LGPD NA PRÁTICA, reflexões para auxiliar e facilitar a tomada de decisão e atitude de ajustar as condições das boas práticas e a LGPD.

LGPD NA PRÁTICA

Atualizado em 28/11/2022
Por Pedro Henriques

LGPD NA PRÁTICA

Atualizado em 28/11/2022
Por Pedro Henriques

LGPD NA PRÁTICA está sendo desenhado com pequenos VÍDEOS. Assim o conteúdo não fica pesado e ainda facilitará a compreensão deste universo da Segurança da Informação.

Este conteúdo é resultado da experiência de estar à frente da INDICCA.COM. São muitos anos trabalhando a Segurança da Informação. A nossa empresa iniciou a atividade quando este conceito, internet, nem existia no mundo corporativo. Foi em 1991.

Como o mundo acelera e continuamos aprendendo, trocar informações com os pares, também vem transformando este conhecimento e claro melhorando. O GRUPO DE ESTUDO ativo no LINKEDIN tem feito diferença. Inclusive porque nele nos reunimos todas as quintas feiras das 09:00 às 10:00.

Este conteúdo está em um CANAL YOUTUBE – ACESSE o LINK . Ao acessar faça sua inscrição, comente e até acione o SINO para receber os alertas de novidades. São dicas mais Relacionadas a Segurança da Informação pela ótica da operação e da tecnologia. De certa forma a experiência que temos com este setor de segurança e o ecossistema Linux e Microsoft.

Grupo de Estudo do Linkedin – Edição que falamos sobre i.CIPA

A Lei Geral de Proteção de Dados até então tem se tornado uma agenda JURÍDICA. Entretanto a LEI representa a conexão da empresa como um todo, gerenciando a informação e conectando todos os setores.

A CIPA – Comissão Interna de Prevenção de Acidente é um movimento de planejamento, prevenção focado em acidentes de trabalho. Se entendermos que a PRIVACIDADE é um valor do trabalhador, sua violação será então um contexto mais que apropriado a CIPA.

Considerando que é um ambiente já regular, democrática, com caixa para promover não apenas os investimentos dos EPIs, mas também de promover treinamentos e boas práticas. De fato, o contexto aumenta, entretanto vale entender que seria uma apropriação de valor.

O PODCAST LGPD tem aproximadamente 01 hora de duração, altere para a velocidade que ficar mais confortável, #ficadicca da INDICCA de assistir.

Conteúdos do blog que tratam desta reflexão i.CIPA

Gerenciamento Ambiental – Acompanhamento de conformidades i.Cipa

Gerenciamento Ambiental – Acompanhamento de conformidades i.Cipa. O processo de…

LGPD impactos na TI e Treinamento

O quanto em um processo de ajuste a LGPD a TI é importante e precisa na primeira oportunidade ser integrada ao processo de ajuste a LGPD.

Cipa e Semana de Segurança com TI

Mapa de Risco é o conhecimento necessário para todas as ações de compliance e adaptações na cultura e atitudes. Assim um facilitador de medida para saber o tamanho do problema a ser trabalhado na Segurança da Informação.

#FICADICCA da INDICCA.COM traz uma série de conteúdos gravados em vídeos de UM MINUTO

Como sempre estamos falando de LGPD e assim a responsabilidade é sempre da EMPRESA, o CONTROLADOR DE DADOS. Por este motivo estamos focando bem este argumento em todos os vídeos.

Também estamos com isso VALORIZANDO o nosso canal no YOUTUBE – (257) INDICCA COM – YouTube, prestigie, se inscreva, comente, compartilhe e assim multiplique está agenda de Boas Práticas para Segurança das Empresas.

Equipe INTERNA tem dados sensíveis #ficadicca QUATORZE da INDICCA.COM falando sobre LGPD

  • Quem precisa se ajustar é a EMPRESA, o CNPJ, o Controlador de Dados, muito embora a responsabilidade vai sempre recair em uma PESSOA, um CPF, que vai se responsabilizar pela empresa. Uma ou mais que sejam os sócios.
  • O tratamento de dados começa pela a equipe interna, os usuários, no RH e também na gestão de contratação, folha de pagamento e todos os protocolos que a CLT ou o contrato de serviço impõe.
  • Estes tratamentos, muitos, acabam sendo feito por especialistas terceirizados. Para isso existe o DPIA  “Relatório de Impacto à Proteção de Dados na LGPD” . Este documento vai possibilitar a conexão de confiança entre as duas empresas
    • Empresa é o Controlador de Dados e Terceirizado como um operador de dados
    • Por outro lado, como o terceirizado, sendo um CNPJ, ele é também um Controlador de Dados
  • Assim um Controlador de Dados se conecta com o protocolo de confiança DPIA com o Operador de dados e também Controlador de Dados
  • #ficadicca Quatorze da INDICCA.COM que traz luz para um protocolo importante de tratamento de dados dos usuários (Equipe Interna)

