o que é Segurança da Informação – SOGI
×

LGPD: como organizar e manter seguro os processos da sua empresa?

Há algum tempo, a segurança de dados e informações tem sido assunto muito discutido nas organizações. E tudo, é claro, num tom polêmico devido às várias tentativas de prorrogação de algo inevitável.  Embora o objetivo da LGPD seja a proteção de dados e informações como instrumento de segurança jurídica, o assunto tem dividido opiniões.

O objetivo desse artigo é apresentar o contexto da Lei que até o momento, entra em vigência imediatamente segundo o Senado Brasileiro ( ainda dependendo de Sanção), com o objetivo de dar a você leitor, fontes de cunho impessoal, para formação da sua opinião.

Boa leitura!

LGPD: entrou em vigor ou não?

Ontem, 26.08.2020, houve no Senado a votação da Medida Provisória nº 959 que altera a data de vigência da Lei Geral de Proteção de Dados, conhecida como LGPD, para 03 de maio de 2021. Isso ocasionou o adiamento da norma, que não mais ocorrerá em 2021. Contudo, nos termos do artigo 62, § 12º, da Constituição Federal, considerando a aprovação parcial do projeto de conversão da MP em Lei, a Medida Provisória 959 se mantém integralmente vigente, até que seja sancionado ou vetado o projeto.

Além disso, ontem foi publicado também Decreto nº 10.474 pela Presidência da República que aprova a estrutura regimental da Autoridade Nacional de Proteção de Dados – ANPD. Isso significa que, em breve, a fiscalização referente a proteção de dados será efetiva. Cabendo as organizações se reestruturarem seus processos internos, para não sofrerem sanções desnecessárias.

Apesar desse cenário instável em relação a aprovação da lei LGPD para este ano, a VG tem aconselhado aos seus clientes se adequem urgentemente a esta norma, posto que ela será aprovada e entrará em vigor, com a aprovação pelo Congresso Nacional e sanção da Presidência da República. A VG acredita que independente da aprovação agora ou mais tardia, as organizações precisam implementar seus processos internos com foco na proteção e segurança dos dados e informações de seus clientes.

Estamos todos ansiosos quanto a questão de vigência da norma, se ela será resolvida ou não, entretanto, a única certeza que temos até o momento é que estamos todos diante de um cenário de incerteza e insegurança jurídica de dados e informações.

Por fim, como o adiamento foi derrubado, a assessoria de imprensa do senado alega que a LGPD passaria a valer já a partir de hoje, quinta feira, 27 de agosto de 2020, com ou sem a sanção do presidente.

Nós especialistas, acreditamos que não seria o caso de já entrar em vigor a partir de amanhã, retroagindo no dia 14/08/2020, somos positivos no sentido de que só valerá após a sanção presidencial, que deve ocorrer em 15 dias uteis após o recebimento do projeto na casa civil.

Sugestão de leitura: O que é LGPD? Como ela funciona?

Há previsão para aprovação do projeto de conversão da MP em lei?

De acordo com o art. 66, da Constituição Federal, o Senado deverá enviar o projeto de conversão da MP em Lei ao Presidente Jair Bolsonaro, que poderá aprovar, vetar total ou parcialmente e até mesmo se silenciar. No entanto, o que importa realmente é que o Presidente poderá concordar ou não com a decisão do Senado em prejudicar o artigo 4º da MP que determina que não deverá ocorrer adiamento da LGPD.

Pode-se pensar, nesse momento, em alguns possíveis cenários quanto à vigência da LGPD:

A MP 959|2020 não é convertida em lei: hipótese em que a LGPD entra em vigor imediatamente, sendo as sanções aplicáveis apenas a partir de agosto de 2021 conforme o RJET;

A MP 959|2020 é convertida em lei, vigorando com o RJET: a LGPD entraria em vigor no dia 3 de maio de 2021, no entanto, as sanções seriam aplicáveis apenas a partir de agosto de 2021;

A MP 959|2020 é convertida em lei revogando o RJET: a LGPD entraria em vigor no dia 3 de maio de 2021 em sua integralidade, com a possibilidade de aplicação das sanções.

Diante do exposto, recomendamos novamente aos nossos clientes que se adequem à LGPD o quanto antes, tendo em vista que, a qualquer momento, ela poderá entrar em vigor, com a aprovação pelo Congresso Nacional e sanção da Presidência da República.

