Não cuidar do controle de quem tem autorização para visualizar, editar ou até excluir dados sensíveis é uma das grandes vulnerabilidades de conformidade.
Controle de acessos: a primeira linha de defesa da LGPD. Foto: Antoni Shkraba Studio / Pexels
Há cinco anos, o Brasil implementou a Lei Geral de Proteção de Dados Pessoais (LGPD) para regulamentar a utilização das informações pessoais, seguindo o caminho adotado por diversos outros países.
A lei estabelece diretrizes obrigatórias para a coleta, o processamento e os armazenamentos. Essas etapas são a frente de tratamento de dados, que abrange qualquer atividade que envolva um dado pessoal na execução de uma operação.
No universo corporativo, atendendo à lei, as empresas atuam focadas na proteção contra ameaças externas, a partir de firewalls, antivírus, pen tests, entre outras defesas. Entretanto, mesmo dentro das empresas há perigos, que, muitas vezes, não são identificados: o cuidado com o acesso interno a arquivos e sistemas.
Na LGPD, não cuidar do controle de quem tem autorização para visualizar, editar ou até excluir dados sensíveis é uma das grandes vulnerabilidades de conformidade, e, para as empresas, pode custar bem caro.
Como funciona o controle de acesso na LGPD?
A LGPD exige que empresas formalizem práticas de segurança para proteger dados pessoais contra acessos não autorizados a eles. Entre essas práticas, está o controle de acesso: a garantia que só pessoas autorizadas acessem determinados dados, sempre de acordo com suas funções e responsabilidades.
E por que cuidar da gestão de acessos é a primeira linha de defesa?
Porque o risco interno é elevado
Acessos desnecessários de funcionários podem resultar em vazamento de informações (que pode ser proposital ou acidental).
Porque a reputação está em jogo
Caso sejam identificados acessos não autorizados e uso indevido de dados, a Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar multas de até 2% do faturamento da empresa. Além de sanções e multas, caso um vazamento ocorra, isso pode afetar de forma muito negativa a reputação da companhia frente a seus clientes.
Porque conformidade é um diferencial
A boa governança das empresas relacionada à privacidade de dados está diretamente ligada à credibilidade e competitividade no mercado.
Ao realizar a gestão de acessos e segmentar permissões de acordo com o usuário, cargo ou departamento, uma empresa consegue definir barreiras que dificultam tanto a exposição quanto a manipulação indevida de arquivos.
E definir essas regras e fluxos exige não só organização, mas sistemas que sejam capazes de seguir políticas de forma eficiente e com rastreabilidade.
Quais são as falhas mais frequentes?
Acessos ilimitados, falta de atualização ou dependência de etapas de defesa externa estão entre as principais falhas quando se trata de gestão de acessos. Confira mais detalhes:
Acesso genérico ou ilimitado
Quando muitos colaboradores têm acessos privilegiados e os acessos não são segmentados de acordo com as necessidades.
Permissão de acordo com a função
Método conhecido como “Controle de acesso baseado em função (RBAC)”, quando não implementado, pode trazer riscos de exposição e para as informações. Ao implantar essa medida, é possível limitar o acesso apenas ao necessário para cada função.
Falta de controle
Quando há ausência de monitoramento e rastreamento sobre quem acessou o que e quando, não é possível identificar e prever incidentes proativamente.
Falta de atualização de acessos
Não acompanhar e não alterar a autorização de acessos de um funcionário quando muda de função ou área, ou quando sai da empresa.
O que pode acontecer em caso de falhas?
Autoridade responsável que fiscaliza a LGDP, a ANPD pode aplicar as sanções cabíveis em caso de falhas. Essas penalidades vão desde advertências até suspensão de atividades e eliminação de dados.
Tudo vai depender da gravidade da infração, se a empresa está cooperando com a autoridade e quais são as medidas para mitigação dos incidentes.
Por isso, para as empresas, é muito importante a doção de programas de governança sobre privacidade de dados, com a implementação de políticas, ferramentas e processos de supervisão, planejamento para crises e planos de resposta a incidentes, todos alinhados à governança corporativa, reduzindo riscos e favorecendo uma postura proativa.
Como a gestão de acessos pode ser realizada?
A exigência da LGPD para a adoção de soluções eficazes para a gestão de acessos a dados pessoais é a garantia da segurança e da privacidade das informações. Isso pode incluir medidas de autenticação, controle de acesso, monitoramento de atividades e políticas de segurança. E quais são as soluções mais práticas para fazer essa gestão?
Autenticação multifatorial: o uso de múltiplos fatores de autenticação (como senha, biometria, e-mail ou código SMS) serve para verificar a identidade do usuário antes de conceder acesso aos dados.
Controle de acesso: de acordo com a necessidade e função de uma pessoa em uma empresa, é possível implantar um sistema que permite definir camadas de acesso para cada um.
Acompanhamento de acessos: todos os acessos a dados, que inclui login, consulta, alteração e exclusão de arquivos e dados, é monitorado e registrado como histórico.
Políticas e boas práticas de segurança: estabelecer regras e políticas claras sobre como os dados pessoais devem ser tratados, garantindo que sejam seguidas por todos.
Codificar informações: a criptografia (processo que deixa os dados ilegíveis) para os dados sem uso ou em operação é usada para proteger as informações de acessos não autorizados.
Implantação do fator de Identidades e Acessos (IAM): o IAM, em inglês Identity and Access Management, é um sistema que permite que as empresas façam o gerenciamento de acesso de usuários a recursos digitais. Dessa forma é possível controlar quem tem permissão para acessar determinados dados e sistemas. O uso de ferramentas como essa pode ajudar a automatizar e simplificar a gestão de acessos.
Prevenir a perda de dados: ou, em inglês Data Loss Prevention (DLP), é a adoção de práticas e tecnologias que ajudam as empresas a garantirem que dados confidenciais não saiam do controle e posse da organização, mantendo a integridade e reputação empresarial.
Treinar e conscientizar: as equipes precisam passar por conscientização e, mais do que isso, por educação sobre a importância e necessidade de proteção de dados. Por isso, devem ser treinados sobre as políticas e procedimentos de segurança da empresa.
As empresas que entendem os riscos e adotam políticas fortes, monitoramento constante, uma gestão de acessos responsável, treinamento contínuo e investem em uma cultura de segurança, certamente estarão protegidas contra perdas e vazamento de informações, demonstrando maturidade em governança, responsabilidade e respeito a clientes, colaboradores e fornecedores.
Para transformar a segurança da informação
A SEPTE oferece armazenamento em Nuvem Ultrarrápido e Seguro para as empresas brasileiras. Todas as soluções são equipadas com tecnologias de ponta para garantir a máxima segurança dos dados.
Entre as ferramentas, está o Servidor de Arquivos em Nuvem da SEPTE (File Server Cloud), solução que não só armazena dados e arquivos, mas os protege com tecnologia de ponta. Dessa forma, é possível garantir o controle avançado de permissões por usuário para evitar riscos e promover um ambiente digital seguro.
Para conhecer e saber mais sobre esta e outras soluções da SEPTE, acesse o site www.septe.com.br.
