Insights > Blog

 

 

A relação da avaliação de riscos e a LGPD

 

A LGPD – Lei Geral de Proteção de Dados, foi sancionada em agosto de 2018 e entrou em vigor em agosto de 2020, porém as suas sanções, estão previstas para entrada agora em agosto de 2021.

 

A LGPD tem como principal finalidade garantir a transparência no “tratamento” de dados pessoais ou dados pessoais sensíveis (de pessoas físicas). O Tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, descarte, dentre outras.

 

Se olharmos a LGPD com um pouco mais de calma, podemos dizer que ela se apresenta com regras em relação a questões jurídicas, processuais e tecnológicas. Em nossa relação com o tema deste artigo, vamos considerar apenas o aspecto tecnológico.

 

Em seu capítulo VII, Seção I, Art. 46, temos como disposto: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. Diante do cenário atual de cibersegurança, podemos afirmar que as empresas que armazenam dados pessoais, possuem um grande desafio para implementar medidas de segurança, que garantam proteção ou mitiguem os riscos existentes em relação aos dados pessoais.

 

No cenário de cibersegurança, uma das principais atividades realizadas para determinar onde devemos intensificar nossos esforços em proteção das informações, é a Avaliação de Riscos. Uma avaliação de riscos realizada de forma correta, com uma metodologia adequada (conforme prega a ISO 31000 – Gestão de Riscos), pode nos dizer onde estão os principais riscos e impactos, e consequentemente nos mostrando onde devemos colocar nossos esforços num primeiro momento.

 

Quando falamos de medidas de proteção relacionadas ao tema segurança das informações, é fundamental a adoção de uma avaliação de riscos. Onde investir os esforços em proteção para as informações críticas da empresa e dos dados pessoais? O resultado da avaliação de riscos responde essa pergunta. Especificamente a matriz de riscos ou matriz de probabilidade e impacto é uma ferramenta de gerenciamento de riscos que permite de forma visual identificar quais são os riscos que devem receber mais atenção. A avaliação de riscos também permitirá identificar, analisar e avaliar as ameaças e vulnerabilidades que expõem os dados pessoais que estão sendo tratados.

 

Para falarmos especificamente da proteção de dados pessoais e dados pessoais sensíveis, a LGPD trouxe alguns conceitos “novos” relacionado a avaliação de riscos. A LGPD diz em seu “Art. 5º, XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. Este relatório também chamado de DPIA, consiste na análise dos impactos dos dados pessoais. Tanto a LGPD quanto a GDPR não definem uma estrutura de relatório de impacto; as empresas podem fazer uso de modelos e práticas de mercado.

 

O primeiro passo para elaboração do DPIA é realizar a avaliação de riscos dos processos que envolvem dados pessoais. Também no Art. 50, § 1º a LGPD estabelece que “Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular”.

Com a realização da avaliação de riscos, a empresa pode garantir que sejam implementados níveis apropriados de medidas técnicas e organizacionais para proteção dos dados pessoais e evitar que riscos ocorram.

 

É fundamental que a avaliação de riscos seja realizada apenas depois que os processos foram mapeados através do Data Mapping (tema para um outro artigo a ser publicado), onde é possível identificar as características do processo em relação aos dados pessoais envolvidos (quais dados estão sendo tratados, fluxo de vida dos dados, responsáveis, armazenamento, destino, descarte). Somente assim será possível analisar os principais riscos que envolvem os processos. Cada processo que envolva dados pessoais, deve ser avaliado de forma individualizada, mesmo que alguns riscos sejam inerentes a vários processos.

 

A norma ABNT NBR ISO/IEC 27701:2019 – Técnicas de segurança para gestão da privacidade da informação — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, também estabelece controles em relação a proteção de dados pessoais. Um de seus controles é a exigência de documentação de todo o processo de avaliação de risco (cláusulas 5.4.1.2 ISO 27701 e 6.1.2 ISO 27001), chamado de metodologia de avaliação de risco.

 

Existem muitos mitos sobre como deve ser a avaliação de riscos de dados pessoais, mas na realidade os requisitos das ISOs e da LGPD não são muito difíceis. É importante começar de forma correta, mas simples, a fim de não inserir uma complexidade desnecessária ao processo.

 

A avaliação de riscos não deve ser focada apenas em tecnologia, mas também em processos e pessoas.