Esse cenário de incerteza é uma grave ameaça a segurança jurídica dos dados e informações, visto que pode haver cenários no qual as organizações podem sofrer graves sanções previstas no Marco Civil da Internet, esperando pela votação da lei para se adequarem. Por isso, a VG salienta mais uma vez, a importância de implementar um sistema de segurança da informação, assegurando a saúde empresarial.

Sugestão de Leitura: Lei de proteção aos dados pessoais: como ela afetará a relação entre as empresas e seus clientes?

Processo de Implementação de um Sistema de Segurança da Informação

Independente do seu ramo de atividade, mas, principalmente para aqueles que desenvolvem softwares, as organizações deverão adequar os procedimentos internos dos processos, no que tange a norma de proteção de dados. Mesmo que a LGPD não tenha sido aprovada até o momento, ela está em tramitação no Congresso e em estado em evidência, trazendo à tona discussões sobre formas das organizações implementarem e monitorarem seu sistema de informação.

Salientamos, que a LGPD possui conexão muito forte com o sistema da Informação, por isso, é preciso estruturar os processos das áreas internas no tocante às diretrizes da norma. Inclusive, há a norma ISO 27001 que aborda essa temática, preparando as organizações para as mudanças de mercado.

A Verde Ghaia acredita que a prevenção é o ponto mais importante para o crescimento das organizações. Por isso, a VG tem se preparado para esse momento há um bom, primeiro por ter em seu DNA a inovação, o futuro e segundo por estar sempre antenada nas mudanças e transformações do mercado, como ocorreu esse ano, o mundo inteiro migrou do analógico para o digital, fortalecendo ainda mais a Projeto de lei de proteção de dados.

A primeira transformação começou dentro da própria VG, com SOGI Lira sobre a temática de proteção dos dados e o início da implementação do sistema de proteção de dados e informação com base na LGPD, no Marco Civil da Internet e com referências normativas, como, por exemplo, a interface muito próxima à ISO 37001.

Sugestão de Leitura: Como manter seus dados seguros em mundo virtual?

Importância de um Sistema de Gestão com Proteção de Dados

A implementação de um sistema de gestão de proteção de dados, é um tópico muito importante para as empresas se adequarem e manterem seu crescimento saudável, sem qualquer tipo de surpresa. Além disso, muitas ações relacionadas a proteção de dados têm conexão com a proteção de eventuais desvios e subornos nas organizações, por isso essa conexão entre as duas áreas é tão importante.

Aproveito para convidá-los a conhecer a Legislação Comentada que trata de assuntos jurídicos variados, como a LGPD. Ou acesse o VGPlay, uma plataforma de lifelong learning, com conteúdos voltados para o desenvolvimento profissional e a gestão empresarial.

Deivison Pedroza – CEO do Grupo Verde Ghaia


Sugestão de Leitura: Proteção de Dados e Compliance no Contexto atual

O que você precisa saber sobre Segurança da Informação?

Segurança da Informação.

Você sabe o que é segurança da informação ou qual é a real importância dela dentro da sua empresa? Hoje em dia, é fundamental proteger todos os seus dados, principalmente por todos os sistemas estarem conectados à internet (contribuindo para o vazamento de dados indevidamente).

Trabalhar com gestão de segurança de informações é o que irá garantir a integridade da sua empresa. Irá garantir que nenhum dado importante ou plano, seja divulgado antes da hora. E, o melhor, impede que conclusões sejam tiradas de dados incompletos (quantas empresas já não sofreram com isso?).

Isso é só o começo de um assunto muito complexo. Sendo você cliente ou não da Verde Ghaia, é importante entender algumas considerações sobre o assunto. E você, cliente Verde Ghaia, irá saber como a empresa é referência na gestão de segurança de informações.

Qual a importância da Segurança da Informação

Antes de qualquer coisa, é importante entender de que maneira estamos tradando o significado do termo “informação”. As informações dentro de um ambiente corporativo não são vistas como uma simples forma de conhecimento, mas, sim, de questões mais sigilosas.

Aqui, a informação é um ativo extremamente valioso, seja para grandes ou pequenas empresas. Através delas é possível construir projetos e traçar estratégias, por isso a segurança da informação é tão importante.

Essas informações contêm dados importantíssimos sobre o desenvolvimento e planos futuros da empresa. Muitas empresas ainda não tem ideia da dimensão que falhas nesse sistema podem proporcionar aos seus negócios e isso é algo muito perigoso.

Determinadas informações podem interferir negativamente no capital da sua empresa e, obviamente, você não deseja que isso aconteça. Seja por um dado extremamente delicado ou por uma vaga ideia de um simples projeto, qualquer vazamento de informações tem consequências.

