A IMPORTÂNCIA DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI) NAS EMPRESAS PARA ADEQUAÇÃO A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)

RESUMO

Conforme publicação no Diário Oficial da Lei 14.058/2020 A Lei Geral de Proteção de Dados (LGPD) começou a valer no dia 18/09/2020 e muitas empresas precisaram se adequar a estas novas normas e regulamentos sobre o tratamento dos dados pessoais dos seus clientes, na maioria das empresas esta responsabilidade foi direcionada em grande parte aos setores de tecnologia da informação e ao jurídico das organizações, que tiveram que juntos identificar e mapear gaps que não estejam de acordo com a LGPD dentro dos seus processos organizacionais internos e externos. Um dos primeiros passos para encontrar estas lacunas que podem eventualmente se transformar em um vazamento de dados no pior dos cenários é realizar uma análise da política de segurança da informação (PSI) e se necessário atualizar a mesma levando em conta as necessidades da LGPD e assim mitigando todos os riscos inerentes aos dados que estão sob a responsabilidade da organização. Desta forma a política da segurança da informação (PSI) servirá como um alicerce básico onde os outros processos da organização vão se estruturar para o correto cumprimento da nova lei, e possibilitar as garantias do titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; e que também deu o consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Palavras-chave: LGPD, Lei Geral de Proteção de Dados, PSI, Política de Segurança da Informação.

1. INTRODUÇÃO

Este trabalho tem como objetivo investigar: Qual a importância da política de segurança da informação e da adequação a lei geral de proteção de dados para as empresas? Quais são os benefícios que podem ser alcançados para a organização e meio empresarial? 

Desde a oficialização da LGPD muitas empresas estão buscando integrar o correto tratamento e armazenamento dos dados pessoais dos seus clientes, nos diversos setores dentro das organizações, normalmente a responsabilidade de realizar as análises técnicas e jurídicas ficaram com os setores de tecnologia da informação (TI) e Jurídico porém o correto uso destes dados dentro da organização é uma  responsabilidade de todos os setores, normalmente as organizações já possuem dentro de suas normais internas uma política de segurança da informação, então para iniciar a adequação à LGPD o melhor é analisar a PSI existente dentro da empresa e a partir dela realizar uma atualização cumprindo as diretrizes da LGPD e a partir dela encontrar as lacunas que possibilitem um vazamento de dados e mitigar estes riscos.    

Podemos  ver no decorrer deste trabalho que é uma responsabilidade do setor de segurança da informação, gerenciar, coordenar, orientar, avaliar e implantar ações, atividades e projetos relativos à segurança da informação e proteção de dados pessoais na organização, promovendo ações de interesse da empresa para disseminar esta política e sua prática na companhia, além de treinar todos os colaboradores e atualizá-los.  

O trabalho está dividido em quatro capítulos, o primeiro capítulo irá tratar de como implantar projetos de segurança da informação nas organizações; o segundo aborda a importância das questões de segurança da informação nas organizações; o terceiro, mostra a execução da segurança da informação e LGPD nas empresas e o quarto capítulo aborda os fatores econômicos da segurança da informação nas empresas. Veremos também que empresas que atuam no mercado de forma segura é vista de forma positiva perante a sociedade e ao mercado.

2. SEGURANÇA DA INFORMAÇÃO E LEI GERAL DE PROTEÇÃO DE DADOS

2.1 IMPLANTAÇÃO NAS EMPRESAS

Primeiramente é necessário planejar, implantar e manter a boa funcionalidade do sistema de segurança dentro das empresas, é preciso implantar uma política de segurança, permitir que todos os colaboradores tenham acesso a mesma, seja clara e objetiva e todos sejam adequadamente treinados em relação à política, também é necessário identificar quais são os sistemas e acessos necessários e qual o nível de permissão a estes acessos. O objetivo é facilitar o entendimento destas normas de segurança da informação e com ela obter resultados positivos para que a lei geral de proteção de dados possa ser cumprida em sua totalidade. Para que o projeto tenha sucesso é primordial que as equipes de trabalho sejam instruídas através de workshop, treinamentos, para mostrar a todos os envolvidos a importância da segurança da informação e LGPD para a empresa e para a sociedade, treinamentos periódicos devem ocorrer com o objetivo de tratar da importância do tema.