CIPA ou i.CIPA – Comitê da Informação #ficadicca TREZE da INDICCA.COM falando sobre LGPD

  • Quem precisa se ajustar é a EMPRESA, o CNPJ é o controlador dos dados, ainda assim, as pessoas que fazem acontecer.
  • Para o processo caminhar é necessário definir um Comitê da Informação, com pessoas que serão responsáveis por desenhar os processos existentes, documentar, ajustar as proteções e assim adequar à lei.
  • Naturalmente já temos este conceito na CIPA: Comissão Interna de Prevenção de Acidentes
  • A CIPA pode, se for entendido que SIM, abraçar também a estratégia da Segurança da Informação e conectar a empresa como um todo. Do chão de fábrica até a diretoria. Colocando como EPI os itens de segurança necessário para controle de acesso, proteção da informação e afins.
  • #ficadicca TREZE da INDICCA.COM de conectar CIPA com i.CIPA – CIPA da informação.

Habilitação e LGPD #ficadicca DOZE da INDICCA.COM falando sobre LGPD

  • Quem precisa se ajustar é a EMPRESA, sempre, entretanto o CNPJ não funciona sem o CPF, desta forma a abordagem vai sempre na direção de conduzir os USUÁRIOS as boas práticas.
  • Entendendo a similaridade, um acidente de carro, pode ser um problema, se um dos motoristas não for habilitado ele já inicia o processo com uma falta GRAVE. Assumiu o risco ao pegar no volante sem habilitação.
  • Desta forma a CARTEIRA não inibe o erro, mas diminuiu a gravidade do acidente. Uma vez habilitado será analisado as causas do acidente. Não tendo, o usuário não habilitado, já assumiu de estar errado ao dirigir.
  • Em outras palavras DOCUMENTAR o PROTOCOLO de AJUSTE A LEI é uma condição de PRÉ REQUISITO. De certa forma, o processo também é uma atitude preventiva de resultado eficiente. Na falta do conhecimento erramos inocentemente e acabamos, mesmo sem a consciência, prejudicando todo o coletivo corporativo.
  • #ficadicca DOZE da INDICCA.COM com apoio do advogado e diretor da ACIUBÁ Cristiano Vieira da ACJE.UBA

CREDENCIAL Gestão de Acesso #ficadicca ONZE da INDICCA.COM falando sobre LGPD

  • Quem precisa se ajustar é a EMPRESA, sempre, ainda assim quem faz a empresa são as pessoas e há muita necessidade de avaliar a Transformação Cultural de Segurança das pessoas.
  • Em cada acesso, existe uma credencial, ou uma única CREDENCIAL pode ser a porta de acesso de todos os sistemas, inclusive o da rede.
  • Está realidade é uma utopia, o acesso é, na pratica, compartilhado, ou seja não exclusivo, eventualmente sem necessidade de login. Muitas das vezes o acesso ao sistemas aplicativos são também aberto, sem critérios de filtros e assim os dados estão disponíveis a todos que precisam e também as pessoas que não precisam.
  •  #ficadicca 11 da INDICCA.COM com apoio do amigo MORELLI do Grupo de Estudo LGPD que deu uma aula neste sentido no podcast

#ficadicca DEZ da INDICCA.COM falando sobre LGPD

  • Quem precisa se ajustar é a EMPRESA, no entanto a empresa é feita de pessoas e nelas que precisamos focar.
  • As pessoas são com toda certeza o elo mais fraco neste protocolo da Segurança da Informação
  • Então, no treinamento dos usuários, precisamos transformar todos em vigilantes do processo de PRIVACIDADE
  • Se este CONCEITO: PRIVACIDADE for entendido e se a própria PRIVACIDADE passar a ser uma questão de segurança, também a alheia vai no mesmo protocolo
  • Desta forma, todos os processos seriam monitorados, desde o controle do RH como também todos os processos que identificam pessoas e qualificam as pessoas como dados e informações digitais.
  • Um dos ITENS para o Treinamento é o PODER DO ENTER. O ENTER é o poder do USUÁRIO e se não devidamente treinado e preventivamente informado, pode ser uma porta de vulnerabilidade da rede da empresa.
  • #ficadicca 10 da INDICCA.COM colocando o USUÁRIO como um ponto RELEVANTE na Segurança da Informação.

