Saiba qual é a importância da Cyber Security frente à LGPD Saiba qual é a importância da Cyber Security frente à LGPD

Saiba qual é a importância da Cyber Security frente à LGPD

Veja quais são as principais melhores práticas adotadas pelo mercado na segurança de dados

Por Lucas Euzébio e Layon Lopes* 

Data is the new oil“, em tradução livre “Dados são o novo petróleo”. A analogia feita pelo matemático londrino especializado em ciência de dados Clive Humby mostra o quão importante é o tema que iremos tratar neste artigo: a Cyber Security.

Os dados derivados de um negócio sempre existiram. Entretanto, no universo do Business Intelligence, no qual estamos vivenciando novos negócios e produtos, os dados – assim como o petróleo – também precisam ser refinados e analisados para aí sim se extrair descobertas capazes de transformar a realidade de diferentes mercados.

Para regular o tratamento de dados no país, a Lei Geral de Proteção de Dados Pessoais (LGPD) traz diversos pontos relevantes, seguindo o movimento global de preocupação com o uso de dados pessoais dos usuários, principalmente após grandes escândalos de uso indevido de dados como o caso do Facebook. A Lei, que entrará em vigor em agosto do ano que vem, deve ser interpretada como uma Lei principiológica e não procedimental. Em outras palavras, a letra fria da Lei não determina os procedimentos que devem ser seguidos para uma adequação plena na segurança dos dados. 

A Lei impõe que os agentes de tratamento de dados adotem todas as medidas necessárias para assegurar a proteção aos dados pessoais, como podemos ver no art. 6º, Incisos VIII e X:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Nessa lógica, o legislador espera que a empresa adote medidas de segurança, com procedimentos internos de segurança e compliance e buscando profissionais capacitados para reestruturar o funcionamento de sua política de privacidade.  

Ainda, de acordo com a LGPD, qualquer empresa que processe, trabalhe ou se utilize de dados (pessoais ou não) está submetida ao diploma legal em análise. 

Diante nesse cenário, a segurança da informação tornou-se um tema estratégico na gestão de qualquer negócio digital, uma vez que o ativo intangível (a tecnologia desenvolvida) é o de maior importância para uma empresa de tecnologia e torna o CSO (Chief Security Officer) cada vez mais importante. Este profissional é responsável por proteger a infraestrutura, avaliar os riscos, mitigar os impactos e auxiliar o CEO na tomada estratégica de decisões, além de ter a função de elaborar e guardar em sua gaveta aquele plano – que espera nunca precisar usar – de recuperação de desastres em casos de vazamento de dados, por exemplo.

Para que mitiguemos os riscos de precisar abrir a famigerada gaveta e se socorrer do plano de recuperação de desastres, separamos as principais práticas de segurança da informação. Elas podem ir do básico ao sofisticado, sendo elencado abaixo as mais utilizadas pelo mercado.

O que é um framework de segurança cibernética?

É um conjunto predefinido de políticas e procedimentos que são determinados pelas principais organizações de segurança cibernética com objetivo de aprimorar as estratégias de segurança cibernética em um ambiente corporativo.O framework está documentado em termos de conhecimento teórico e procedimentos práticos de implementação, sendo o mais comum o uso de certificados para comprovar as boas práticas adotadas pela empresa sendo o caminho da conformidade legal.

Cinco processos principais que definem o framework de segurança cibernética são:

Qualquer estrutura de segurança cibernética funcionará com base nesse processo. Importante salientar que existe uma série de estruturas de segurança cibernética no mercado, no entanto, incluímos as mais utilizadas neste texto:.

  1. Controles de segurança do CIS:

O Center for Internet Security (CIS) é um conjunto de controles de segurança críticos que as organizações devem estabelecer em sua rede para estratégias e estrutura eficazes de segurança cibernética. O CIS definiu três conjuntos de controles críticos de segurança, somando 20 controles no total: básicos, fundamentais e organizacionais.

Para obter um ambiente melhor em relação a segurança, a recomendação é que as organizações implantem todos os 20 controles. Se as empresas não conseguirem estabelecer 20, elas têm a opção de pelo menos estabelecer 10 controles de segurança para chegar ao meio do caminho.

  1.     Estrutura NIST – certificação:

O Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos tem políticas e normas semelhantes documentadas, visando organizações governamentais a pensar em práticas eficazes de segurança da informação. O NIST Cybersecurity Framework fornece uma cadeia estrutural de política e orientação de Cyber Security para como as organizações do setor privado norte-americano, visando aprimorar a sua capacidade de prevenir, detectar e responder a ataques cibernéticos.

  1.     PCI DSS – certificação:

A Payment Card Industry – Data Security Standard (PCI DSS) é uma estrutura de segurança cibernética projetada para melhorar a segurança das contas de pagamento, que protegem transações de débito, crédito e cartão de débito. Todas essas estruturas são criadas e documentadas para assegurar que as empresas estejam praticando os padrões do setor e mantendo sua segurança limpa e segura. 

Ela é uma exigência das principais bandeiras de cartão de crédito para garantir a segurança dos dados e trazer mais qualidade para o processamento. Portanto, se você deseja vender online precisa ir atrás dela.

  1.     ISO 27001 – certificação:

Por fim, mas não menos importante, temos a ISO 27001, norma que define os requisitos para um sistema de gestão da Segurança da Informação (SGSI). A norma ISO 27001 é o padrão e a referência Internacional para a gestão da Segurança da informação, assim como a ISO 9001 é a referência Internacional para a certificação de gestão em Qualidade.

O SGSI é descrito como parte do sistema de gestão global da organização, com base em uma abordagem de risco do negócio, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação. Ele inclui:

  •   estrutura organizacional;
  •   políticas;
  •   atividades de planejamento;
  •   responsabilidades;
  •   práticas;
  •   procedimentos;
  •   processos;
  •   recursos.

A ISO 27001 é a principal norma que uma organização deve utilizar como base para obter a certificação empresarial em gestão da segurança da informação. Por isso, é conhecida como a única norma internacional auditável que define os requisitos para um SGSI. 

Os benefícios de se ter um framework de Cyber Security bem definido são diversos, desde a otimização de processos internos de controle e consecutiva melhor proteção dos dados até a fácil conformidade em auditorias propostas por investidores ou órgãos regulatórios.

Por fim, diferente do petróleo, no qual um dos maiores desafios é localizar reservas subterrâneas e construir uma estrutura que consiga explorá-lo, o ponto chave dos dados não são onde encontrá-los – uma vez que estão à nossa disposição – e sim saber como fazer um bom uso dessa fonte de inesgotáveis possibilidades e, ao mesmo tempo, estar em sintonia  com o novo diploma legal específico, a LGPD.

Grandes países fazem fortunas com o petróleo, ainda considerado o combustível do século. Por outro lado, quanto mais adentramos a economia digital, mais os dados tendem a se tornar a matéria prima e o combustível para o futuro para aqueles que souberem usá-los da melhor forma.

Como acertadamente dito pelo fundador e presidente-executivo do World Economic Forum, Klaus Schwab: “Esse é o momento do Darwinismo Digital – uma era onde tecnologia e sociedade estão evoluindo mais rápido do que o mercado consegue acompanhar. Isso cria o cenário propício para uma nova era de lideranças, uma nova geração de modelos de negócio que é impulsionada pelo mantra ‘adapte-se ou morra’”.

Dúvidas? A equipe do Silva | Lopes Advogados pode te ajudar!

*Lopes é CEO do Silva | Lopes Advogados e Euzébio é integrante do time do escritório.