado seja adaptado à realidade de cada área, ajustado para que cubra riscos específicos enfrentados pelos colaboradores.
É fundamental, ainda, realizar força-tarefa para incluir cláusulas de privacidade, segurança da informação e confidencialidade, especialmente nos contratos de média e alta criticidade, levando em conta o volume e a natureza dos dados tratados. O contrato bem redigido possibilitará a rápida solução de dúvidas em momentos críticos, como em exposições de dados pessoais e de informações confidenciais. Devem ser endereçados nos instrumentos aspectos sobre: posição como agente de tratamento (controlador, operador, controlador conjunto ou suboperador); ciclo de vida do tratamento de dados pessoais (coleta, uso, armazenamento, compartilhamento e exclusão); obrigações; responsabilidade; e medidas técnicas e organizacionais. Além disso, se houver vedação ao compartilhamento de dados com terceiros (o que pode ser especialmente relevante quando houver o tratamento de grande volume de dados sensíveis), isso também deve ser objeto de restrição contratual.
Também deve ser prioridade a estruturação de mecanismos para validar o nível de segurança dos parceiros de negócio, de acordo com o risco potencial. Assim, aqueles fornecedores de alto risco devem passar por análise mais criteriosa (incluindo a validação de políticas e documentos), a qual deve ser renovada no máximo em seis meses. Já os parceiros de menor risco (que tratam poucos dados pessoais, por exemplo) podem ser solicitados a preencher autodeclaração, com atualização anual. Esse aspecto tem sido prestigiado pelas autoridades de proteção de dados, que veem com bons olhos as organizações que implementam essas soluções, sendo um dos fatores considerados para a mitigação de multas.
Adicionalmente, a eficiente gestão de acesso aos dados é uma forma de reduzir o risco, já que, naturalmente, limita a quantidade de informação disponível dentro da organização. Assim, revisar e ajustar permissões devem ser prioridade, implementando duplo fator de autenticação sempre que possível. Além disso, quem tiver áreas logadas abertas ao público (sites de comércio eletrônico, por exemplo) deve investir em mecanismos para bloquear tentativas de acesso em larga escala e impedir a exposição indevida de dados - além do duplo fator, podem ser usados mecanismos para identificar e bloquear tentativas em massa partindo de um mesmo Protocolo de Internet (IP), além do captcha (letras e números que precisam ser digitados antes da liberação de acesso a determinados portais).
Por fim, deve ser priorizada a atualização das políticas em geral (especialmente a de segurança da informação, o plano de resposta a incidentes e o plano de continuidade do negócio), de acordo com a evolução do cenário corporativo, pelo menos anualmente. Com isso, será possível garantir que os documentos representem a situação vigente da corporação, reduzindo riscos por descompasso entre a norma e a situação atual. Assim, essa atualização deve levar em conta não apenas as modificações internas da corporação e os novos riscos agregados com o passar do tempo, mas aspectos relacionados à evolução legislativa, novas tecnologias, mudanças na jurisprudência, entre outros.
Além de observar esses pontos, é essencial documentar todas as ações realizadas, pois a ANPD ou outro ente regulador pode solicitar evidências do cumprimento dos aspectos acima, o que se torna especialmente relevante em cenário no qual se discuta a aplicação de sanção, quando as evidências do esforço corporativo poderão reduzir eventuais penas aplicadas.
Existem, portanto, muitos pontos que devem ser priorizados, sendo o encarregado pelo tratamento de dados pessoais (ou DPO - Data Protection Officer) e o Chief Information Security Officer (CISO) as pessoas ideais para entenderem o que é mais adequado ao momento específico da organização, liderando essa relevante missão para 2023. A atuação deles deve ser proativa, traçando cronograma alinhado com as prioridades da ANPD, da companhia e do mercado, com o objetivo de antecipar eventuais situações de vulnerabilidade e preencher as lacunas, mitigando os riscos que possam causar prejuízos reputacionais e financeiros.
Caio César Carvalho Lima é sócio do Escritório Opice Blum, Bruno e Vainzof Advogados Associados
NULL Fonte: NULL