Após a atualização da política de segurança da informação é necessário verificar se a mesma atende a Lei geral de Proteção de Dados Lei n° 13.709, que foi aprovada em 14 de agosto de 2018, que estabelece regras para o correto tratamento e proteção de dados pessoais, a LGPD se aplica a qualquer pessoa física ou jurídica que lide de alguma forma com dados pessoais, independente do meio (físico ou digital) isso significa que as empresas, órgãos públicos, ONGs, escritórios, hospitais e até pessoas físicas tiveram, ou ainda terão, que se adaptar a essas regras. 

A equipe de gestão da empresa deve estar acompanhando de forma precisa o andamento do projeto “atualização”, para saber se os processos estão sendo seguidos de forma correta, se o tratamento dos dados está sendo realizado de maneira adequada, se a equipe de trabalho está ciente das informações e objetivos do projeto. Organizações que colocam em prática projetos de segurança da informação também são reconhecidos de forma positiva perante a sociedade, pois se trata de um projeto que ajuda de forma direta a sociedade a confiar que seus dados estão seguros ao encaminhar os mesmos para a organização, dados que poderiam ser tratados de maneira inadequada podem causar inúmeros transtornos ao titular por isso saber que a empresa está de acordo com as boas práticas de compliance faz com que a empresa seja vista como segura pelos seus clientes e colaboradores. Empresas que colocam em prática projetos como este citado se tornam perante a sociedade “Empresas Seguras”.

Empresas que atuam de forma segura em relação ao tratamento dos dados pessoais estão contribuindo diretamente para que crimes e golpes cibernéticos sejam evitados, os dados que poderiam ser armazenados e comercializados por indivíduos de má fé, ou mesmo que poderiam colocar a segurança dos dados e do próprio titular, estão tendo um tratamento correto de forma a preservar a proteção dos dados e segurança do titular.

2.2 CLASSIFICAÇÃO DOS DADOS CONFORME A LGPD

Podemos citar os autores Kolbe Júnior (2017) e Somasundaram (2011) que exemplificam que dados podem ser números, sons, gráficos, imagens, palavras, símbolos, cartas escritas à mão, livros impressos, fotos de família, filmes em fita de vídeo, livro-razão de um banco, cópias assinadas de papéis de hipotecas e cadernetas bancárias do titular de uma conta ou qualquer outro sinal desprovido de contexto. Quando os dados são assimilados, analisados e percebidos, ganhando relevância e alcançando sua finalidade, eles se transformam em informação processada. A partir desse momento, eles podem ser considerados como informações devidamente classificadas e transformadas (Kolbe Júnior, 2017, p. 72).

A LGPD considera como dados pessoais:

• Nome;
• RG;
• Número de Celular;
• Endereço;
• E-mail;
• E perfis nas redes sociais

Normalmente são dados que permitem identificar uma pessoa.

E classifica como dados pessoais sensíveis:

• Origem racial;
• Origem étnica;
• Convicção religiosa;
• Opinião política;
• Filiação a sindicato;
• Saúde;
• Genética;

Normalmente estes dados revelam informações íntimas/ privadas.

2.3 POR QUE REALIZAR O TRATAMENTO DOS DADOS?

A LGPD considera como tratamento qualquer procedimento realizado com dados pessoais, o tratamento deve ser de acordo com os termos descritos no consentimento aceito pelo titular dos dados não podendo a organização usar estes dados para fins diferentes do descrito e também a organização deve criar um termo claro onde o titular tenha de forma clara o motivo de informar determinados dados e os princípios regulados pela LGPD possam ser cumpridos e a organização possa realizar o manejo destes dados para realizar suas atividades econômicas.

2.4 POR QUE REALIZAR A ANONIMIZAÇÃO DOS DADOS?

Os dados precisam passar pelo processo de anonimização para que não seja possível identificar a pessoa a qual estes dados se referem e desta maneira poder proteger a identidade do titular é importante ressaltar também que para a LGPD dados que foram anonimizados não são considerados dados pessoais, porém se o processo de anonimização puder ser revertido ou ainda que o titular possa ser identificado a partir de analises simples os dados não podem ser considerados como anonimizados, pois é possível encontrar o vínculo entre o dado e o titular.

