Segurança da Informação X LGPD: Qual a relação entre os temas?

O tema segurança da informação está em evidência no mundo atual, especialmente após a vigência da Lei Geral de Proteção de Dados (LGPD) e de outras leis semelhantes em outros países. Criada para proteger os usuários no que diz respeito à utilização de seus dados, essa legislação também é uma preocupação dentro das organizações.

É de extrema importância que as empresas estejam em compliance com a LGPD para se protegerem contra vazamentos de informações. Isso porque, os ataques a dados estão cada vez mais comuns, e para se blindar é necessário o investimento em ferramentas de segurança da informação.

Entretanto, essa tarefa pode ser mais complicada do que parece. Diversas são as preocupações que uma empresa deve ter neste momento. Com isso, é imprescindível contar com uma boa plataforma que o auxilie durante todo processo!

Tendo esse cenário em mente, é preciso um momento para refletir:

  • Afinal, qual a relação entre a segurança da informação e a LGPD?
  • Como cuidar melhor de meus dados e de meus clientes?
  • Quais plataformas podem me auxiliar?

Para sanar esses e outros questionamentos, você deve primeiro entender melhor sobre a relação entre a segurança da informação e a LGPD.

Afinal, o que é a segurança da informação?

Com o advento e a evolução da internet, a criação, troca e o vazamento de informações foram se tornando questões cada vez mais comuns. Sabendo disso, foi criado um termo para definir a defesa de todos esses dados.

Assim, o termo segurança da informação refere-se à adoção de processos e metodologias que são projetados para proteger impressos, dispositivos eletrônicos ou qualquer outra forma de informações ou dados confidenciais, privados e sensíveis, contra acesso não autorizado, uso indevido, divulgação, destruição, modificação ou interrupção.

Para que a prática fosse bem aplicada, os estudiosos definiram cinco pilares fundamentais baseados no conceito de segurança.

Estes servem como base para analisar a movimentação das informações e seu compartilhamento. Da mesma forma, balizam o que é tido como correto e legal perante a legislação vigente, como a LGPD.

Descobrindo os 5 pilares da segurança da informação!

  1. Confidencialidade: Se aplica aos dados corretos estarem disponíveis apenas àqueles que possuem autorização.
  2. Integridade: O segundo pilar destaca aspectos como a consistência, a preservação, a confiabilidade e a precisão dos dados. Ou seja, ele evita que o material seja alterado ou deletado por qualquer um que não possua acesso.
  3. Disponibilidade: Contar com a disponibilidade dos dados é de vital importância dentro de uma companhia. Em geral, esse acesso deve ser em tempo integral e estável, o que garante um alcance permanente pelo usuário final a qualquer uma das informações.
  4. Não repúdio: Também conhecida como “irretratabilidade”, o não repúdio se refere às modificações dos dados. Mais do que isso, esse pilar tem como foco garantir que usuários ou empresas não possam negar a autoria da informação.
  5. Autenticidade: Por fim, o pilar da autenticidade é o que garante a autorização de usuários para visualizar, modificar, transmitir ou deletar informações.

Família ISO 27000

Composta por 45 normas, a família ISSO 27000 garante o total compliance das organizações perante a gestão da segurança de informação. Focaremos aqui na norma ISO 27001.

A ISO 27001 é a norma internacional que descreve como gerenciar a segurança da informação, por meio da gestão de diversas políticas, procedimentos, ativos, processos e pessoas, considerando e descrevendo todos esses elementos dentro de um sistema de SGSI — Sistema de Gestão da Segurança da Informação.

O foco principal desta ISO está em proteger a confidencialidade, integridade e disponibilidade da informação dentro de uma organização, considerando sempre os riscos envolvidos, através de uma gestão de riscos.

A ISO 27001 traz a abordagem da implementação de segurança da informação com base no Ciclo PDCA :

  • Plan (Planejar);
  • Do (Fazer);
  • Check (Verificar);
  • Act (Ação).

Como o próprio nome diz, se trata de um ciclo, ou seja, realizar as quatro etapas não significa que se encerrou a implementação, é necessário fazer e refazer os passos para se obter melhores resultados a cada ciclo.

E o que é a Cibersegurança?

Com o surgimento da LGPD, diversas foram as organizações que também voltaram seus olhos à cibersegurança. Mais acima, falamos sobre a segurança da informação, um tema que representa a proteção dos dados em geral, físicos ou digitais.

Dentro dessa temática, há a cibersegurança, que nada mais é do que um conjunto de práticas referentes à proteção de dados digitais. Em geral, são sistemas para processamento, armazenamento e transmissão da informação.

