Artigos

Cloud como aliada a LGPD

Por 10 de setembro de 2021 Sem comentários

*Por Juliana Dias

Visão Geral

A Lei Geral de Proteção de Dados (13.709/2018) mais conhecida como LGPD, basicamente entra em vigor para controlar e tornar transparente toda e qualquer operação (coleta, alteração, armazenamento, processamento, exclusão etc.) que envolva dados pessoais de uma pessoa natural.

Cloud (nuvem) de forma resumida, refere-se a um conceito de transferência, armazenamento e acesso aos dados. Um fator inquestionável são os ganhos que serviços hospedados em nuvem têm ofertado para os negócios, tais como: maior escalabilidade, disponibilidade dos serviços, redução de custos, entre outros.

Então ficam os questionamentos…

Podemos considerar que grandes provedores de serviço em nuvem ex: AWS Amazon/Azure Microsoft/Google Cloud, podem ser também grandes aliados para o cumprimento da LGPD, tendo em vista que normalmente, estarão em Compliance com outras normas de segurança ISO 27001, ISAE 3402 etc.?

Alguns pontos importantes relacionados a soluções em Cloud devem ser destacados:

  • Pensando em escalabilidade, o backup em nuvem pode ser muito útil já que você poderá ter acesso a uma quantidade grande de dados armazenados de forma fácil e rápida, sem ter que se preocupar com equipamentos físicos para comportar tal demanda;
  • Solução Disaster Recovery, uma maneira rápida de restabelecer todos os acessos e serviços, ganhando tempo de ociosidade;
  • Em sua maioria, usam soluções avançadas para Segurança Digital, já que possuem expertise para tratativa de diversos tipos de ataques, ao detectar e evitar uma ameaça, por exemplo, “Cloud Acess Security Broker ou Corretor de Segurança de Acesso à Nuvem”, são softwares hospedados na nuvem ou localmente, que ficam entre os consumidores de serviços de armazenamento e os provedores, incrementando políticas de segurança, conformidade e governança para aplicativos em nuvem;
  • Podem oferecer notificações imediatas em caso de incidentes com dados pessoais, o que também traz uma vantagem, já que pela LGPD a autoridade nacional deve ser comunicada no menor tempo possível;
  • Existem soluções em nuvem que podem também auxiliar na gestão dos dados, facilitando assim a busca dos dados armazenados e identificar a sua finalidade para os que estão sendo utilizados.

Como melhorar a governança de dados sobre os serviços que estão na nuvem ou aplicações que estão em servidores por todos os países?

O grande desafio é fazer uma tradução jurídica para as áreas e conseguir um comprometimento de todas elas, afinal se houver qualquer tipo de incidente ex: vazamento de dados, a infração pode ser desde uma advertência de R$50 milhões, até um bloqueio dos dados até que seja apresentada uma solução.

Uma preocupação que não deve ser vista somente pela área jurídica, mas sim por todas as áreas da organização ex: Marketing, TI, GRC, Recursos Humanos etc. que podem realizar o tratamento de dados pessoais e dados pessoais, em vista que grande parte destas áreas fazem uso destes tipos de dados durante a execução de suas atividades. Para iniciar, podemos ressaltar a importância da comunicação entre todas as áreas citadas, e uma liderança para orquestrar e garantir essa adequação da LGPD junto aos projetos.

Em seguida, uma das ações que as empresas devem tomar para controlar riscos e vulnerabilidades é através de monitoramento em tempo real. Esse acompanhamento deve ser feito de perto pela gestão para garantir que problemas sejam identificados com antecedência. O monitoramento também está diretamente ligado a um dos pilares da LGPD que tem como princípio garantir a privacidade desde o ponto de desenvolvimento de um produto e/ou serviço, o termo é conhecido como “Privacy By Design” (privacidade desde a concepção).

Ainda falando de ações iniciais que devem ser tomadas pelas áreas para garantir que a solução cloud esteja em compliance com a LGPD, devemos citar no mínimo dos pré-requisitos que os provedores devem oferecer e que devem ser avaliadas antes da sua contratação. Podemos questionar o provedor sobre diversos pontos como por exemplo, se é possível realizar um acompanhamento das auditórias para validação do processo focado a LGPD (ciclo de vida dos dados, como é centralizado, de que forma eles são identificados e armazenados, se para esse armazenamento, são adotadas práticas seguras – criptografia, política de backup – e de que forma realizado o gerenciamento de incidentes (pensando em respostas precisas e ágeis para a notificação imediata do incidente).

A responsabilidade da empresa também é cuidar de toda a sua cadeia de provedores de serviço em nuvem. Ao fazer a contratação de uma solução cloud, é de grande importância que sejam avaliados os riscos de uma possível exposição dos dados, podendo nesse caso ser gerado um relatório de Impacto a Proteção de Dados Pessoais (RIPD), pois o armazenamento lógico pode sofrer ataques cibernéticos de diversos gêneros e a qualquer momento. Tenha cuidado ao avaliar provedores fora do país, pois a LGPD traz regras específicas para esses tipos de transações. Considere todas as exigências regulamentares e os controles de segurança que o provedor oferecer para evitar possíveis incidentes. A empresa também deve evitar ao máximo o uso de nuvem pública, já que pode ocorrer facilmente um acesso, assumindo assim, um possível risco aos dados do titular e priorizar os serviços mais importantes para iniciar esta migração, também é uma boa prática.

— Juliana Dias é Consultora de GRC na SAFEWAY

Sobre a [SAFEWAY]

SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio.

Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.

Hoje através de mais de 23 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.

A SAFEWAY pode ajudar sua organização através do SAFEWAY SECURITY TOWER uma cadeia de serviços completa para que suas operações continuem a serem monitoradas e protegidas por um time altamente especializado. Nosso SOC funciona em regime 24×7, contando com uma equipe técnica de alta performance e ferramentas para auxiliar a sua organização na identificação e resposta a incidentes de forma preditiva e reativa, mantendo o seu negócio seguro e monitorado em todos os momentos.

Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!