DPIA – Protocolo de confiança entre Terceiros e a Empresa #ficadicca NOVE da INDICCA.COM falando sobre LGPD

  • Quem precisa se ajustar é a EMPRESA, muito desse trabalho são terceirizados e precisam ser avaliado com critério da Segurança da Informação
  • Na #ficadicca OITO falamos dos dados sensíveis, agora vamos avaliar no processo, como os TERCEIROS precisam estar alinhados com as políticas, valores e até compromissos da questão de CONFIANÇA.
  • São OPERADORES de DADOS, também CONTROLADORES de DADOS que processam ficha médica com periódicos e assim DADOS SENSÍVEIS dos TITULARES DE DADOS.
  • Com isso, mais que os ACEITES, precisamos desenvolver o DPA (Data Protection Officer) ou (Acordo de Processamento de Dados) ou ainda DPIA (Data Protection Impact Assessment) e se traduz na RIPD ou Relatório de Impacto à Proteção de Dados.
  • PROTOCOLO RELEVANTE na LGPD
  • #ficadicca NOVE da INDICCA.COM, com relevância ao Tratamento de dados Sensíveis e necessidade do DPIA

Dados sensíveis – Privacidade #ficadicca OITO da INDICCA.COM falando sobre LGPD

  • Quem precisa se ajustar é a EMPRESA, quem faz acontecer são as pessoas utilizando aplicativos
  • Processamento de dados transformando em informações, estatísticas e assim construindo o negócio
  • Muitos DADOS são gestão de produção, outros relacionados a responsabilidade, assim as pessoas
  • Os dados de pessoas são Dados Sensíveis a LGPD e precisam de CRITÉRIOS e protocolos de CONFIANÇA
  • Este PONTO é a questão principal da Lei Geral de Proteção de Dados.
  • Todos os processos precisam estar mapeados e monitorados. Os que contém dados das pessoas, como NOME, Idade, Estado Civil, filhos e outros precisam estar ainda mais detalhados e transparentes
  • #ficadicca Oito da INDICCA.COM, relevância dos Dados Sensíveis, que identificam as pessoas.

Senhas complexas ou fáceis #ficadicca SETE da INDICCA.COM falando sobre LGPD

  • Quem precisa se ajustar é a EMPRESA, no entanto quem faz os processos andarem são as pessoas.
  • Na TI a porta de entrada dos sistemas de informação é a CREDENCIAL e a SENHA
  • A SENHA é então a chave de acesso aos dados e assim as informações.
  • A SENHA precisa ter um grau de dificuldade, não pode ser simples ou fácil.
  • Os ATAQUES buscam romper a senha com tentativas de acesso, desta forma uma senha fácil é uma vulnerabilidade e um grau importante de risco.
  • A exemplo temos SENHA para abrir porta de casa, do condomínio, presença, acesso aos aplicativos e serviços WEB.
  • Tanto no meio físico como no digital a senha precisa estar nas políticas de boas práticas e Segurança da Informação. Senha complexa, ou seja, difícil, precisa ser implementada e cobrada dos usuários.
  • #ficadicca 7 da INDICCA.COM neste protocolo de Gestão de Crise e LGPD.

Backup e Restore #ficadicca SEIS da INDICCA.COM falando sobre LGPD

  •  Quem precisa se ajustar é a EMPRESA e convencimento precisa primeiro acontecer na DIRETORIA
  • Quando falamos de TI o tema é complexo e existe muito a ser falado
  • Backup dos dados é uma atividade de rotina e tende a ser chata de ser feita
  • Entretanto o teste de restore é algo de grande relevância e importância. Ele garante que a atividade de rotina tenha sido feita de acordo, pois na necessidade o RESTORE é que recupera os dados para serem trabalhados novamente na empresa.
  • Este processo precisa não apenas ser executado, mas estar no planejamento para testes regulares de eventual falha, assim mostrando o tempo de recuperação e as ações que por ventura precisam ser tomadas para que o processo seja viável para o funcionamento da empresa
  • LGPD #ficadicca SEIS da INDICCA.COM

