Desde que a Lei Geral de Proteção de Dados Pessoais (LGPD) foi promulgada em 14 de agosto de 2018, empresas de diferentes tamanhos e mercados de atuação têm buscado adequar as suas operações para que as atividades de tratamento de dados pessoais estejam em conformidade com os requisitos. Contudo, as empresas de pequeno e médio porte, startups precisariam dos mesmo controles de segurança, administrativos de empresas de grande porte?
Diante dessa necessidade, a Autoridade Nacional de Proteção de Dados (ANPD) estruturou em 2021 uma agenda regulatória que contém 10 temas prioritários para o processo de adequação. Dentre eles está a proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos.
De acordo com o “Art. 55-J. Compete à ANPD: XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;” a ANPD tem como propósito regular e trazer subsídios para a adequação e regularização deste tipo e porte de empresas. Para atendimento a esse requisito do regulatório, a ANPD estabeleceu o Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte.
Lançado em outubro/2021, este Guia recomenda a adoção de 3 medidas administrativas, 4 medidas técnicas, medidas relacionadas ao uso de dispositivos móveis e medidas relacionadas ao serviço de nuvem, sempre avaliando o cenário e o parque tecnológico de sua organização, visando assim, a segurança da informação relacionada a dados pessoais. Dentre as medidas estabelecidas encontram-se:
- Medidas Administrativas:
- Política de Segurança da Informação;
- Conscientização e Treinamento;
- Gerenciamento de Contratos (Fornecedores, Colaboradores e Clientes);
- Medidas Técnicas:
- Controle de acesso;
- Segurança dos dados pessoais armazenados;
- Segurança das comunicações;
- Manutenção de programa de gerenciamento de vulnerabilidades;
- Medidas relacionadas ao uso de dispositivos móveis:
- Política de Dispositivos Móveis;
- Controles técnicos para o gerenciamento de dispositivos móveis (MDM).
- Medidas relacionadas ao serviço de nuvem:
- Contratos de Acordo de Nível de Serviço (ANS), contemplando a segurança dos dados em nuvem;
- Avaliação dos fornecedores de provedores de serviço em nuvem (requisitos de segurança da informação);
- Gestão do acessos dos serviços em nuvens, com controles de autenticação (multi-fator).
De maneira geral o documento visa disseminar boas práticas e medidas básicas de segurança da informação e, cabe ressaltar que o processo de adequação a LGPD não se limita apenas as recomendações citadas neste guia, sendo recomendado às empresas avaliarem de forma mais abrangente os riscos e tecnologias de segurança utilizadas em seus processos e atividades que envolvem o tratamento de dados pessoais de forma a estabelecer um ecossistema de proteção de dados seguro, resiliente e confiável.
— Ricardo Martins Melo Ambrizzi, Consultor de Segurança da Informação Sênior na [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!