A necessidade da segurança da informação nos agentes de pequeno porte
9 de março de 2022O tripé: segurança da informação, governança de dados e gestão de riscos se entrelaça à uma conformidade efetiva em um ambiente de negócios
Por Juliana Costa
Recentemente a Autoridade Nacional de Proteção de Dados – ANPD lançou um guia que orienta os agentes de tratamento a adequarem seus negócios às aplicações de segurança da informação. Neste guia, o tripé: segurança da informação, governança de dados e gestão de riscos se entrelaça à uma conformidade efetiva com o pleno desenvolvimento em um ambiente de negócios.
As empresas declaradamente conhecidas como startups e outras de caráter disruptivo relacionadas à inovação, também estão inseridas nesse contexto.
Com a Lei nº 13.709 de 2018 em pleno vigor, a grande maioria das empresas correndo para se adequar aos ditames da Lei Geral de Proteção de Dados, procuram seguir cegamente as diretrizes legais sem se preocupar tanto com o que vem por trás de um tratamento de dados verdadeiramente adequado: a instituição de um sistema de segurança da informação que esteja consolidado com as principais medidas de segurança aplicáveis na atualidade.
Garantir a Segurança da Informação é garantir a segurança de grande parte, senão a maior, de ativos de todas as empresas. Planos de Ação pautados em ambientes seguros, trazem consigo a consolidação de mecanismos que ao mesmo tempo visam a proteção da integridade, disponibilidade e confidencialidade das informações.
Para estabelecer estas garantias, no entanto, é necessário que as empresas conheçam os maiores e mais altos fatores de riscos e de vulnerabilidades os quais estão sujeitas e, diante desta análise, deve-se estabelecer mecanismos de segurança que possam coibir e mitigar todas as possíveis ocorrências e incidentes.
A intenção deverá ser a de se gerar um equilíbrio eficiente e de ampliar as probabilidades de ganho e de lucro. Esta análise de riscos e de providências, quanto ao surgimento de eventuais incidentes, devido a situações de risco, deve ocorrer rotineiramente. A periodicidade garante a boa governança e gera inúmeras melhorias sob o aspecto organizacional.
Isso significa que não basta apenas a afirmação de que se está aderente sem que haja efetivamente um sistema próprio de segurança interno que esteja alinhado àqueles propósitos.
Por isso é tão importante que os próprios colaboradores estejam alertas e conscientes sobre a criação e a conservação de um ambiente seguro, e que também seja disponibilizado a eles regras claras sobre as atividades e comportamentos que geram boas práticas. Uma das formas de garantir isso é a instituição de normas internas que possuam o perfil organizacional alinhados aos principais valores, missão e visão da empresa.
Por isso, independente do porte da empresa, a instituição de uma Política de Segurança da Informação é fundamental. Nela, as aplicações sobre os principais critérios de segurança de acordo com as atividades da organização, devem ser consideradas e cumpridas.
O colaborador, parceiro ou fornecedor, ao assumir o compromisso de cumprir esta política, estará diante de uma ferramenta de boas práticas, viva, que garantirá, para si e para a empresa, as principais diretrizes de segurança que não só direcionada aos dados pessoais, mas a todos os dados, sejam físicos ou digitais.
A Política de Segurança da Informação é como uma coluna que estabelece um direcionamento sob a ótica de gerenciamento de segurança de uma empresa, mesmo de pequeno porte, deve ter e cujas ramificações são os seus normativos, diretrizes e procedimentos, de maneira a garantir o cumprimento efetivo dos artigos 46 a 49 da LGPD e de outros frameworks de privacidade e segurança.
Outro ponto de atenção é sobre os principais elementos que devem ser levados em consideração na estrutura de uma PSI.
Sendo ou não uma Política simplificada, alguns itens necessitam ser levados em consideração, como: relação de padrões de comportamento relacionados à Segurança da Informação na empresa, delimitação dos princípios que guarnecem a segurança física e digital dos ambientes, a utilização dos serviços prestados da maneira correta e ética, restrições de acesso a determinadas informações e/ou a sites que não estejam relacionados ao desempenho na execução dos serviços, adoção de uma política de mesa limpa e medidas relacionadas a dispositivos móveis e de armazenamento externo, serviços em nuvem ou banco de dados físicos, backup, gerenciamento de senhas individuais, cópias de segurança, segurança nas comunicações e, uma medida muito importante: o estabelecimento de um programa de gerenciamento de vulnerabilidades.
Estas diretrizes precisam ser claras e direcionadas não só aos colaboradores, mas também aos fornecedores e parceiros.
Nos casos dos agentes de pequeno porte, a necessidade deve estar relacionada aos critérios mínimos de segurança, não possuindo a capacidade de onerar substancialmente um negócio, não conseguindo garantir um mínimo de conformidade técnica e jurídica.
Nesse meio, o mais importante ainda é o de garantir a estrita conformidade com a Lei, evitando sanções que podem ser desde uma simples advertência até o bloqueio ou a eliminação dos dados pessoais pela empresa, o que inviabilizaria por completo o seu negócio.
Segurança da informação: como evitar que os sites sejam alvos de hackers
Por que investir em segurança da informação e qual o seu retorno financeiro?
A integração entre a segurança da informação e o marketing em 2022
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!