Ponto de atenção na análise de riscos para LGPD



Pessoal, tenho visto de forma recorrente nas empresas onde iniciamos a adequação da LGPD que os “Assessments” ou a análise de riscos feitas por terceiros, tem um foco demasiado nos ativos de informação, lembrando mais uma implantação de ISO 27001 do que da LGPD.


Algumas análises mal chegam a citar as informações de dados pessoais que a empresa deve proteger, focando completamente em Servidores, base de dados, mídias etc.


Os ativos são importantes e devem ser identificados, mas eles só serão relevantes se fizerem parte do ciclo de vida das informações pessoais identificadas. Então, não faz sentido levantar ativos que não tem conexão com as informações privadas.


Da mesma forma a identificação dos eventos de risco associados a manipulação da informação privada, e não apenas eventos de riscos ligados aos ativos de informação.

Outro ponto importante é a parametrização dos riscos, pois associar a CID ao cálculo do impacto pode ser inócuo para a LGPD, porque para a lei não importa muito qual o tipo de impacto ocorreu, todos tem o mesmo peso.


Por outro lado, para a empresa pode ser muito importante saber, e nesse caso não apenas da CID, mas também os impactos financeiros, reputacionais, legais e para o proprietário da informação. Essa quantidade de variáveis torna o processo mais complexo e trabalhoso, mas deixa também mais claro o tamanho do impacto que esse evento pode causar e as dimensões envolvidas, ajudando assim a melhorar a definição dos controles e do tempo de resposta que será necessário para cada tipo de incidente.


E meu último apontamento:

  • “Não deem foco demasiado em questões puramente de S.I. ou Legais”, gestão de riscos e Segurança da Informação é uma cultura! Precisamos entender de forma clara a transformação da informação no negócio e as interações que as pessoas vão ter com ela no seu dia a dia!


Vou dar um exemplo bem prático para vocês.

Realizamos recentemente um teste para os colaboradores de um cliente nosso onde já tínhamos feitos treinamentos e adequado a operação do Cliente para a GDPR e para LGPD. Neste teste fizemos a seguinte pergunta:


Caso você encontre um documento no chão da empresa, com o carimbo de “confidencial” nele, que significa que essa informação só pode ser lida pelo conselho da empresa, podendo inclusive gerar um processo de desligamento no caso de leitura indevida, o que você faria?

  • Rasgaria a informação e colocaria no lixo para ninguém ter acesso

  • Entregaria para o seu supervisor imediato

  • Não mexeria na informação, deixando-a onde está

  • Leria ela para saber para quem levar

O resultado:


43% rasgaria a informação


Resposta certa:

  • Conforme o treinamento seria entregar para o supervisor imediato (Caso você também esteja com dúvida hehehe).

Isso é cultura pura, as pessoas precisam entender que rasgar uma informação confidencial pode ser tão crítico quando ler ela! Então amigos, treinem, treinem e treinem e quando sua equipe estiver boa e entendendo bem os conceitos de segurança e dados, treine novamente!

Posts Em Destaque

Posts Recentes

Arquivo

Procurar por tags

Siga

  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square

Todos os direitos reservados a Qualytool Consulting Group - 2001

qualytool@qualytool.com    Av. João Venzon Netto, 105 - Caxias do Sul, RS 

  • Facebook ícone social
  • LinkedIn Qualytool