Sancionada em setembro deste ano, a Lei Geral de Proteção de Dados Pessoais (LGPD) passou a vigorar. Entre as punições por descumprimento do acordo, estão previstas multas aplicáveis, a partir de agosto de 2021. Com este cenário, muitas organizações passam por um momento crucial: atender requisitos legais novos e aprimorados para atualizar padrões de privacidade e tudo o que envolve a proteção de dados.
Cabem às empresas trazer o conceito – agora urgente – para a vanguarda dos negócios (claro, se isso já tiver sido feito). Provavelmente, ninguém, neste momento, sente mais pressão do que os gerentes de TI, já que esses profissionais são responsáveis pela coleta e proteção de todos os dados de recursos.
De que forma o gerenciamento de configuração e ativos oferece suporte à LGPD?
A gestão de configuração compreende estabelecer e manter a consistência do desempenho de um produto, inclusive com seus atributos funcionais, físicos, requisitos, design e informações operacionais. Este processo agiliza a entrega de software e aplicativos, automatizando, assim, a construção de sistemas de forma rápida e eficiente. A verificação de alterações de componentes ocorre através de gerentes e engenheiros, que garantem uma trilha de auditoria geral no sistema. Isso ajuda na rápida identificação de configurações incorretas, coopera para reversões necessárias e a otimiza a restauração de serviço. Isso também vale para os desenvolvedores, que, através da depuração, conseguem verificar se as alterações de configuração afetam a funcionalidade do produto.
O gerenciamento de configuração leva tempo, mas, se feito corretamente, permite facilidade de escalabilidade e reduz o tempo para construir recursos adicionais ao produto, minando qualquer preocupação de erros propensos ao usuário. Às vezes, implementar o processo pode parecer difícil, mas a criação de uma estratégia pode abrir uma porta de oportunidades para remover a camada de abstração humana e automatizar o máximo possível.
O processo de gerenciamento de configuração e ativos de serviço apresenta alguns objetivos:
- Definir e controlar os componentes de serviços e infraestrutura, mantendo informações precisas da configuração;
- Suportar objetivos e requerimentos de controle de clientes e negócio;
- Suportar todos os processos de gerenciamento de serviços;
- Otimizar ativos do serviço, configurações de TI, capacidades e recursos.
Os gerentes de TI devem estabelecer proteção total de dados, sabendo, inclusive, de forma precisa a quantidade de dispositivos geridos na organização, quem os acessa, de onde, qual software está instalado, quais aplicativos são usados e se a criptografia de dados está ou não em operação. O rastreamento de todos os ativos de TI implantados em uma rede fornece dados de auditoria de hardware e software. Isso revela o que, realmente, é utilizado.
A compreensão de todo o patrimônio de TI é uma grande contribuição para a conformidade com a LGPD. Vejamos:
Informações detalhadas
O conhecimento total dos ativos vem de um inventário completo de hardware e software. O risco de violação da LGPD é reduzido conforme a quantidade de dispositivos não descobertos na rede.
Controle de acesso
Os gerentes devem verificar quem tem acesso aos softwares e a necessidade de acessos liberados aos dados pessoais para fins comerciais.
Limpeza
Se não forem para uso comercial, os dados pessoais devem ser excluídos. Se estiverem relacionados ao uso comercial, devem permanecer acessíveis apenas para aqueles que realmente precisam deles. Ou seja, restringir acesso é preciso. Um dispositivo criptografado, mesmo se perdido ou roubado, ainda estará protegido caso ocorra alguma violação de segurança.
Ter uma ferramenta com monitoramento online dos dispositivos pode garantir que nenhum software esteja incompatível na rede. Isso propicia maior controle do que é implantado.
A função do gerenciamento de ativos de TI na conformidade com a LGPD
A maioria dos softwares é projetada com foco na segurança do servidor, gerenciamento e infraestrutura. Porém, a proteção correta dos dados empresariais exige análise dos recursos de TI utilizados para elaborar, transmitir e arquivar dados confiados.
Conforme definido por Garther, o gerenciamento de ativos de TI fornece uma conta precisa dos custos do ciclo de vida dos ativos de tecnologia e os riscos para maximizar o valor comercial da estratégia de tecnologia, arquitetura, financiamento e decisões contratuais.