A segurança da informação pode ser considerada um ativo crítico e fundamental; zelar por ela, portanto é de fundamental importância para as organizações. Perdas de informações podem significar grandes prejuízos financeiros e materiais, comprometendo significativamente a imagem de uma organização. (KOLBE JÚNIOR, 2017, p.123)

3. A IMPORTÂNCIA SEGURANÇA DA INFORMAÇÃO

As organizações têm um papel não somente de prestar serviços de qualidade, mas sim um papel de ser exemplo para todos os envolvidos em relação aos cuidados com a segurança da informação.

A privacidade é decorrente da soma das medidas tomadas por pessoas ou organizações para proteger as informações que têm armazenadas. No caso das organizações, são as medidas adotadas para proteger as grandes bases de dados, resultantes do data mining (mineração de dados) e do data warehouse (armazém de dados), de modo a garantir que elas não sejam acessadas por pessoas não autorizadas e também para elevar o grau de integridade dos dados. (KOLBE JÚNIOR, 2017, p.84)

O objetivo da segurança da informação visa minimizar ao máximo a invasão e perda de informações, garantindo, dentro da possibilidade, seu acesso somente por pessoas autorizadas, sua disponibilidade e se ela é confiável e autêntica.

Muitos são os tipos de mecanismos e forma de controle as ameaças. O mais comum utilizado independente da organização e setor de atuação é o controle de acesso, que pode ser executado com logins e senhas, identificação, entre outro. Estes sistemas são capazes de detectar intrusos sem permissão de acesso, detectam comportamentos maliciosos ou ainda anomalias que podem comprometer a segurança da informação, executando atividades sobre as vulnerabilidades encontradas, através de programas de proteção e criptografia, assinatura digital, certificação digital e credenciamentos, além de elaborar planos de emergência para os casos onde desastres naturais podem causar algum tipo de prejuízo para a organização, podendo assim trazer garantias de recuperação de equipamentos e principalmente dos dados armazenados, por isso a política de manter também um backup sempre atualizado e operando.

3.1 O DESAFIO DA CULTURA ORGANIZACIONAL EM SEGUIR A PSI

As organizações são formadas por pessoas e sistemas e por mais que sejam implementados sistemas seguros é necessário gerar uma cultura de segurança e proteção a informações e dados dentro das empresas.

De acordo com Sêmola (2014), o objetivo a ser alcançado em uma organização no que se refere à segurança da informação é a formação de uma cultura de segurança que se integre às atividades dos funcionários e passe a ser vista como um instrumento de autoproteção.

As ações devem ter a estratégia de compartilhar a responsabilidade com cada indivíduo, transformando-o em coautor do nível de segurança alcançada. Somente dessa forma as empresas terão funcionários aliados na batalha pela redução e administração dos riscos. (KOLBE JÚNIOR, 2017, p.159)

Um dos elos mais fraco e também um dos mais importantes dentro da organização para que os dados e informações estejam seguros são os recursos humanos, por isso é sempre primordial que a PSI e LGPD sejam ensinadas e esclarecidas aos colaboradores.

3.2 CONCEITOS FUNDAMENTAIS EM SEGURANÇA DA INFORMAÇÃO

A Segurança da Informação organizacional precisa responder a determinados requisitos, por exemplo como: integrar a segurança da informação, garantir um ambiente seguro nas organizações e, garantir também, a integridade e a privacidade das informações. Essa área deve estar posicionada acima ou no mesmo nível hierárquico da diretoria de Tecnologia da Informação e Comunicação. Precisa também estar diretamente ligada às diretorias estratégicas. Pois a mobilização deve partir dos executivos da diretoria e atingir os diversos outros níveis da hierarquia, observando normas ISO para: plano de contingência, plano de estudo e retorno de investimento.

“Muitas organizações expõem suas informações na rede com objetivo de trazer novas oportunidades de negócios e assumir um papel de destaque. Essa exposição acarreta compromissos cada vez maiores na área de segurança, pois a abertura da organização traz uma série de riscos que antes não faziam parte do seu cotidiano. Entretanto, as organizações ainda não aprenderam a gerenciar tais riscos”. (KOLLBE, 2017, p.59)

Nesse mesmo propósito de detalhar a importância de inserir a LGPD a PSI da organização, é importante considerar que a empresa que não esteja de acordo com a LGPD poderá sofrer algumas sanções, punições e multas, segundo as novas regras, as multas diárias podem chegar em até 2% do faturamento líquido no ano anterior de empresas, limitando o valor em R$ 50 milhões por cada infração cometida, caso seja decidido esse tipo de punição. A organização também poderá ter o próprio banco de dados bloqueado pela reguladora em até seis meses, o que normalmente inviabiliza as operações e os resultados da empresa. Os direitos fundamentais à privacidade e a proteção contra o uso indevido dos dados pessoais de terceiros estão na Constituição desde 1988, mas a LGPD reforça a importância da proteção de dados.