 

Os requisitos necessários são basicamente:

  • Identificar os riscos de dados pessoais que podem causar a perda de confidencialidade, integridade e / ou disponibilidade de suas informações (Várias técnicas podem ser utilizadas para identificação de riscos (ISO 31000). A metodologia para identificação risco de DP foi prescrita na atual versão da ISO 27701: 2020 direcionando que você pode identificar riscos com base em seus processos, com base em seus departamentos, usando apenas ameaças e não vulnerabilidades, ou qualquer outra metodologia que seja aceitável);

  • Identificar o proprietário do risco (é importante delegar o acompanhamento de cada risco a um responsável, que será conhecido como o dono do risco (Risk Owner), e será também o responsável pela resposta ao risco, sendo que estas respostas devem ser adequadas, eficientes, realistas, acordadas e oportunas);

  • Avaliar as consequências e probabilidade do risco (Deve avaliar separadamente o impacto (consequências) e a probabilidade de cada um de seus riscos, não existe uma padronização de uso de escalas para classificação dos resultados. Podem ser utilizados valores qualitativos para facilitar a classificação (Não aplicável, Baixa, Média, Alta ou escala numérica de 1 a 10);

  • Calcular o risco (Pode ser feito de forma simples, apenas somando ou multiplicando-se os valores estabelecidos para impacto e probabilidade. Aqui também podemos fazer uso de valores qualitativos para facilitar a classificação (Não aplicável, Baixa, Média, Alta ou escalas numéricas, ex.: 1 a 10);

  • Definir critérios para aceitar riscos (Com base na classificação de riscos definida na etapa anterior, deve-se definir quais riscos serão tratados num primeiro momento e quais riscos serão aceitos (apetite de riscos). Os riscos com níveis de criticidade mais baixos, podem ser definidos como aceitáveis;

  • Elaborar planos de ação para mitigação dos riscos (Implementar planos de ação para mitigar tais riscos. Os planos de ação devem contemplar a implementação de controles preventivos, de detecção e corretivos, de forma que estes controles sejam adequados a cada risco (ameaça)

 

Não comece a avaliar riscos relacionados a dados pessoais (DP) antes de avaliar/adaptar a metodologia à sua realidade, cultura e às suas necessidades.

 

Muitos riscos podem estar relacionados aos ambientes tecnológicos que suportam os processos. Identificar e prover tratamento a todos os riscos, pode ser uma tarefa árdua num primeiro momento. Recomendamos que o foco inicial esteja naqueles riscos relacionados especificamente a proteção de dados pessoais, tais como dados expostos indevidamente, descartados incorretamente, roubados, perdidos). É muito provável que os planos de ação remetam a atividades que envolvam “N” áreas para atuação (tecnologia, jurídico, recursos humanos). Os planos de ação serão tão complexos, quanto menor o nível de segurança existente na sua empresa.

 

Os processos são dinâmicos dentro das empresas, afetando diretamente como os dados pessoais são tratados ao longo do tempo. Frente a esta afirmação, a avaliação de riscos deve ser estabelecida de forma recorrente, a fim de manter as ações de proteção efetivas, diante de possíveis mudanças no tratamento dos dados pessoais.

 

Uma vez que esses riscos foram “tratados” através dos planos de ação, podemos dizer que a empresa realiza a gestão de ameaças de forma eficaz, elevando seu nível de proteção em relação aos dados pessoais e atendendo a demanda da LGPD.

Por: Valdir Agnelli – Especialista de Segurança da Informação – CIPHER
Por: Marcelo Creazzo –  Consultor de Segurança da Informação – CIPHER

 

Referências:
Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018.
ABNT NBR ISO/IEC 27701:2019 Versão Corrigida:2020 – Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes
ABNT NBR ISO 31000:2018 – Gestão de riscos – Diretrizes
ABNT NBR ISO/IEC 31010:2012 – Gestão de riscos — Técnicas para o processo de avaliação de riscos
ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos
ABNT NBR ISO/IEC 27002:2013 – Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação
ABNT NBR ISO/IEC 27005:2018 – Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação
ESTADÃO (Mauro Negruni)

 

 

0 Comments

Submit a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

•  Whitepapers
•  E-books
•  Checklists
•  Self-Assessments
•  Webcasts
•  Infographics