Dados não estruturados e a LGPD

Com a entrada em vigor da LGPD para o próximo ano uma das preocupações dos usuários com a privacidade de dados devem ser os documentos não estruturados. Os arquivos Word, Excel, Powerpoint, PDF´s, e mesmo os e-mails corporativos, estão cheios de dados de usuários que precisam estar controlados, e protegidos, contra vazamentos e acessos não autorizados.

Uma das medidas que podemos tomar para a maior parte dos documentos não estruturados é a adoção de sistemas de gestão eletrônica de documentos. Esses sistemas permitem ao usuário seguir utilizando seus arquivos de modo normal com alguns ganhos.

O primeiro deles é quanto ao tráfego desses documentos na rede. Como as ferramentas de gestão de documentos só trafegam em modo criptografado, é mais difícil para um invasor conseguir acessar esses arquivos na rede, ou mesmo, durante seu tráfego de rede para conseguir acessar e vazar os dados de usuário.

A segunda vantagem é que muitas vezes anexamos esses documentos a um e-mail e enviamos para um destinatário. O principal problema aqui é que deixamos de poder controlar esse acesso ou como esses dados serão utilizados e mantidos. 

Ao utilizar um sistema de gestão documental o que podemos fazer é:
– Enviar um link do documento para que o destinatário possa acessá-lo.
– Verificar as informações sem perder o controle de acesso. 

O usuário final recebe um link para poder utilizar mas o arquivo segue dentro de nosso controle de acesso com segurança e organização.

A terceira vantagem está ligada ao acesso em si do documento. As ferramentas de gestão de rede só permitem liberar ou bloquear o acesso. Dentro das ferramentas de gestão documental você tem uma gama bem maior de controle. 

Podendo controlar ações como: impressão, edição, envio por e-mail, controle de versão, etc. Permitindo assim que a instituição possa ter um controle bem maior sobre os documentos.

E por fim a segurança dos repositórios de documentos. Como eles deixam de ser arquivos em um diretório, e passam a ser objetos dentro de um sistema de gestão documental, isso possibilita com que a segurança para o acesso não autorizado seja maior. Permitindo desta forma um maior controle.

Com isso esperamos auxiliar as empresas a enfrentar as mais diversas dificuldades no momento de implementação da compliance para a LGPD.

Como se preparar para o risco de um vazamento de dados

Um vazamento de dados é um incidente de segurança no qual as informações de uma organização são acessadas sem autorização.

Os dados vazados podem dizer respeito a informações como nome, data de nascimento, endereço e informações da conta bancária dos seus clientes, usuários e empregados, por exemplo.

Portanto, se a sua empresa ou organização descobrir que uma pessoa não autorizada visualizou alguma informação, houve um vazamento de dados.

Entendendo isso, não é difícil imaginar que vazamentos podem prejudicar empresas e consumidores de várias maneiras diferentes. Eles são uma despesa cara e podem danificar vidas e reputações, e isso leva tempo para consertar.

Sim, estamos falando de um problema complexo e que envolve diversos fatores. Infelizmente para as vítimas nunca existirá segurança perfeita e não há como eliminar, por completo, o risco da ocorrência de um vazamento de dados.

Sendo assim, preparar-se para um vazamento também implica em saber quais os procedimentos são necessários para documentar, avaliar e relatar um vazamento da maneira correta.

Primeiros passos

Certifique-se de que você tenha políticas, rotinas e instruções que toda pessoa em sua empresa esteja ciente.

O mínimo que todos devem saber é o que são vazamentos de dados, que isso não deve ser negligenciado e a pessoa a quem devem reportar um vazamento o mais rápido possível.

Depois de detectar um vazamento de dados na organização, é importante responder rapidamente. O relógio está correndo desde o momento em que sua empresa tomou conhecimento da violação.

Criar procedimentos internos

Conscientizar os funcionários e ter uma cadeia de encaminhamento clara e eficiente em funcionamento é necessário para responder a um vazamento de dados.

Dependendo do tamanho da sua organização, a duração da sua cadeia de encaminhamento pode variar, mas geralmente a recomendação é mantê-la o mais curta possível para evitar perder muito tempo executando-a em muitas instâncias. Além disso, pode ser apropriado usar um formulário de relatório interno para documentar as medidas tomadas para que as informações não se percam no caminho.

Simultaneamente, com a execução do relatório interno, o pessoal qualificado deve tomar as medidas iniciais para conter o vazamento e limitar os danos. Isso pode significar corrigir um erro, desligar um sistema violado ou limpar remotamente um dispositivo perdido.

A equipe de resposta a incidentes

No final da sua cadeia de escalonamento, deve haver uma equipe de resposta a incidentes composta pelas partes interessadas em sua organização. Essa equipe provavelmente incluirá seu CEO e os chefes dos departamentos jurídico, de TI, de segurança e de relações públicas.

