Segurança da informação na sua empresa: medidas para tratar dados pessoais com segurança

Durante nossa série especial sobre a Lei 13.709/18, Lei Geral de Proteção de Dados Pessoais (LGPD), já falamos sobre 07 Pilares e a Importância da Adequação de Empresas à LGPD, o que é ROPA e como ele traz segurança para sua empresa e, hoje, vamos falar sobre a segurança da informação.

Afinal, não há como falar de proteção de dados pessoais e adequação à LGPD sem falar sobre segurança da informação.

Sobre esse tema, é importante observar o Guia Orientativo, publicado pela Autoridade Nacional de Proteção de Dados (ANPD), em outubro do ano passado, com orientações sobre segurança da informação para agentes de tratamento de pequeno porte.

Embora específico para agentes de pequeno porte, podemos entender que, caso a sua empresa seja de porte maior, as orientações ali contidas são o mínimo esperado, certo?

Segundo a ANPD, “a segurança da informação pode ser definida como o conjunto de ações que visam à preservação da confidencialidade, integridade e disponibilidade da informação. Esse conjunto de ações impacta todo o ambiente institucional das empresas, com objetivo de prevenir, detectar e combater as ameaças digitais”.

De acordo com as normas da família ISO 27000, segurança da informação é o “conjunto de medidas preventivas, detectivas, repressivas e corretivas, bem como procedimentos e processos que asseguram a disponibilidade, integridade e confidencialidade de todas as formas de informação e durante todo o ciclo de vida do dado”.

Em resumo, a segurança da informação tem como escopo proteger os ativos de informação contra ameaças, reduzir a exposição a perdas ou danos e garantir que os recursos adequados estarão disponíveis, mantendo um programa de segurança efetivo.

E quais medidas implementar na sua empresa para tratar dados pessoais com segurança?

Primeiro, você precisa entender que um programa de segurança da informação efetivo é aquele que está de acordo com a realidade da sua empresa (tamanho, necessidades).

Dessa forma, é necessário realizar um “diagnóstico” da sua empresa, a fim de entender quais são as ameaças, vulnerabilidades e riscos relacionados à segurança da informação.

Somente assim, com essas informações mapeadas, compreenderá quais são as medidas que deverão ser implementadas na sua empresa.

Além da análise de riscos, a ANPD listou, em seu Guia Orientativo, algumas medidas de segurança da informação necessárias, quais sejam:

  • Política de Segurança da Informação;
  • Conscientização e treinamento da equipe sobre medidas de segurança da informação;
  • Gerenciamento de contratos;
  • Controle de acesso;
  • Segurança dos dados pessoais tratados (servidores, criptografia, backups);
  • Segurança das comunicações (criptografia, e-mais, trocas de links);
  • Programa de gerenciamento de vulnerabilidades;
  • Processos de segurança relacionados ao uso de dispositivos móveis (pessoais ou empresariais);
  • Medidas relacionadas ao uso de serviços em nuvem.

Inclusive, a Autoridade criou um checklist de medidas para cada um dos tópicos citados acima.

Por que sua empresa precisa implementar medidas de segurança da informação?

Primeiro, por ser uma obrigação legal.

A LGPD determina que agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, bem como essas medidas devem ser adotadas desde a fase de concepção do produto ou serviço até a sua execução (art. 46).

A Lei também define (art. 47) que agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista na Lei em relação aos dados pessoais, mesmo após o seu término.

Ainda, que os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e nas demais normas regulamentares (art. 49).

Lembrando que, caso ocorra um vazamento de dados pessoais na sua empresa, por exemplo, a adoção de boas práticas, mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, poderá reduzir ou até eximir a sujeição das sanções a serem aplicadas pela ANPD.

Um segundo ponto é que, além de ser uma exigência da LGPD, o atual cenário econômico evidencia a importância e valor dos dados para as empresas. Nesse sentido, a segurança da informação será fundamental para a funcionalidade de grande parte dos negócios.

E, claro, o fato da maioria das empresas estarem no mundo digital, aumenta a necessidade da segurança da informação.

Segundo relatório elaborado pela Fortinet, o Brasil sofreu mais de 88,5 bilhões de tentativas de ataques cibernéticos em 2021, um aumento de mais de 950% com relação ao ano anterior.

Conclusão

Por fim, pode-se perceber que implementar medidas que assegurem os dados pessoais tratados pela sua empresa é fundamental, não somente para a adequação à LGPD, como também para o seu negócio e a realidade atual, cada vez mais online. Dessa forma, é indispensável contar com profissionais capacitados, especialmente na área jurídica, da tecnologia da informação e da segurança da informação, para que a sua empresa tenha um programa de segurança da informação efetivo.

Por Mariana Mena Barreto