Considerando que a LGPD visa a proteção dos dados sensíveis, é natural que devemos priorizar a proteção nos ativos de tecnologia que armazenam esse tipo de dado.
Então, quais seriam os principais ativos de tecnologia que podem conter sensíveis?
É claro que isso depende de cada negócio, mas vamos citar alguns para exemplificar…
Por exemplo, se a empresa possui infra-estrutura interna, os servidores de arquivos ou sistema ERP, seria uma boa opção para começar.
Mas o fator chave para implementar uma política eficaz, é criar um modelo de segurança e depois replicar.
Assim podemos criar um check-list para a segurança do CRM, por exemplo, testar, validar e replicar para outros ativos.
Criar um controle e registro de acesso, registrando em servidores de logs com criptografia, o acesso da pessoa que acessa determinado dado.
Em casos seja necessária fazer uma auditaria, os registros estarão nos os servidores de logs criptografados.
A LGPD diz que se com um conjunto de informações é possível identificar uma pessoa, esses dados devem ser protegidos, e é claro que criptografia se torna imprescindível.
Se a empresa possui um CRM na nuvem por exemplo, existem dados que podem descrever uma empresa por completo, localização, número de funcionários, CNPJ, que serviços utiliza, quem é o diretor, o gerente, etc…
Também associado a essa empresa pode haver dados dos funcionários como telefone comercial ou pessoal, seu e-mail, sua posição na empresa.
Talvez na sua empresa o que precisa ser protegido é o servidor que contem diversos databases…
A empresa pode ter várias aplicações em funcionamento, conectando e salvando dados em um único servidor de DB…
É importante que esses dados estejam protegidos e criptografados, ininteligíveis como diz a lei LGPD.
Então como você pode ver, existem muitas informações valiosos nos diversos ativos de uma empresa, cabe ao profissional de TI avaliar quais representam maiores riscos ao vazamento de dados.
Esperamos que tenha tirado alguns insights desse post para o momento que você for realizar o checklist ou mapeamento dos ativos na sua empresa.
Bom trabalho.
Nota: esse post é uma interpretação livre dos artigos da LGPD. Não deve ser tomada como uma consulta legal e/ou recomendação legal e/ou consultoria jurídica. Sempre consulte a área jurídica da sua empresa, advogado ou consultor jurídico para adequar a LPDG à sua empresa.
PS: Se você é Gerente de TI ou analista e está envolvido com Cyber Segurança na sua empresa, temos uma lista exclusiva com Boas Práticas e Procedimentos que NÃO publicamos no blog. Se quiser receber esse material exclusivo por favor deixe seu email abaixo: