LGPD e infraestrutura: como estar em compliance?
A Lei Geral de Proteção de Dados, juntamente com o crescimento dos ataques cibernéticos e da profissionalização dos cibercriminosos, têm despertado nos líderes de negócio e de TI o interesse pelo assunto segurança da informação. Entre as verticais, as organizações do setor financeiro são as mais maduras no quesito cibersegurança e, portanto, as que menos estão enfrentando dificuldade ou resistência para se adequar à LGPD.
Infelizmente, porém, ainda existem companhias enormes, incluindo algumas multinacionais, que ainda engatinham no quesito segurança e que, naturalmente, estão mais suscetíveis aos incidentes com dados e, consequentemente, às multas da nova lei. E, para auxiliar essas empresas, gostaria de compartilhar três boas práticas de adequação à norma:
1. Entenda o processo interno
Olhe para dentro da organização e entenda quais são as áreas envolvidas com dados sensíveis, além de entender o tratamento que é dado a essas informações. Mapeie, também, o nível de exposição dessas informações.
2. Faça um inventário dos dados
Aqui, a intenção é entender os tipos de dados que estão em poder da organização e categorizar quais serão as consequências e os prejuízos caso haja o vazamento de cada uma dessas informações. Isso porque, uma situação é vazar o número do celular de um terceiro. Outra situação bem diferente é ser responsável pelo vazamento de informações do cartão de crédito dessa mesma pessoa.
3. Defina as necessidades de adequação
Com entendimento sobre as exigências da LGPD, mapear a necessidade de adequação dos processos e criar um plano de ação. Nessa fase, a recomendação é traçar uma estratégia que melhor atenda às necessidades da companhia, porque não existe um padrão geral para atender os requisitos da LGPD. Existe, claro, um plano base, mas cada empresa terá a sua dor amenizada de uma maneira diferente.
Fator humano: um dos principais desafios da LGPD
O grande desafio da infraestrutura de TI, porém, está relacionada a um fator muito sensível: o ser humano. Nenhum método, processo ou tecnologia será suficiente para manter uma organização em compliance com a LGPD se os usuários da rede não estiverem engajados em operar da maneira correta.
Digo isso porque, considerando as adequações à LGPD, muitas mudanças não têm a ver com a área de TI. Elas dependem da colaboração dos profissionais e integração das áreas como um todo, porque as empresas são pessoas. É preciso garantir que todos sigam as regras e façam a própria parte.
Nesse processo de convencimento, a qualidade da comunicação, incluindo os argumentos utilizados, é fundamental para não gerar resistência na equipe, principalmente quando as diretrizes são ditadas por um fornecedor externo. Em alguns casos, as novas regras determinam que algumas pessoas percam acesso a um dado, se submetam a auditorias constantes de suas ações por meio de robôs, que adotem novos processos ou deixem de praticar outros.
Tudo isso gera muita desconfiança porque, de alguma forma, mexe-se com a cultura da empresa e o dia a dia das pessoas. Desconfortos que podem ser mitigados quando a organização conta com o apoio de um consultor especializado que atue como parceiro do projeto.
Afinal, toda a ação é bastante faseada e complexa, demandando um alto investimento. Não é estratégico colocar tudo a perder por uma questão meramente cultural. Por isso, leve todos estes pontos em consideração e corra, caso ainda não esteja em compliance!
Rudney Benacci é gerente de Vendas e Alianças na MPE Soluções
