Como descartar dados sensíveis e prevenir cibercrimes diante da LGPD?
Especialista em Segurança da Informação na Tata Consultancy Services dá dicas importantes para empresas e pessoas físicas garantirem a segurança e conformidade com a lei
A Lei Geral de Proteção de Dados Pessoais (LGPD) está em vigor no Brasil desde o último dia 18 de setembro. Apesar disso, muitas empresas ainda não estão em conformidade com a nova regulamentação, que define regras gerais para as atividades de tratamento de dados, estabelece direitos dos titulares, os princípios que regem as atividades de tratamento, as bases legais para isso, entre outras regras. Diante deste cenário, alguns questionamentos importantes tanto para o titular de dados quanto para empresas, são: como essas informações serão descartadas quando não forem mais utilizadas? E mais, como prevenir que os dados pessoais caiam nas mãos de pessoas mal intencionadas?
Globalmente, os investimentos em segurança cibernética não acompanharam outros esforços de transformação digital e, agora, diante do constante crescimento de ameaças – em especial em meio à Covid-19 e o home office – e da nova regulamentação, as organizações precisam correr atrás de possíveis irregularidades.
Em um ecossistema digital, o ideal é que a cibersegurança aproveite o melhor que tecnologias como nuvem, inteligência artificial e analytics, podem oferecer para evitar os cibercrimes, que se multiplicaram em meio ao distanciamento social, de acordo com o Laboratório de Operações Cibernéticas do Ministério da Justiça e Segurança Pública do Brasil.
Apesar disso, muitas práticas de segurança cibernética ainda se concentram em garantir a conformidade em vez de mitigar riscos, operando a partir de uma filosofia básica de “confiar, mas verificar”. De acordo com Rodrigo Ferrarez, Gerente de Segurança da Informação para o Brasil e a Argentina na Tata Consultancy Services (TCS), atualmente, é importante apostar em um modelo mais resiliente e que comece com a premissa de “nunca confiar, sempre verificar”.
Em relação ao descarte correto de dados, o executivo recomenda atenção desde o início da atividade de tratamento de dados, incluindo o consentimento (quando aplicável) para uso dos dados pessoais. Neste documento, a empresa deve deixar claro que finalidade dará aos dados e como fará uso dessas informações. O usuário deve se atentar, inclusive, às minucias dos termos e condições de todos os serviços que utilizar, pois é lá também que se encontram informações referentes ao o que deve ser feito no caso de precisar solicitar a exclusão de seus dados.
Não importa qual é o meio em que a informação circula – papel, virtual, equipamentos eletrônicos -, todo dado deve ser igualmente protegido, inclusive no momento de descarte, onde a informação não será mais utilizada, e é responsabilidade de quem realiza atividade de tratamento fazê-lo. Existem algumas opções, como picotar documentos em papel, excluir informações na nuvem e formatar HDs físicos para garantir que os dados não sejam mais acessados, mas é preciso criar uma política clara para isso e cumpri-la.
“Na TCS utilizamos o padrão da ISO 27.001, que também dá recomendações sobre as formas de descarte seguro para todos os meios, e devemos sempre observar e seguir as políticas de classificação de dados, já que é através delas que podemos entender quais os cuidados na hora de transmitir, armazenar e descartar dados e informações. A LGPD não dá uma receita de bolo de quais tecnologias ou controles específicos devem ser utilizados para proteger as informações então é preciso que cada empresa determine, dentro de seu contexto de negócio, quais serão as medidas de proteção e descarte seguro, e comunique as partes interessadas”, adiciona Ferrarez.
Para evitar os riscos de cibercrimes, apostar em uma política de segurança cibernética de confiança zero, adaptável a ameaças emergentes e necessidades de acesso em constante mudança, pode detectar ameaças em tempo real e possibilitar que empresas tomem medidas imediatas para proteger os dados, dispositivos e operações de maneiras que as senhas sem o recurso de MFA (Autenticação Multifatorial) e VPNs não conseguem mais alcançar por si só.
Atualmente, as melhores soluções de cibersegurança são, na verdade, serviços – não apenas software –, e podem abordar um perfil de ameaça em evolução e apoiar a agenda de inovação rápida de empresas com objetivos específicos.