5 dicas de auditoria de arquivos para a GDPR e LGPD

Tornar processo de organização de dados mais fácil exige alguns cuidados. Eis alguns deles

Author Photo
5:25 pm - 26 de abril de 2021

Quem nunca se perguntou se não existe uma maneira mais fácil de vencer o desafio de manter os arquivos organizados em seu computador? Saber, de forma intuitiva, em que pasta está cada arquivo, os tipos dos arquivos, e a informação contida em cada um deles? Agora, vamos imaginar estender tal desafio aos dados de toda a empresa e seus colaboradores.

A esta altura você deve estar se perguntando se esta não seria uma missão impossível, controlar o que cada um faz com cada arquivo e que informações são guardadas neles e ainda – se a segurança é algo que você profissional de TI valoriza -, como fazer para que eu não perca qualquer dado ou que não caia em mãos erradas?

Regulações como as reforçadas pela LGPD e GDPR são bastante rigorosas no que diz respeito ao tratamento de dados pessoais, que alertaram o mercado que está cada vez menos tolerante com deslizes nessa área. A todo custo, empresas mais atentas estão cada vez mais tentando minimizar as chances de escândalo sobre vazamento de dados ou mesmo evitar multas em decorrência do uso indevido de dados cadastrais de clientes.

Para ilustrar, neste contexto, até ações inadvertidas da equipe de marketing em posse dados pessoais, como o envio de uma mala direta, poderiam acionar um gatilho para que problemas legais com a LGPD começassem a surgir. Situações como esta denotam sintomas para a falta de cuidado com a legislação e com a fragilidade com que o controle dessas informações ocorre na organização.

Se por um lado o controle sobre a geração, manipulação, acesso e trânsito de arquivos com informações sensíveis nem sempre pode ser garantido pela equipe de conformidade, por outro, é extremamente viável o uso de tecnologia para identificar onde tais informações sensíveis estão sendo armazenadas, sobre quem está de posse dela, e se o uso é legítimo.

Para isso, é obrigatória a implementação um processo de auditoria de arquivos em profundidade que cubra todos os eventos relacionados para que se possa garantir a conformidade com as políticas de segurança de dados e proteção das informações pessoais. Neste sentido, uma boa implantação de DLP (Data Loss Prevention ou Prevenção à Perda de Dados) está como um dos pilares deste processo de auditoria.

Para tornar o processo de organização de dados mais fácil, separamos aqui algumas orientações e práticas para você seguir rumo à construção do processo automatizado de auditoria e controle:

1) Comece com a descoberta e classificação de dados

Para que tenhamos gestão, precisamos conhecer nossos ativos e as possíveis métricas que podemos obter a partir deles. Saber quais dados devem ser protegidos e onde eles estão localizados dentro da empresa é o passo inicial para prevenção contra a perda e o vazamento de dados. Uma boa solução de DLP pode oferecer recursos como o de descoberta, classificação e marcação de dados e fornecer a visibilidade sobre os dados confidenciais, incluindo sobre como estão sendo protegidos. Uma vez categorizado, ela poderá atuar fornecendo insights importantes sobre o conteúdo classificado.

2) Mantenha políticas de risco atualizadas

Crie, ajuste e atualize suas políticas de risco. Uma vez criadas, implemente-as de modo que seja inicialmente aplicadas uma quantidade menor de regras e fiquem fáceis as tarefas de configurar, analisar e formar uma linha base. Expanda aos poucos, ajuste perfis de risco, políticas e regras regularmente para reduzir falsos positivos, aumentar a eficácia e realinhar com as necessidades de negócios conforme estes forem mudando.

3) Registre todos os incidentes

Mantenha uma documentação clara e concisa de todas as políticas violadas e incidentes que foram detectados. Use um painel de incidentes para analisar os principais incidentes para as violações de políticas ou perda de dados. Tenha a pontuações de risco para um usuário e incidentes de segurança e ajuste sua solução DLP e empregue a correção ativa ou o envio de alertas de maneira apropriada.

4) Implante a proteção à perda de dados em fases

Tentar implementar DLP de forma massiva e de uma vez para todos os seus ativos ao mesmo tempo pode gerar uma quantidade enorme de falsos positivos de modo a prejudicar o processo como um todo. Antes de iniciar a implantação, liste e priorize todos os arquivos que precisam ser protegidos. Crie um cronograma para garantir que a implantação seja concluída em fases, revise e valide os resultados para cada fase, mova para a próxima assim que a anterior estiver concluída.

5) Execute testes individuais

Para garantir uma implementação do DLP bem-sucedida em cada tipo de equipamento em toda a empresa, execute testes detalhados com seu agente em cada um dos sistemas monitorados e certifique-se de que ele esteja configurado corretamente. Avalie o desempenho, a execução das políticas e se a execução como um todo é compatível com os requisitos dos sistemas adotadas pela empresa.

Tais medidas facilitam o processo de implementação da auditoria ao mesmo tempo que levam a resultados efetivos contra perda de dados sensíveis. A boa implementação da solução de DLP somada ao monitoramento do fluxo de dados na organização mitigam os riscos de eventos relacionados ao roubo, sua perda ou uso indevido através de ações não intencionais ou não autorizadas. O suporte de soluções automatizadas de varredura e alerta facilita a gestão sobre a manipulação de arquivos e pastas contendo dados críticos.

Este nível de governança com o apoio de soluções automatizadas é com certeza o caminho mais seguro para a obtenção da qualidade na gestão de segurança da informação e é o passo mais curto para se estar em conformidade não somente com a LGPD e GDPR, mas também com normas como PCI DSS, HIPAA, GLBA, entre outras.

* Augusto Mesquita é technical head da ACSoftware

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.