Como a TI pode começar a mapear os ativos para atender a LGPD?

Acreditamos que a LGPD vai começar a fazer parte da atividade da área de TI nas empresas.

Um dos passos iniciais para TI, é fazer um mapeamento detalhado dos ativos de tecnologia que armazenam ou transferem dados sensíveis, ou também chamados de “silos de dados”.

Como um mapa claro pode-se estabelecer níveis de proteção e controles adequados…

Segue alguns exemplo de “silos” que armazenam ou coletam dados:

• Banco de dados internos e externos, como SQL e outros tipos de bancos não estruturados.
• Aplicações Web que armazenam dados.
• Servidores de arquivos internos, como Windows File Server, NFS, etc.
• “Share” de Rede, ou sejam os compartilhamentos na rede.
• “Buckets” de dados na nuvem, como por exemplo Amazon S3, Dropox Business, Google Drive, etc.
• Servidores de backup internos.
• Drives de backup na nuvem.
• Servidores de email e arquivamento de mensagens.
• API’s de aplicações.
• Ferramentas de marketing de terceiros.

Com um mapa dos ativos, pode-se verificar como esses “silos” trocam dados entre eles, por exemplo:

• É utilizada criptografia para transferência de dados, como SSL/TLS ?
• É utilizada criptografia para armazenar o dado, como AES ou outro algoritmo ?
• Quem tem acesso a determinado dado?
• Há registro (log) de acesso ao dado?
• É executada uma análise de vulnerabilidades nos “silos” de dados?
• Qual a frequência da verificação das vulnerabilidades?
• É possível verificar quais vulnerabilidades já foram corrigidas?
• Qual a frequência de atualização de versão e patchs de determinados “silos” que estão na empresa?

Os exemplos citados acima são somente uma visão geral do que mapear e quais controles aplicar nos ativos de TI.

Esperamos que estes post ajude a dar alguns insights para começar a mapear ativos de tecnologia.

Bom trabalho.