Para que as organizações possam obter os dados é necessário que o titular autorize o controlador por meio de um consentimento, e este deve ser livre, inequívoco e informado e assim o titular deve concordar por vontade própria com os termos.

3.3 SEGURANÇA PROTEÇÃO E CONTINUIDADE DOS NEGÓCIOS

Apesar de manter-se preparada para enfrentar as ameaças da segurança da informação e de sistemas, a organização deve ter em conta que nenhuma proteção é 100% efetiva, e isso implica em estar sujeita a incidentes que efetivarão o risco, trazendo impactos para o negócio. E é esta inevitabilidade completa de incidentes que requer a adoção das medidas de Gestão da Continuidade dos Negócios (GCN), que é um conjunto de medidas e atividades para serem postas em prática uma vez que ocorrido o incidente e, assim, minimizar ou evitar as perdas decorrentes e o tempo necessário para a retomada da normalidade.

Um SGSI (Sistema de Gestão de Segurança da Informação) bem implantado pode trazer uma garantia de qualidade para a organização, facilitar a melhoria contínua e reduzir o risco de roubo e perda da informação, aumentando, consequentemente a segurança e a confidencialidade comercial. Mas, para isso, faz-se necessário o estabelecimento de uma metodologia clara de gestão de segurança, sempre em conformidade com a legislação vigente e dentro de todas as normas previstas.

É importante que a implementação envolva todos os colaboradores internos, de modo a se tornar parte da cultura organizacional, trazendo credibilidade para a organização e satisfazendo os requisitos de segurança de seus clientes. (KOLBE JÚNIOR, 2017, p.174)

As discussões sobre as questões de segurança da informação e proteção de dados, inseridas em um contexto mais amplo de “desenvolvimento seguro” estão ganhando espaço no Brasil, e a LGPD é o que pretende alavancar este processo, pois o conceito abrange diversos aspectos técnicos, econômicos e sociais da relação entre como as organizações usam os dados dos seus clientes. Entender a importância da segurança da informação e proteção de dados é o primeiro passo, mas colocar em prática é um grande desafio, pois muitas vezes existe a necessidade de rescrever processos dentro da organização para que atividades antes desenvolvidas fora de conformidade estejam de acordo com as normas vigentes. Ao contrário do que muitos imaginam, a relação custo/benefício de um projeto de PSI e LGPD bem gerenciado poderá apresentar resultados positivos e surpreendentes e ainda gerar receita a organização com a publicidade de empresa segura. Já é possível enumerar alguns casos pelo Brasil deste a implantação da lei.

4. A EXECUÇÃO DA SEGURANÇA DA INFORMAÇÃONO AMBIENTE EMPRESARIAL

Internamente os responsáveis pela segurança da informação os setores responsáveis pelos procedimentos que buscam dar à informação a correta e devida proteção compreendem um vasto arsenal de processos, mecanismos, técnicas, métodos e ferramentas que permeiam os três níveis hierárquicos dentro da organização: estratégico, tático e operacional. Essa proteção está diretamente relacionada com o comprometimento e entendimento de todos os envolvidos dentro da área, direta ou indiretamente, com o negócio da organização. Isso é um princípio básico da segurança da informação: a organização estará segura à medida que todos os que dela fazem parte e se relacionam com ela no desempenho de suas atividades estiverem protegidos e se submeterem aos procedimentos de segurança. Para isso a organização deve dispor de uma Política de Segurança que estabeleça claramente os objetivos a serem alcançados, e quais os resultados almeja alcançar com a implementação ou atualização da política e grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização relativas à segurança da informação. E, atenção: é de primordial importância que todos, na organização, tenham conhecimento dessa Política de Segurança, comprometam-se e atuem para colocá-la em prática e torná-la efetivas.