As informações permeiam por todos os departamentos, mas o objetivo dessa nossa conversa é focar na segurança da informação. Dessa forma, é preciso exaltar alguns pilares: confiabilidade, integridade e disponibilidade dessas informações.

Confiabilidade

A confiabilidade é a questão de você ter a certeza de que aqueles dados e informações são confiáveis, verdadeiras e que só pessoas autorizadas têm acesso a todas elas.  

Há diversas formas de fazer isso dentro de uma empresa, mas, claro, que as formas mais convencionais de direcionar as informações APENAS a quem deve ter acesso a elas é através de logins ou senhas.

Você, por exemplo, pode ser prejudicado se alguém não autorizado invadir o seu e-mail pessoal, imagine as dimensões do caso quando alguém que não tenha o acesso legal aos dados da empresa consegue visualizá-los.

Dessa forma, essa é a primeira coisa que você deve se atentar dentro da sua empresa: os dados são seguros e estão seguros. Diversas ferramentas criam n barreiras de acessos de usuários indevidos, aproveite-as.

Integridade

 A integridade caminha junto com a confiabilidade nas questões da segurança da informação. Ter uma informação íntegra quer dizer que ela não foi alterada ou atualizada.

Significa que todos os dados que constam ali estão exatamente como deveriam estar. Ou seja, não houve interferência de terceiros que poderiam acessar tais dados sem autorização (questão da confiabilidade).

Disponibilidade

Hoje em dia é fundamental que todas as informações estejam disponíveis a todo o momento. O mundo não funciona apenas em horário comercial, dessa forma é fundamental que sempre haja alguma forma de acessar aquilo que deseja.

A nuvem é uma tecnologia extraordinária que permitiu avanços intangíveis. Hoje é possível acessar todas as informações não somente a qualquer hora, mas também em qualquer lugar.

A Verde Ghaia, por exemplo, tem em seu contrato estabelecendo que as informações devam ficar disponíveis em 99% do tempo. Trabalhamos muito forte em questões de disponibilidade para que todos os dados estejam disponíveis e protegidos.

Apenas a critério de curiosidade (principalmente se você já for cliente da Verde Ghaia), a empresa trabalha com um sistema denomino Redundância. Há a proteção através da Redundância de Servidor e da Redundância de região.

Redundância de Servidor: Em um mesmo Data Center há mais de um servidor caso algum deles precise parar por questões de manutenção. Resultado? Você será direcionado para o servidor ativo e terá acesso às informações que desejar.

Redundância de Região: Caso ocorra alguma coisa com o local do Data Center ainda há outros correspondentes em outros locais.

Normas de segurança e como obter a certificação

As questões da segurança da informação não são totalmente arbitrárias. Existem normas, legislações e certificações que visam estabelecer algumas diretrizes à área.

A ISO 27.000 − mais especificadamente a ISO 27.001 − trata dos assuntos da segurança da informação. Conseguir um certificado não é tão simples assim e é necessário passar por diversos processos, como:

  • Levantamento e mapeamento de informações
  • Diagnóstico da situação da empresa
  • Desenvolver metodologia para resolver as falhas apontadas
  • Conformidade (realmente documentar todos os processos)
  • Aplicar o ciclo PDCA (Plan, Do, Check, Action)

Boas práticas: tão importantes quanto as certificações

Além das normas e certificações que existem, é importante criar dentro da sua empresa − assim como tem sido desenvolvido na Verde Ghaia há 20 anos − uma cultura de boas práticas de segurança da informação.

É claro que as questões legais e todos os sistemas tecnológicos disponíveis hoje em dia são eficientes, mas eles não são suficientes se os funcionários da empresa não derem a devida importância ao sigilo de informações.

Além disso, é importante ressaltar que as falhas que ocorrem (como vazamento de informações) nem sempre são de responsabilidade da equipe de TI, pois há mais pessoas dentro da empresa que possuem acesso às informações sigilosas.

Se não houver uma cultura sólida sobre o sigilo dessas informações alguns deslizes podem acontecer e não será por furos na tecnologia ou ferramentas de informática.

Concluindo tudo o que dissemos: a segurança da informação é crucial para o sucesso da sua empresa − por motivos aqui já expostos − e é importante investir nessa gestão. Atente-se às normas regulamentadoras e leve-as como base, mas não deixe de envolver seus funcionários culturalmente com a ideia.


Quer saber mais sobre Segurança da Informação? Fale conosco ou deixe seu comentário abaixo!