Descartes de Ativos de Rede #ficadicca CINCO da INDICCA.COM falando sobre LGPD

  • Quem precisa se ajustar é a EMPRESA e o convencimento precisa, primeiro, acontecer na DIRETORIA
  • Os equipamentos, ativos de TI, computadores e similares, tem problema, desgaste natural e tecnológico e assim precisam ser substituídos.
  • Então entender o grau de confiança com a equipe de suporte é importante, os usuários leigos, nem sabem o que pode ou não fazer. Este protocolo precisa estar escrito para facilitar e evitar acesso indevido aos dados da empresa
  • Se um equipamento for ser descartado, que seja feito com o protocolo de limpeza dos dados, de inutilização das partes que armazenam dados.
  • Se um equipamento for ser doado para outro uso, precisa ser, da mesma forma, formatado para estar LIMPO sem informações

Uniforme é um valor da INFORMAÇÃO #ficadicca QUATRO da INDICCA.COM falando sobre LGPD

  • Quem precisa de se ajustar é a EMPRESA, dentro delas as pessoas e claro os processos.
  • Reciclar papel é uma condição CERTA e também uma VULNERABILIDADE para a questão da PRIVACIDADE e controle de acesso aos dados.
  • Quando destinamos IMPRESSOS para serem utilizados no verso, precisamos ter a cautela de avaliar se existe informação confidencial no mesmo.
  • Eventualmente quem está utilizando vai entregar para outra pessoa e com toda certeza a informação que deveria ser protegida vai sendo publicada sem controle.
  • Controlar o REUSO dos IMPRESSOS é importante, nem todo papel pode ser REUTILIZADO, com pena de possibilitar acesso de informações estratégicas da empresa.

Responsabilidade dos Diretores e Gestores #ficadicca TRÊS da INDICCA.COM falando sobre LGPD

  • Quem mais influencia as pessoas na empresa, os DIRETORES ou EXECUTIVOS, então eles precisam entender e aceitar desta condição, sem eles não vai acontecer está transformação cultural.
  • A decisão de AJUSTE e DEFINIÇÃO das POLÍTICAS é da direção e não há como ser delegada
  • Este POSICIONAMENTO POLITICO tem muitas direções: RH; Comercial; Logística; Marketing; Produção; Suporte, para cada um deles haverá uma registro
  • Assim se a direção não participar e mostrar que é importante preocupar com a PRIVACIDADE este conceito não será multiplicado e assim qualquer ação será apenas mais um quadro na parede.

reutilização de papel #ficadicca DOIS da INDICCA.COM falando sobre LGPD

  • Quem precisa de se ajustar é a EMPRESA
  • Já falei do LIXO e este é um tema muito importante, depois que o papel cai na Lata de Lixo, parece que deixou de ser um documento e quem tem informações
  • Para quem está vasculhando, está não é uma verdade, quem vasculha, pesquisa no lixo e assim a ficção nos ensina, proteja as suas informações, mesmo no lixo, elas ainda são relevantes.
  • Avalie bem o processo de descarte e reutilização de papel
  • No próximo vídeo vou falar sobre o quanto a DIREÇÃO precisa se preocupar e engajar com este protocolo de ajuste a Segurança da Informação e Lei Geral de Proteção de Dados

Descarte do Lixo #ficadicca UM da INDICCA.COM falando sobre LGPD

  • Quem precisa de se ajustar é a EMPRESA
  • Então que sejamos alinhados com está questão, focar no processo, dentro da empresa
  • Primeira Reflexão: como acontece o descarte do LIXO???
    • Os papeis vão triturados?
    • Os papeis são reciclados? Quem tem acesso?
    • Como garantir que as informações IMPRESSAS, ESCRITAS, não seja acessadas e assim quebrado a primeira regra da LGPD – PRIVACIDADE
  • O protocolo de descarte, seja do LIXO ou de equipamentos precisa estar no programa de ajuste e boas praticas

Relacionados:

LGPD - PrivacidadeLGPD e conceito de PRIVACIDADE A_importancia_da_Seguranca_da_Informacao_com_a_LGPD_em_vigor_IndiccaA importância da Segurança da Informação com a LGPD em vigor LGPD - Ciclo de vida de documentos#LGPD Lixo pode ser uma janela de vulnerabilidades Cluster de Servidores - Hyper-VCluster de servidores, entenda o conceito
Pedro Henriques, aqui no Blog.

O que você achou deste conteúdo?
Conte nos comentários sua opinião sobre: LGPD NA PRÁTICA.


Conheça nossas soluções nas áreas de segurança, rede de computadores e comunicação.
Ligamos para você
Share This