Visibilidade total e um inventário detalhado de todos os recursos de TI representam a chave para uma posição forte de segurança e conformidade. Isso significa que cada dispositivo, instalação de software e usuário devem ser contados e correlacionados adequadamente.
Em caso de violação de TI, por exemplo, você precisa responder às perguntas:
- Quais são seus ativos de TI? Quais softwares estão instalados nos dispositivos?
- Quem tem acesso a dispositivos e aplicativos? Quem está atribuído aos dispositivos?
- Onde estão esses dispositivos? Como eles “mudaram” ao longo do tempo?
- Como eles se relacionam?
Ao responder às perguntas acima, o CIO pode contribuir para a conformidade com a LGPD.
Algumas ferramentas podem ajudar a identificar exatamente o hardware e software em uso. Seguem sete pontos que têm impactam no gerenciamento de TI:
- Direito a ser informado: as empresas devem comunicar dados coletados, as finalidades, quem está envolvido no processamento, o período de armazenamento e qualquer compartilhamento com terceiros.
- Direito ao esquecimento: a companhia deve ser capaz de identificar rapidamente os dados pessoais processados e modificá-los ou excluí-los mediante solicitação.
- Direito à portabilidade dos dados: obrigação de devolver todos os dados pessoais de um cliente que o deseje, em formato digital legível.
- Conceito de “privacidade desde a concepção”: implica em minimizar a recolha de dados, os protegendo ao longo do tempo e apagando dados desnecessários.
- Registros das atividades de processamento: cada empresa deve manter um registro de dados e nomear um DPO (Data Processing Officer).
- Relatório de violação de segurança: a LGPD exige que os controladores de dados relatem violações de segurança à autoridade supervisora. Além disso, obriga as empresas a tomarem medidas para remediar a violação e fornecer garantias para evitar a recorrência do incidente.
- Avaliação de impacto: antes de lançar um novo projeto, as companhias devem avaliar os riscos associados ao processamento de dados.
O exposto acima implica rastrear dados pessoais ao longo do ciclo útil – da coleta ao armazenamento, da troca à exclusão.
Novos princípios de governança
Como resultado, é indicado que os departamentos de TI adotem medidas concretas para cumprir a LGPD. Em suma, eles devem:
- Reforçar a política de gestão de dados para garantir a rastreabilidade (monitorizar e gerir utilização), além de definir uma política de segurança e sensibilizar os colaboradores para a necessidade de um tratamento seguro dos dados.
- Proteger e controlar o acesso, já que o compartilhamento de informações nunca é 100% seguro. A implementação de permissão deve ser baseada em função e necessidades do uso real.
- Monitoramento de fluxos de dados pessoais constante para evitar vazamentos, atividades suspeitas ou possíveis incidentes de segurança. Isso implica a adoção de ferramentas adequadas, especialmente em termos de colaboração, compartilhamento de arquivos e bloqueio de acesso a informações confidenciais.
- Procure gerenciar seus ativos de software em local único e tome as decisões de TI certas.
- Examine as estações de trabalho espalhadas por diferentes sites para descobrir e importar todo o software instalado automaticamente.
- Obtenha uma exibição de lista única de cada software, capturando detalhes críticos, como o número de compras x instalações, estações de trabalho que executem o software e o perfil do fabricante do software.
- Classifique o software como gerenciado, shareware, freeware, proibido e os categorize para possibilitar mais eficiência no rastreamento e gerenciamento.
- Obtenha um histórico completo de instalação ou desinstalação do software, inclusive os usuários anteriores que fizeram uso.
- Gerencie licenças de software. Esteja pronto para auditoria.
- Aloque variados tipos de licença, como individual, empresarial, simultânea e por volume para todos os softwares gerenciados.
- Acompanhe as datas de expiração da licença para reduzir riscos.
- Faça uma varredura periodicamente nas estações de trabalho para detectar violações de licença e instalação de softwares não autorizados.
- Rastreie o uso do software. Fique em conformidade.
- Planeje suas compras futuras com sabedoria, obtendo informações frequentes sobre o software utilizado.
- Certifique-se de que o software esteja livre de bugs e atualizado, gerenciando service packs, atualizações de segurança e outras de um local centralizado.
