ArtigosNotícias

As 5 etapas indispensáveis para combinar a classificação e a proteção de dados pessoais e de clientes

Lei de Proteção de Dados, o que e como fazer?

E implementar um ambiente altamente confiável de segurança das informações pessoais, não apenas dos clientes, mas de toda a organização por Jaime Muñoz *

Muito foi comentado sobre a recente estarrecedora notícia sobre um dos hotéis de uma das maiores redes do mundo ter sido alvo de um ataque que expôs dados de meio bilhão de hóspedes. Nada mais preocupante do que saber que você é cliente e pode ter sido uma das pessoas que tiveram os dados vazados. Se você trabalha na área de Segurança da Informação, deve estar muito atento – e preocupado – e pensando em como evitar que isso aconteça em sua empresa.

Esta invasão vinha acontecendo desde o 2014 e os custos que o Marriott terá com este evento – não esperado por ocasião da sua fusão com o Starwood -, ainda são incalculáveis, diante dos litígios com muitos hóspedes, e de forma coletiva.

Este caso nos remete a repensar se as políticas e ambiente tecnológico de proteção de dados de nossa companhia são os mais adequados e, também, como implementar um ambiente altamente confiável de segurança das informações pessoais, não apenas dos clientes, mas de toda a organização.

Recentemente, o Forrester Research divulgou um estudo que apontou vários pontos que as organizações devem considerar na implementação de políticas eficazes de segurança e enfatizou a Classificação de Dados como um componente indispensável, mas que tem sido negligenciado em boa parte das vezes, segundo os próprios entrevistados.

Certamente, os profissionais de segurança não podem se certificar de que a proteção está sendo adequada se não tiverem conhecimento sobre quais dados exatamente proteger, onde estão, qual o seu valor para os clientes e paras as organizações que estão em poder deles. Por esta razão, o Data Discovery e a Data Classification estão na abordagem central deste estudo da Forrester Research.

A consultoria descreve cinco etapas importantes para proteger efetivamente as informações:

1. Compreenda a sensibilidade dos dados. Uma tarefa que a organização deve tomar apoiada por áreas que os funcionários precisam fazer e transmitir sobre o que é importante;

2. A classificação de dados é mais do que uma tag ou um simples metadado. É um conjunto de metadados, marcas visuais e regras de negócios que podem levar os usuários a compreender e atender a políticas de classificação e políticas de segurança de informações básicas;

3. A organização precisa entender onde a informação está e classificá-la de acordo com os critérios definidos.

4. A camada de proteção. Aqui é onde as tecnologias populares, como DLP, criptografia, gerenciamento de direitos digitais, controle e arquivamento desempenham o seu papel. Usando essas tecnologias sem ter feito, os 3 passos anteriores poderiam resultar em um retorno de investimentos muito pobre.

5. Gestão. A organização precisa entender como está identificando, classificando e protegendo suas informações. Os resultados devem ser facilmente obtidos em formulários que atendam às diferentes necessidades de organização das áreas.

Só a partir destas indicações, e depois de conhecer as informações que você tem e onde elas armazenadas, será possível tomar decisões sobre o nível de segurança a ser aplicado, quem pode acessa-las, caso sejam criptografadas ou anônimas.

Além disso, a estratégia de segurança atual deve levar em conta as normas regulatórias de sua industrias e também as regras de GDPR e LGPD. As políticas de Data Discovery e Data Classification devem considerar que os usuários precisam conhecer, entender e aplicar as políticas de segurança das organizações. Sem isso, abrem-se brechas que irão facilitar a entrada de agentes alheios aos sistemas de dados e o roubo de informações vitais aos negócios, certamente, irá acontecer.

Seria leviano de nossa parte afirmar que, se estes cuidados tiverem sido tomados pela rede Starwoods, a aquela exposição de dados não teria acontecido. Justamente porque não temos todos os detalhes da ocorrência. Mas podemos afirmar com todas as letras que a tecnologia de classificação de dados sendo aplicada em conjunto com soluções de proteção de dados, como definiu o Forrester Research em seu relatório, é uma das primeiras medidas a serem tomadas na proteção de dados. A perda dos dados não prejudica apenas os clientes, mas também todos aqueles que são responsáveis pela guarda dos dados e que deveriam – ou poderiam – cuidar para que o fato não ocorra.

(*) Jaime Muñoz é diretor para América Latina da Boldon James

Leia mais em: https://cio.com.br/5-etapas-indispensaveis-para-combinar-classificacao-e-protecao-de-dados/

marcos

Professor, Embaixador e Comendador MSc. Marcos Assi, CCO, CRISC, ISFS – Sócio-Diretor da MASSI Consultoria e Treinamento Ltda – especializada em Governança Corporativa, Compliance, Gestão de Riscos, Controles Internos, Mapeamento de processos, Segurança da Informação e Auditoria Interna. Empresa especializada no atendimento de Cooperativas de Crédito e habilitado pelo SESCOOP no Brasil todo para consultoria e Treinamento. Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria Interna e Perícia pela FECAP, Certified Compliance Officer – CCO pelo GAFM, Certified in Risk and Information Systems Control – CRISC pelo ISACA e Information Security Foundation – ISFS pelo EXIN.