Em outras palavras, a cibersegurança pode ser definida como sendo um conjunto de ações e técnicas para proteger sistemas, aplicativos, redes e equipamentos contra invasões e ataques cibernéticos.

O papel da LGPD na segurança da informação

Citada em vários pontos deste material, a Lei Geral de Proteção de Dados (LGPD) tem como objetivo regulamentar:

  • A captação;
  • O tratamento;
  • A segurança de dados pessoais;

Com esses objetivos, a legislação conta com alguns termos para clarificar sua correta aplicação.

Dados pessoais x dados sensíveis

No momento de aplicar a LGPD em uma empresa, é preciso ter claro alguns conceitos. O primeiro deles é a diferença entre dados pessoais e dados sensíveis. Para isso, pode-se utilizar de uma tabela com a referência de cada uma das categorias. Como segue:

Dados Pessoais Dados Sensíveis
Nome Raça ou etnia
Endereço Religião
RG, CPF, CNH Opinião política
Geolocalização Filiação a sindicato
Hábitos de consumo Dado genético
Exames médicos Dado referente à vida sexual
Biometria
Perfil cultural

Além destes, há também os dados anonimizados, aqueles que não podem ser relacionados aos respectivos titulares, portanto tornando-os fora do escopo da LGPD. Assim, somente se aplica esta lei se for possível esclarecer a identidade do titular dos dados.

Controlador x operadores

Para deixar mais claro os participantes deste processo, a LGPD delimita as entidades envolvidas no tratamento, referenciando-as como agentes de tratamento.

  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador: novamente uma pessoa natural ou jurídica, pública ou privada. Sua função, entretanto, é a de realizar o tratamento em nome do controlador. Logo, é ele quem trabalhará junto às informações seguindo as diretrizes do Controlador.

Quais são os direitos dos titulares?

Como pode-se imaginar, a pessoa titular dos dados tem direitos sobre estes. Para defini-los e confirmar suas capacidades, a LGPD os colocou em um documento.

Dessa forma, como titular de qualquer informação, você tem direito a:

  • Confirmar existência de tratamento de seus dados pessoais;
  • Acessar seus dados pessoas;
  • Corrigir os dados pessoais;
  • Anonimizar, bloquear ou eliminar dados pessoais;
  • Portabilidade de dados pessoais;
  • Obter informações sobre o compartilhamento dos dados pessoais;
  • Revogar o consentimento dado.

O papel das organizações caso haja vazamento de dados

Da mesma forma, também foram definidas ações a serem tomadas em caso de vazamento de qualquer dado pessoal. Neste caso, há uma descrição detalhada do dever das organizações.

  • A descrição da natureza dos dados pessoais afetados;
  • As informações sobre os titulares envolvidos;
  • A indicação de medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comerciais e industriais;
  • Os riscos relacionados ao incidente;
  • Os motivos da demora, no caso de a comunicação não ter sido imediata;
  • As medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Além disso, há também a penalidade que uma empresa pode sofrer caso ocorra qualquer falha nesse manual. Entre outras, ela pode ter de arcar com uma multa de 2% de seu faturamento anual no país. Isso, obviamente, sem contar a o dano reputacional e as indenizações recorrentes do vazamento.

LGPD X Segurança da Informação: qual a relação?

Para empresas que já trabalham utilizando os princípios e boas práticas da segurança da informação, adequar-se a LGPD não será necessariamente um grande desafio. Muitas das novas normas, afinal, já possuem como pré-requisito a adoção dessas práticas, com aquelas existentes nas normas da família ISO 27000.

Dessa forma, para as empresas que já fazem uso dessas práticas, já há meio caminho andado em direção à legislação. A história, entretanto, é completamente diferente em companhias que não se utilizam dessas práticas.

Para se adequar a elas, será necessário grandes mudanças não somente no departamento de TI da empresa. A cultura e os processos da organização, como um todo, deverão sofrer alterações para adequar-se a LGPD. Aqui, fala-se de pessoas, processos e tecnologias.

O desafio, nesse caso, é notável e poderá envolver custos e muitas horas de trabalho. O lado positivo, porém, é que as vantagens serão sentidas independentemente da nova legislação. Sua empresa estará mais protegida, bem como seus clientes, o que traz admiração e confiança por parte do mercado.

Microsoft 365 e as boas práticas de cibersegurança

Como explicado nos itens acima, cuidar da cibersegurança de uma companhia não é algo simples. Mais do que isso, é uma tarefa complicada — ou quase impossível — de se fazer de maneira manual.

Com isso, o indicado é contar com plataformas que te possibilitem seguir a legislação, proteger os dados e ainda manter a produtividade da equipe. Com este objetivo, a Microsoft apresenta um conjunto de ferramentas perfeito para você.

