Precisamos repensar a segurança da informação

O mês de julho foi uma referência para as empresas repensarem a estratégia e a importância da área de segurança da informação. Somente neste mês, foram noticiados multas gigantescas como:

• 230 milhões de dólares para British Airways pelo vazamento de cerca de 500 mil registros de clientes
• 123 milhões de dólares para rede Marriott pelo vazamento de 339 milhões de dados pessoais de clientes
• 5 bilhões de dólares para o Facebook pelo caso envolvendo a Cambridge Analytica onde utilizaram dados pessoais de dezenas de milhões de usuários do Facebook.

Aí você pensa…e daí, estou no Brasil? Mas no Brasil também existem vazamentos de dados, não com tanta frequência ou grandeza, ou ainda pior, talvez não são revelados pelas empresas. Recentemente foi noticiado o vazamento de 1,2 milhões de dados de brasileiros que participaram da “Promoção Ypê”, marca de produtos de limpeza.

Por esse e outros motivos que, em agosto de 2020, entrará em vigor a Lei Geral de Proteção de Dados (LGPD), que poderá aplicar multas não tão grandes como estas dos EUA e UE, mas poderá chegar a R$ 50 milhões de reais por infração. Outro ponto importante desta lei, é que o responsável pela gestão das informações da empresa deve comunicar incidentes de segurança para a Agência Nacional de Proteção de Dados (ANPD), que possam oferecer risco ou prejuízo aos donos das informações.

O que as empresas precisam fazer?

Devem garantir a proteção das informações pessoais coletadas, armazenadas e utilizadas para fins comerciais e sociais, sejam elas alocadas dentro das empresas ou em nuvens ou ambas, independente se o sistema é estruturado como ERP, CRM ou RH ou não estruturado como planilhas de cálculos ou e-mails. Os consentimentos de uso devem ser elaborados com textos simples, claros e diretos, bem como administrar e garantir que estão atualizados de acordo com os acessos e uso em vigor. Abaixo, recomendações adicionais

• Envolvimento da liderança, RH, TI e jurídico;
• Definir o controlador que tomará as decisões sobre o tratamento dos dados;
• Escolher o encarregado (DPO) que será responsável pela proteção e comunicação entre ANPD e os donos dos dados;
• Controlar os termos de consentimento para garantir que todos os dados utilizados são permitidos para uso;
• Mapear os dados pessoais, identificando onde são armazenados, utilizados e transmitidos;
• Manter registros das operações realizadas com os dados pessoais;
• Treinar os colaboradores internos e externos sobre o uso dos dados.

*Por: Marcos Gomes, executivo de TI e segurança da informação na innovativa Executivos Associados