Feeds:
Posts
Comentários

Archive for fevereiro \14\America/Sao_Paulo 2020

A LGDP ou LGPDP – Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) está movimentando as empresas, de uma forma ou de outra, para conseguirem se resguardar das consequências implícitas dos vazamentos de informações confidenciais que possam ocorrer a partir de sua vigência.

Originalmente entraria em vigor em janeiro de 2020, foi adiada para Ago/20 pela Lei nº 13.853/19 oriunda da Medida Provisória nº 869/18, mas já existe o Projeto de Lei nº 5762/19 que adia para Ago/22, sem validade legal neste momento, portanto ainda valendo Ago/20.

Apesar das boas iniciativas que estão surgindo, não podemos deixar de refletir sobre a realidade prática, pois muitos recursos estão sendo empregados em cyber segurança enquanto aparentemente os treinamentos dos usuários continuam a serem negligenciados.

Isto implica em risco permanente já que as informações devem estar acessíveis aos usuários e técnicos/operadores dos sistemas, exigindo mais do que treinamento, controles efetivos e demonstração de sua efetividade. A materialidade destas evidências deve ser traduzida em testes e auditorias constantes para que a percepção de controle esteja no subconsciente de todos, promovendo assim o comportamento e a disciplina desejada.

Um aspecto interessante da proteção da informação é que a princípio ela se restringe aos ambientes controlados de armazenamento, quer sejam físicos ou digitais, que consequentemente podem ser acessados diretamente ou remotamente, e/ou de forma mista, requerendo múltiplas formas de controles e monitoramento.

A forma mista é baseada em manuseio físico direto de documentos impressos e posterior transmissão digital do dado/informação através de escaneamento ou fotos, ou através do acesso físico direto ou remoto, ao sistema de armazenamento do banco de dados (CPD ou PC) e impressão de documentos físicos, podendo ser uma combinação de fatores favoráveis conforme a conveniência do “funcionário”, autorizado ou não.

Apesar de existirem vários meios de monitoramento e controle das informações, não podemos afirmar que são eficientes de fato, sendo mais provável a identificação tardia do acesso e podendo ser quase impossível provar uma má intenção.

A má intenção sempre pode ser acobertada por um “engano” que se não se repetir jamais será comprovada, a não ser que já exista algum outro fato precedente que gere o alerta correto para a situação analisada.

Portanto estamos lidando com um cenário complexo que exige múltiplas soluções combinadas, associando várias ferramentas como, boa governança, boas políticas administrativas, código de ética, aplicativos de monitoramento, auditoria e treinamentos em diversos níveis e aplicações.

Tanto usuários como gestores de diversos níveis devem ser treinados para o correto manuseio dos dados e informações, bem como, serem capacitados a identificarem as vulnerabilidades que possam ser exploradas pelos agressores para que possam ser corrigidas em tempo hábil.

A área de Recursos Humanos deve ser protagonista neste processo com apoio da alta gestão, pois os esforços para que estas soluções sejam alcançadas e incorporadas passam por profissionais de diversas áreas do negócio com visões que podem ser muito independentes, portanto, limitantes.

Read Full Post »