Autenticação Multifator (MFA)

O primeiro fator em que a Microsoft te auxilia com a cibersegurança é já no momento de login. Essa é uma função chamada de Autenticação Multifator, ou MFA, que adiciona uma camada de proteção extra nesse momento.

Essa etapa representa mais segurança no controle de acesso de qualquer serviço da empresa.

Acesso condicional

Voltando ao perímetro de segurança, é preciso ressaltar que ele não abrange somente sua rede. Este se estende também por seus usuários e os dispositivos que utilizam para acessar o sistema. Dessa forma, se faz preciso uma plataforma capaz de tomar decisões a respeito desse acesso.

A Microsoft lançou então o acesso condicional do Azure Active Directory (Azure AD). Essa é uma ferramenta que reúne sinais, toma decisões e impõem políticas organizacionais.

Azure AD Privileged Identity Management – PIM

Ainda dentro do Azure AD existe o PIM — Privileged Identity Management —, um sistema focado em gerenciar, controlar e monitorar o acesso a determinados recursos. Com ele, é possível determinar o tempo a que um usuário terá acesso a esses recursos, evitando mais riscos. Sendo assim, possui entre suas soluções:

  • Fornece acesso privilegiado just-in-time ao Azure AD e aos recursos Azure;
  • Atribuir acesso com limite de tempo aos recursos usando as datas de início e término;
  • Exigir aprovação para ativar funções com privilégio;
  • Impor autenticação multifator para ativar qualquer função;
  • Usar justificativas para entender porque os usuários ativam;
  • Obter notificações quando as funções privilegiadas forem ativadas;
  • Realizar revisões de acesso para garantir que os usuários ainda precisem das funções;
  • Baixar o histórico de auditoria para auditoria interna ou externa.

DLP – Prevenção Contra Perda de Dados

A DLP é uma forma de prevenção contra perda de dados, e pode ser instalada no Centro de Conformidade & Segurança do Office 365. Com ela, se torna possível identificar, monitorar e proteger automaticamente as informações confidenciais.

Na prática, isso significa encontrar qualquer dado ou documento, analisar sua utilização e, se necessário, bloquear seu acesso. Isso é possível porque o DLP detecta informações confidenciais utilizando de análise profunda, e não apenas verificação de texto.

Assim, busca por correspondências de palavra-chave, dicionário, expressões, funções e outros métodos para encontrar a informação. Com isso, detecta de forma rápida os conteúdos que violam a política da empresa.

Rótulos de Confidencialidade

Novamente pensando na cibersegurança e na privacidade dos dados, é possível também utilizar dos rótulos de confidencialidade. Estes são úteis para entrar em conformidade com a política de proteção de informação interna.

Além disso, podem também servir como uma forma de delimitar o acesso a determinados arquivos, documentos e e-mails. Sua utilização, na prática, abrange as mais diversas situações, trazendo segurança à companhia como um todo.

Exemplos desses momentos são quando:

  • Fornecer configurações de proteção que incluam criptografia e marcações de conteúdo;
  • Proteger o conteúdo nos aplicativos do Office em diferentes plataformas e dispositivos;
  • Estender os rótulos de confidencialidade ao Power BI;
  • Proteger o conteúdo em aplicativos e serviços de terceiros;
  • Estender os rótulos de confidencialidade aos ativos no Azure Purview;
  • Proteger contêineres que incluem o Teams, grupos do Microsoft 365 e sites do Office SharePoint Online;
  • Estender rótulos de confidencialidade a aplicativos e serviços de terceiros;
  • Classificar conteúdo sem usar nenhuma configuração de proteção.

Políticas de retenção

É inegável que a quantidade de conteúdo recebido atualmente por grandes empresas é imensa. Dessa forma, faz-se necessário determinar quais destes podem ou não ser aproveitados, e isso toma tempo.

Para aumentar a produtividade da empresa, então, a Microsoft apresenta a política de retenção. Com ela, é possível realizar de maneira eficiente essa seleção por meio de configurações automáticas.

Assim, cada tipo de conteúdo será direcionado a um ponto, ou ainda excluído, de acordo com seu perfil. Na prática, é mais agilidade no trabalho e menos tempo perdido com tarefas rotineiras e desinteressantes para a organização.

Conformidade de Comunicação (Communication Compliance)

A fim de minimizar os riscos de comunicação e permitir que as companhias detectem mensagens inadequadas, é preciso de conformidade de comunicação. Mais do que isso, a ferramenta possibilita também a captura e a execução de ações de remediação para essas mensagens.

