Diversos estudos e relatórios apontam um aumento significativo de vazamentos de dados tanto no Brasil, como no mundo. Recentemente, em uma pesquisa publicada pelo Journal of Data and Information Quality da ACM (Association for Computing Machinery), o MIT (Massachusetts Institute of Technology) apontou que o número de vazamento de dados cresceu, 493% no Brasil.
Esse aumento expressivo reflete o cenário brasileiro em 2019, dados mais recentes, pouco antes da LGPD (Lei Geral de Proteção de Dados) entrar em vigor no país, com sanções administrativas para aqueles que infringirem os artigos que nela existem. O que significa que, desde agosto de 2021, quem não possui o cuidado correto com dados das pessoas físicas e jurídicas no Brasil, passam a ser penalizado por isso.
Por essa e outras razões que empresas brasileiras que tratam diariamente com informações de usuários, estão fazendo o possível para ficarem cada vez mais em conformidade com a lei. Afinal, além das penalidades, a grande parte dos clientes vêm buscando soluções com quem traz para ela um sentimento maior de segurança e comprometimento com as informações pessoais de cada um.
O mesmo estudo do MIT que mostrou o aumento no número de vazamento de dados do Brasil em um ano, também deixou público que 96% dos brasileiros dizem que querem ter controle dentro dos aplicativos e sites, que 70% acreditam que os dados são menos seguros hoje do que há cinco anos e que, destes, apenas 2% não acreditam que os dados sejam vulneráveis.
E o que a organização precisa fazer?
Primeiro de tudo, é preciso entender que existe uma divisão entre a empresa e a aplicação que ela colocou no mercado. No primeiro plano, o olhar volta para a pessoa jurídica. É importante que ela tenha todos os pré-requisitos, como frameworks pré-estabelecidos e certificações como as ISOs 27000 e 90001, CMMI (Capability Maturity Model Integration), Mose Competence e Mose.LGPD. Isso proporciona um conjunto de controle em seguranças e governança de dados que deixam a empresa num patamar de segurança jurídica.
Quando se trata de aplicação, a companhia tem que estar apta aos requisitos solicitados internacionalmente. A empresa pode até estar aderente em compliance com a LGPD. Mas a aplicação precisa não estar aderente à legislação, mas sim aos requisitos solicitados hoje pelo mercado na questão privacidade de dados. Isso que temos que diferenciar.
Ainda falando sobre cuidados com a aplicação ou site, outra forma de disseminar ainda mais essa cultura de prioridade com a LGPD é o privacy by design e privacy by deafult, um diferencial ainda pouco adotado por empresas de tecnologia, conforme lista o coordenador de segurança da informação.
Para isso é necessário seguir alguns passos. O primeiro é ser proativo e não reativo, uma atuação baseada em não esperar que os riscos se concretizem, mas pensar antes. Em seguida, o próprio privacy by default, isto é, privacidade na configuração padrão. Significa entender qual o propósito da coleta. Se está sendo uma coleta legal, se prioriza a coleta de dados minimizada, ou seja, coletando só o necessário para aquela finalidade e se tenho algo referente ao controle da retenção dos dados até o momento em que ele precisa estar dentro daquela aplicação.
Depois vem a privacidade incorporada ao design, no qual precisa documentar que a arquitetura do próprio sistema e as práticas utilizadas nelas visam a privacidade do próprio usuário ativo.
O quarto passo é a atenção total com a funcionalidade completa, trazendo segurança de ponta a ponta; o quinto a visibilidade e transparência, quando se coloca a responsabilização por pessoas, quem é responsável pelo que; e o sexto o compliance, mecanismo para mostrar que a empresa está aderente às legislações e como está aderente a essas legislações.
Por fim, e essencial é o respeito à privacidade do usuário. É necessário colocar funcionalidade de consentimento do usuário, pensar na exatidão dos dados e no acesso do usuário as suas próprias informações e mecanismos que tragam compliance, que diga que isso aqui eu estou atendendo o requisito de tal legislação.
Aqui na Contego Security você encontra todo suporte necessário para a implementação e adequação a LGPD de maneira fácil, confiável e efetiva. Entre em contato e saiba como funciona.
Fonte: Contábeis