Por: Jonas Santiago – Especialista em Tecnologia da Informação
Assim como escrevi no artigo anterior, a LGPD (Lei geral de Proteção de Dados), é uma lei que exige que as empresas adotem boas práticas, que vão possivelmente mudar os processos e também a cultura das companhias.
Inicialmente, é importante entender a lei. Resumindo, a LGPD foi sancionada com o intuito de aumentar a responsabilidade das empresas sobre a forma como lidam com informações pessoais, para evitar vazamentos, abusos, perdas ou o uso dos dados para fins que não foram autorizados pelos seus titulares.
Então, para ficar em conformidade com a lei, a empresa não dependerá de uma simples implantação, mas da adoção de políticas e procedimentos a partir de um estudo minucioso sobre os dados sensíveis que circulam pelos processos da empresa, e da implantação de práticas que irão proteger esses dados.
Mas, na prática, qual é o primeiro passo a ser dado para a conformidade com a lei?
O primeiro passo é escrever as políticas da companhia relativas à segurança de dados. Como a Política de Segurança da Informação e as políticas específicas que irão envolver por exemplo: o descarte de mídia, o controle de acessos e tratamento de logs, o controle e cofre de senhas, a política de antivírus, a política de atualização de segurança dos softwares, de acessos através de celulares e notebooks, da gestão de incidentes, da gestão de mudanças, a política de classificação das informações pessoais e muitas outras mais.
Obviamente que muitas dessas políticas citadas dependem da implantação de ferramentas e softwares que farão todo o controle desses processos no dia a dia da empresa. Além dos treinamentos que irão disseminar essas práticas internamente para criar uma verdadeira “cultura de segurança” dentro da companhia.
O desafio está em “arrumar a casa”. Olhar para os ativos de TI com muita atenção, pois se a companhia não tem a prática da Segurança da Informação implementada e bem disseminada, não é possível estar em conformidade com a LGPD.
As políticas irão determinar as regras e responsabilidades que os colaboradores envolvidos nos processos terão a partir do momento em que tomarem ciência e forem treinados. Esses colaboradores deverão também entender a lei, entender a importância de seguir as novas práticas e entender o quanto serão responsabilizadas, junto com a empresa, no caso do vazamento de dados pessoais. Já o papel da empresa é criar as políticas, processos e treinar os colaboradores para que essas práticas passem a fazer parte da cultura da empresa.
Commentaires