O avanço continuo da tecnologia da informação atinge cada vez mais fronteiras que não imaginávamos se formos voltar a um período de 10 anos atrás. A introdução de softwares e tecnologias para automatizar defesas sempre foram adotadas para um objetivo final, a proteção do que existe de mais valor no mundo, o dado.

A Preocupação com a integridade de dados agora vai muito além do que uma convencional proteção contra infecções causadas por vírus, malwares e softwares potencialmente maliciosos, visto que, existem inúmeras formas muito mais simples de se comprometer um dado pessoal ou expor uma propriedade intelectual. A LGPD veio para disciplinar o tratamento dos dados que dizem respeito a qualquer informação que identifique uma pessoa, como o nome e sobrenome, CPF e RG etc. Com isso, pensamos de imediato na adoção de softwares para automatização, praticidade e eficácia desta demanda, porém é importante mapear quais os desafios e requisitos são necessários para que adoção de possíveis tecnologias venham a agregar valor no ecossistema de proteção e não se tornar um problema a mais com projetos longos de implementação sem estudos e finalidades bem definidas. Dentre tais desafios e requisitos, podemos citar:

1. É fundamental o conhecimento do modelo de negócio da empresa e como ela pode ser afetada em caso de possíveis violações, tal entendimento envolve o estudo primário de como funciona a lei, o que de fato são considerados dados sensíveis e em quais casos e artigos da lei o modo de operação da empresa se encaixam em casos de possíveis vazamentos.

2. Conhecimento dos processos internos de cada área. É importante lembrar que cada área manipula um tipo de dado sensível e na maioria esmagadora dos casos compartilham tais informações com outras empresas e parceiros de mercado. Neste caso é necessário realizar alguns questionamentos por área e levantamentos de indicadores com os gestores de cada grupo, dentre eles:
   • Quais dados a área manipula?
   • Quais desses dados são considerados sensíveis perante a LGPD e a necessidade interna da empresa?
   • Onde esses dados estão armazenados?
   • Quem além da área em questão pode ter acesso a tais informações?
   • Quais parceiros externos compartilham dos mesmos dados?

3. Classificação da informação. Esta fase simboliza a marcação dos documentos que contém algum tipo de informação sensível. As respostas anteriores ajudam a realizar o filtro na classificação da informação e pra onde a área responsável deve olhar com cautela para a manipulação dos dados.

4. Trabalho de conscientização com os demais colaboradores que manipulam tais informações. Sabemos que existem vários perfis de usuários, dentre eles, os potenciais vetores de vazamento devido à falta de conhecimento das consequências e impactos em caso de violações por manipulação indevida dos dados. Neste caso, investir em palestras de conscientização, explicação da lei e como prevenir comportamentos e vícios que contribuam para possíveis incidentes já pode reduzir de imediato sua porcentagem de violação enquanto não adota soluções de monitoramento.

5. Adoção da tecnologias e softwares de segurança da informação para automatizar o processo de monitoramento 24×7, visibilidade dos dados e tomadas de ações em caso de violações. É necessário pesquisas de mercado para entendimento de quais tipos de soluções atendem tal demanda, qual o valor de investimento e tais tecnologias, e como defender tal investimento internamente.

Com tantos desafios a serem cumpridos, a primeira coisa que pensamos como consumidores de tecnologia é:

Como a tecnologia da informação e a área de segurança pode me ajudar a cumprir tais desafios e objetivos?

Mas este é um assunto para meu próximo post…até lá!