4.1 PRÁTICAS EXERCIDAS POR EMPRESAS

Muitas empresas estão se reinventando e se adequando ao que o mercado e legislação exigem em relação a preocupação com a segurança da informação e proteção de dados, assim adotando práticas, realizando pesquisas, buscando alternativas para evitar ao máximo que o ocorra um vazamento de dados ou algum tipo de violação em seus sistemas de informação e algum dos seus stakeholders tenham seus dados e privacidade violados.

Empresas que se destacam de forma positiva no mercado como seguras, são empresa que adotam práticas e buscam meios de evitar e mitigar os riscos e prejuízos causados por um possível vazamento de dados.

Segundo a norma ABNT NBR ISO/IEC 17799:2005, uma política de segurança da informação visa “Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes”, ou seja, ela orienta uma política que sistematize os processos organizacionais a fim de minimizar as preocupações da direção com a segurança de seus ativos e agora está política precisa também cumprir as normas reguladoras da Lei geral de proteção de dados por isso o documento de política de segurança da informação deve ser elaborado de forma a servir como uma regra a ser seguida. Constantemente exigirá atualizações que reflitam as necessidades do negócio e a realidade da organização e legislação vigente.

4.2 GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO

Segundo (Sêmola, 2014) de forma mais ampla, a solução corporativa adotada para a segurança representa um modelo de Gestão Corporativa de Segurança da Informação cíclico e encadeado, formado pelas seguintes etapas:

• Comitê Corporativo de Segurança da Informação;
• Mapeamento de Segurança;
• Estratégia de Segurança;
• Planejamento de Segurança;
• Implementação de Segurança;
• Administração de Segurança;
• Segurança na cadeia produtiva.

Com estas etapas é possível delinear um ciclo importante possibilitando a geração de documentos devidamente formatados e prontos, que ajudarão a alimentar as etapas seguintes do processo.

5. CONCLUSÃO

Percebemos que nos últimos anos as organizações, sociedade e governo vem colocando a questão da proteção de dados pessoais e segurança da informação como uma das prioridades a serem estudadas, trabalhadas e discutidas, buscando assim estratégias para manter os ambientes organizacionais e pessoas seguras, percebemos isso dentro dos processos internos e externos das empresas que trabalhamos ou que nos relacionamos de alguma forma, recebemos alerta de que as páginas na internet utilizam cookies, que como titulares dos dados precisamos concordar com os termos disponibilizados e como os dados serão armazenados e tratados pelas empresas.

No presente trabalho foi possível encontrar resultados satisfatórios, está incluído temas relevantes tanto para a sociedade, quanto para as empresas. Podemos notar que existe uma grande importância para a sociedade e organizações, a adoção de práticas seguras, mostrando pontos que são prejudiciais, pontos de melhorias e pontos fundamentais para a segurança da informação e proteção dos dados pessoais e desta forma permitindo um faturamento nas organizações, pois não sofrerá sanções, receberá uma publicidade positiva em relação ao mercado como um empresa segura e mostrando de forma clara e precisa a relação entre a política de segurança da informação e lei geral de proteção de dados. Questões organizacionais, sociais e econômicas foram trabalhadas.

Foi mostrado estratégias seguras, a importância da gestão e planejamento nos projetos dentro das empresas e benefícios de adotar as boas práticas para seguir a política de segurança da informação e cumprir os requisitos da lei geral de proteção de dados, podemos dizer que o compliance interno entre os colaboradores, processos e dados e informações geridos por uma organização é o primeiro passo para a segurança dentro de todas as atividades desenvolvidas em uma empresa.

REFERÊNCIAS

KOLBE JÚNIOR, SISTEMAS DE SEGURANÇA DA INFORMAÇÃO NA ERA DO CONHECIMENTO, Editora Intersaberes. Primeira edição, 2017. Curitiba. PR. Brasil.

DONDA DANIEL, GUIA PRÁTICO DE IMPLEMENTAÇÃO DA LGPD, Editora Labrador. Primeira edição, 2020.  São Paulo - SP. Brasil.

SÊMOLA, M. GESTÃO DA SEGURANÇA DA INFORMAÇÃO: UMA VISÃO EXECUTIVA, Editora Elsevier. Segunda edição, 2014. Rio de Janeiro - RJ. Brasil

DUARTE, Marcella. “Multa de até R$ 50 mi: sanções da LGPD começam a valer na próxima semana”. UOL, 2021. Disponível em: Acesso em 11 de agosto de 2021.