Com um forte programa de conformidade com a política de TI, as organizações podem implantar e gerenciar um ambiente de TI de acordo com as regulamentações governamentais, padrões da indústria e requisitos internos aplicáveis.
Para as organizações, é fundamental estabelecer um ciclo para gerenciar ativos e controles para proteger os dados em uso. É preciso identificar os ativos e o escopo de TI, definir os objetivos do controle, automatizar a avaliação do controle, priorizar as correções e, por fim, corrigir os problemas de configuração de segurança.
Depois de obter visibilidade total dos ativos de TI, as empresas podem criar mapas de dados e decidir sobre controles técnicos necessários para proteger dados pessoais de uma forma que atenda às expectativas consideráveis e aos requisitos da LGPD.
Antes homogêneos, residindo principalmente nas instalações, os ambientes de TI são cada vez mais híbridos e distribuídos, à medida que as organizações buscam benefícios de transformação digital por meio da adoção de tecnologias, como computação em nuvem, mobilidade, IoT etc.
O cenário de ameaças é alterado constantemente, porque os hackers se tornam mais agressivos, com ataques mais sofisticados. Enquanto isso, as consequências de sofrer violações de segurança são cada vez mais terríveis para as organizações afetadas.
Track quem acessa seus dados
Assim que manipular dados pessoais, você será responsável pelo uso total. Muitas vezes, as violações de dados são causadas por erro cometido por um usuário final. Ou seja, não envolvem a infraestrutura ou política de TI. Compartilhar dados com o mundo externo pode não ser 100% seguro, por isso é necessário ativar todas as opções de proteção.
Você deve entender quem está autorizado a acessar dados pessoais no sistema de arquivos corporativos, como eles acessam e definir permissões com base no uso real dos colaboradores. Em outras palavras: implemente controles de acesso baseados em funções.
Monitore sempre
Requisitos de conformidade de perda de dados e notificação de violação colocam uma nova carga nos departamentos de TI e nos encarregados de dados. A nova regra de ouro de TI, agora, é “monitorar sempre”. Você precisará ser alertado sobre atividades suspeitas e possíveis incidentes de segurança, identificar padrões de acesso incomuns a arquivos que contenham dados confidenciais e relatar imediatamente qualquer exposição à autoridade local de dados. Esse conjunto de ações enfatiza a necessidade de soluções adequadas, especialmente em relação ao compartilhamento de arquivos e ferramentas de colaboração.
Deste modo, a LGPD impõe claramente novas restrições às empresas. Transformá-las em uma vantagem comercial exige que os departamentos de TI definam e expliquem – de forma assertiva – os novos processos, adaptem a infraestrutura de TI quando necessário e implementem as ferramentas corretas de compartilhamento e colaboração.
Quer saber como a SESNR.IT pode ajudar os CIO’s na adequação à LGPD?
REFERÊNCIAS:
GDPR: impact on IT asset management
https://www.licensedashboard.com/software-asset-management-solutions
https://www.manageengine.com/products/service-desk/it-asset-management
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
https://www.gupy.io/blog/lei-geral-de-protecao-de-dados-parte1
https://www.comparethecloud.net/articles
Autores:
Aline Inácio: Aline Inácio atua há mais de 17 anos nas áreas de Gestão de Riscos, Continuidade de Negócios e Administração de Seguros. Possui MBA Internacional em Gestão de Empresas e Negócios pela FGV, especialização em Governança Corporativa e Empreendedorismo na Babson Executive Education (Boston-EUA), especialização em Corporate Finance e Risk Management pela Columbia University (Nova Iorque –EUA), certificada pela AIRM – ALARYS International Risk Manager – e pelo DRI International. Atualmente, é business developer na Daryus Consultoria.
Fábio Varricchio: Mais de 20 anos em Gestão estratégica de TI e Negócios, atuando em grandes corporações e projetos, de alta complexidade, nacional e internacionalmente, criando negócios rentáveis, Joint Ventures, Startups e conduzindo áreas e equipes de: Estratégia, Business, Delivery Service, Governança, Projetos e Segurança da Informação. Atualmente também é palestrante, conselheiro e mentor empresarial. Especializações internacionais em Governança corporativa pela Babson College e Governança Financeira pela Columbia University nos EUA. MBA em Gestão de empresas e negócios e Pós-Graduação em Segurança da Informação no Brasil