Essa equipe será responsável por liderar a investigação do incidente, reunindo todos os fatos importantes no menor tempo possível. Terá então que determinar qual a posição da organização com relação aos dados pessoais afetados. Se esses dados foram processados ​​na posição de um operador, você deve informar ao controlador que esteja vinculado, sem atrasos indevidos.

Deve informá-los sobre a natureza do vazamento (incluindo categorias e número de titulares de dados e dos registos de dados pessoais violados em causa), as consequências prováveis do vazamento, as medidas propostas ou adotadas para resolver e atenuar o vazamento e os seus possíveis efeitos negativos.

Inclua também o nome e os detalhes de contato de onde mais informações podem ser obtidas. O controlador fará então avaliações adicionais se a violação precisar ser reportada à autoridade nacional e aos titulares dos dados.

Avaliando o risco

Sua organização figura como controlador? Se sim, será necessário avaliar e executar um plano de resposta, considerando os seguintes fatores:

  • A descrição da natureza dos dados pessoais afetados;
  • As informações sobre os titulares envolvidos;
  • A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  • Os riscos relacionados ao incidente;
  • Os motivos da demora, no caso de a comunicação não ter sido imediata; e
  • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Por fim, os membros da equipe de gerenciamento de incidentes devem documentar e assinar o documento de avaliação de risco, seu raciocínio e suas conclusões. O resultado da avaliação de risco deve incluir uma das seguintes conclusões:
  • Nenhum risco para os direitos e liberdades dos titulares dos dados
  • Um risco para os direitos e liberdades dos titulares dos dados
  • Um elevado risco para os direitos e liberdades dos titulares dos dados

Ter um procedimento eficiente para evitar um vazamento de dados não é importante apenas para a saúde reputacional e financeira sua empresa, mas também para a proteção dos dados dos seus clientes.

Se você precisar de orientações acerca dos procedimentos necessários para elaboração de um relatório sobre vazamentos de dados, nossa ferramenta de gestão de incidentes pode te ajudar a registrar e analisar qualquer incidente ou problema, bem como te auxiliar na decisão sobre se um incidente é reportável ou não. Nossa solução pode orientar você a coletar as informações certas para permitir que você avalie corretamente o risco e o impacto de um vazamento de dados.

Obrigado por ter chegado até aqui, esse é o primeiro texto da nossa série sobre vazamentos de dados. Até a próxima!

Por Paulo Tavares

CEO da EZPRIVACY

Com a GDPR/LGDP pode afetar sua empresa

Com a entrada em vigor da Lei Geral de Proteção de Dados do Brasil (LGDP), prevista para fevereiro de 2020, as empresas terão que se adaptar para controlar de forma mais eficiente os dados dos usuários. A mudança será em duas vertentes: a primeira, por parte dos usuários, que vão precisar mudar alguns hábitos, e a segunda, por parte dos sistemas de informação, que deverão ser mais estruturados e seguros.

Por parte dos usuários, práticas comuns como o descarte do lixo, sem a devida destruição; a utilização de meios de comunicação estranhos à segurança da empresa, como Skype e Whatsapp; e o envio de documentos anexos aos e-mails, terão que ser reduzidos e controlados. Paralelamente, o uso de telefones celulares e tablets dentro das empresas para enviar e receber informações; a atualização de sistemas e aplicativos, tanto dos notebooks quanto dos tablets e celulares, bem como deixar notebooks dentro do veículo estacionado, são apenas alguns hábitos que os usuários terão que rever para melhorar a compliance da empresa frente às perdas e vazamentos de dados.

No que se refere aos sistemas, torna-se necessária a atualização das plataformas de segurança, como firewall, anti-spam, anti-virus, anti-malware e honeypots. Em seguida, a atualização dos softwares, servidores e roteadores e, principalmente, a constante atualização das senhas, bem como as práticas de segurança de informação por parte dos usuários e administradores de TI.

Com a entrada da LGDP em vigor, a maior preocupação das organizações é minimizar as possibilidades de multas por parte da legislação, evitando riscos à imagem da empresa, queda nas vendas e perda de valor das ações. Para isso, precisamos investir em tecnologias que possam reduzir o envio sem controle de documentos e informações para os usuários, sem retirar esses dados das empresas.

Uma das tecnologias que pode auxiliar e reduzir os riscos de vazamentos de dados são os sistemas de gestão documental, que permitem o acesso a documentos e informações, dentro e fora de empresa, sem a necessidade de armazenar os documentos nos dispositivos. Você pode digitalizar esses documentos e utilizar os sistemas de DMS para controlar acesso, uso, impressão, comentários sem ter que enviar os documentos  informações para fora do ambiente corporativo.