5 dicas de auditoria de arquivos para a GDPR e LGPD

Quem nunca se perguntou se não
existe uma maneira mais fácil de vencer o desafio de manter os arquivos
organizados em seu computador? Saber, de forma intuitiva, em que pasta está
cada arquivo, os tipos dos arquivos, e a informação contida em cada um deles?
Agora, vamos imaginar estender tal desafio aos dados de toda a empresa e seus
colaboradores.

A esta altura você deve estar se
perguntando se esta não seria uma missão impossível, controlar o que cada um
faz com cada arquivo e que informações são guardadas neles e ainda – se a
segurança é algo que você profissional de TI valoriza -, como fazer para que eu
não perca qualquer dado ou que não caia em mãos erradas?

Regulações como as reforçadas pela
LGPD e GDPR são bastante rigorosas no que diz respeito ao tratamento de dados
pessoais, que alertaram o mercado que está cada vez menos tolerante com
deslizes nessa área. A todo custo, empresas mais atentas estão cada vez mais tentando
minimizar as chances de escândalo sobre vazamento de dados ou mesmo evitar
multas em decorrência do uso indevido de dados cadastrais de clientes.

Para ilustrar, neste contexto, até
ações inadvertidas da equipe de marketing em posse dados pessoais, como o envio
de uma mala direta, poderiam acionar um gatilho para que problemas legais com a
LGPD começassem a surgir. Situações como esta denotam sintomas para a falta de
cuidado com a legislação e com a fragilidade com que o controle dessas
informações ocorre na organização.

Se por um lado o controle sobre a geração, manipulação, acesso e trânsito de arquivos com informações sensíveis nem sempre pode ser garantido pela equipe de conformidade, por outro, é extremamente viável o uso de tecnologia para identificar onde tais informações sensíveis estão sendo armazenadas, sobre quem está de posse dela, e se o uso é legítimo.

Para isso, é obrigatória a implementação um processo de auditoria de arquivos em profundidade que cubra todos os eventos relacionados para que se possa garantir a conformidade com as políticas de segurança de dados e proteção das informações pessoais. Neste sentido, uma boa implantação de DLP (Data Loss Prevention ou Prevenção à Perda de Dados) está como um dos pilares deste processo de auditoria.

Para tornar o processo de
organização de dados mais fácil, separamos aqui algumas orientações e práticas
para você seguir rumo à construção do processo automatizado de auditoria e
controle:

1) Comece com a descoberta e classificação de dados

Para que tenhamos gestão, precisamos conhecer nossos ativos e as possíveis métricas que podemos obter a partir deles. Saber quais dados devem ser protegidos e onde eles estão localizados dentro da empresa é o passo inicial para prevenção contra a perda e o vazamento de dados. Uma boa solução de DLP pode oferecer recursos como o de descoberta, classificação e marcação de dados e fornecer a visibilidade sobre os dados confidenciais, incluindo sobre como estão sendo protegidos. Uma vez categorizado, ela poderá atuar fornecendo insights importantes sobre o conteúdo classificado.

2) Mantenha políticas de risco atualizadas

Crie, ajuste e atualize suas políticas de risco. Uma vez criadas, implemente-as de modo que seja inicialmente aplicadas uma quantidade menor de regras e fiquem fáceis as tarefas de configurar, analisar e formar uma linha base. Expanda aos poucos, ajuste perfis de risco, políticas e regras regularmente para reduzir falsos positivos, aumentar a eficácia e realinhar com as necessidades de negócios conforme estes forem mudando.

3) Registre todos os incidentes

Mantenha uma documentação clara e concisa de todas as políticas violadas e incidentes que foram detectados. Use um painel de incidentes para analisar os principais incidentes para as violações de políticas ou perda de dados. Tenha a pontuações de risco para um usuário e incidentes de segurança e ajuste sua solução DLP e empregue a correção ativa ou o envio de alertas de maneira apropriada.

4) Implante a proteção à perda de dados em fases

Tentar implementar DLP de forma massiva e de uma vez para todos os seus ativos ao mesmo tempo pode gerar uma quantidade enorme de falsos positivos de modo a prejudicar o processo como um todo. Antes de iniciar a implantação, liste e priorize todos os arquivos que precisam ser protegidos. Crie um cronograma para garantir que a implantação seja concluída em fases, revise e valide os resultados para cada fase, mova para a próxima assim que a anterior estiver concluída.

5) Execute testes individuais

Para garantir uma implementação do DLP bem-sucedida em cada tipo de equipamento em toda a empresa, execute testes detalhados com seu agente em cada um dos sistemas monitorados e certifique-se de que ele esteja configurado corretamente. Avalie o desempenho, a execução das políticas e se a execução como um todo é compatível com os requisitos dos sistemas adotadas pela empresa.

Tais medidas facilitam o processo
de implementação da auditoria ao mesmo tempo que levam a resultados efetivos
contra perda de dados sensíveis. A boa implementação da solução de DLP somada
ao monitoramento do fluxo de dados na organização mitigam os riscos de eventos
relacionados ao roubo, sua perda ou uso indevido através de ações não
intencionais ou não autorizadas. O suporte de soluções automatizadas de
varredura e alerta facilita a gestão sobre a manipulação de arquivos e pastas
contendo dados críticos.

Este nível de governança com o
apoio de soluções automatizadas é com certeza o caminho mais seguro para a
obtenção da qualidade na gestão de segurança da informação e é o passo mais
curto para se estar em conformidade não somente com a LGPD e GDPR, mas também
com normas como PCI DSS, HIPAA, GLBA, entre outras.

* Augusto Mesquita é technical head
da ACSoftware