Em especial, ela pode ser extremamente útil na hora de revisar discursos nas áreas de políticas corporativas, gerenciamento de riscos e conformidade regulamentar. Para isso, o Microsoft 365 utiliza de um sistema de quatro etapas com o intuito de resolver problemas de conformidade.

São eles:

  • Configurar;
  • Investigar;
  • Corrigir;
  • Monitorar

Integração entre AD DS (Active Directory on-premise) com o Azure AD

Um problema bastante recorrente em grandes organizações é a quantidade excessiva de sistemas que utilizam.. A integração entre eles, porém, é o grande entrave, já que muitas vezes um não conversa com o outro.

Dessa forma, contar com uma solução multiplataforma integrada é a melhor solução para qualquer empresa. No Microsoft Azure AD, o acesso a todos os programas é o mesmo, simplificando essa etapa e economizando tempo. Além disso, por estarem baseados em nuvem, essa identidade híbrida possui acesso remoto a qualquer documento e a qualquer momento.

Microsoft Intune

A evolução tecnológica trouxe muitos benefícios e incontáveis melhorias para as empresas. Ainda assim, seu controle difícil, especialmente com a utilização de dispositivos móveis crescendo cada vez mais.

Sabendo disso, o Microsoft Intune é uma plataforma criada justamente para auxiliar nesse domínio da comunicação. Com ele, é possível, por exemplo, cadastrar todos os dispositivos da companhia — celulares, tablets, laptops — e controlar sua utilização.

Ferramentas corporativas interessantes são, por exemplo, impedir e-mails para pessoas de fora ou ainda liberar acesso a aparelhos pessoais.  Além disso, a plataforma se encontra na nuvem e melhora sua cibersegurança ao evitar ataques por meio aparelhos móveis.

Microsoft 365 Defender

Não é possível falar de cibersegurança sem mencionar um pacote destinado exclusivamente à proteção de sua organização. Por isso, o Microsoft Defender é a ferramenta ideal e mais confiável para a defesa empresarial, tanto pré quanto pós-violação.

Afinal, o sistema age na detecção, prevenção, investigação, e resposta ao ataque. Mais do que isso, porém, o Defender 365 é uma solução integrada, o que significa que apresenta recursos integrados.

Com eles, é simples descobrir de onde veio a ameaça, o que ela afeta, qual seu risco e como destruí-la. Assim, são quatro os serviços do Microsoft 365 Defender que podem ser úteis à sua companhia.

  • Microsoft Defender para Ponto de Extremidade;
  • Microsoft Defender para Office 365;
  • Microsoft Defender para Identidade e a Proteção de Identidade do Azure AD;
  • Microsoft Cloud App Security.

Microsoft Cloud App Security

Neste exato momento, diversas são as organizações que estão migrando seus sistemas para a nuvem. Esse processo traz muitas vantagens, mas também requer cuidados e desafios de implementação.

Dessa forma, o indicado é contar com uma ferramenta que te auxilie essa transição e te informe, em tempo real, tudo o que está ocorrendo. O Microsoft Cloud App Security se mostra, portanto, como a solução ideal nessa etapa.

Atuando como um intermediário entre o usuário e o provedor da nuvem, ele tem como papel informar, mas também proteger os dados críticos. Para isso, o sistema automaticamente coleta informações para defender sua companhia.

A integração deste com as ferramentas do Microsoft 365 Defender mencionadas acima auxilia no processo. Com a comunicação entre os sistemas, as ameaças são detectadas de forma mais rápida e a informadas ao departamento de TI.

A partir daí, se inicia um novo processo de batalha para prever danos e diminuir riscos.

Avalie a sua cibersegurança com a Walar IT Business

Sem dúvida alguma, investir em cibersegurança é o melhor que uma empresa pode fazer atualmente. Mais do que apenas investir, entretanto, é preciso o fazer da maneira correta. E isso envolve encontrar as plataformas certas, bem como os parceiros que poderão te auxiliar em todo o processo.

A Walar é a empresa ideal para essa parceria, já que conta com mais de 25 anos de vivência em TI. Com experiência em projetos dos mais variados segmentos, disponibiliza os melhores recursos para você e seu negócio. Junto a isso, terá também as melhores soluções de infraestrutura e sistemas de gestão, fiscal e tributária.

Uma dessas soluções, o GRC JOBS, é uma plataforma versátil que te permite organizar os processos de compliance. Assim, se torna mais simples seguir normas como a LGPD e a ISO 27000, além de garantir a segurança de sua companhia.

Para isso, a ferramenta atua no diagnóstico, implantação e sustentação da solução, confirmando assim sua eficácia. Ficou interessado? Entre em contato com um consultor da Walar para mais informações.

Leave a Comment