Desde que foi sancionada em agosto deste ano, a LGPD está provocando uma verdadeira jornada dentro das empresas para estarem em conformidade com a nova lei, prevista para entrar em vigor em fevereiro de 2020. Segundo Eduardo Batista, sócio de Cyber Security & Privacy da PWC, esse esforço deve ser multidisciplinar e envolver áreas distintas, e não apenas as áreas de Segurança e Tecnologia.
“A LGPD exige uma jornada multidisciplinar, uma junção de competências entre as áreas jurídica, tecnológica e processual, de modo que venham a corroborar para a criação de um programa robusto de segurança”, destacou Batista durante um workshop realizado hoje (07) em parceria entre a PwC e a Symantec. O executivo enfatiza que os benefícios certamente serão colhidos, já que essa preocupação com a privacidade e a segurança dos dados tendem a viabilizar novos negócios de agora em diante.
A LGPD trouxe uma abrangência maior sobre definição do que é dado, o que tem gerado muitas dúvidas nas empresas. Entre os mais receosos está o setor de Saúde que, apesar de ser regulado, tem um desafio enorme em termos de privacidade. “Muitas organizações estão se questionando como poderão se adequar e reestruturar serviços, na forma como a nova Lei impactará as operações”, disse Maressa Juricic, gerente sênior de Cyber Security & Privacy da PWC.
Diante de tantos desafios, a consultoria explica que muitas organizações estão buscando saídas jurídicas. A Lei prevê a tal Reponsabilidade Solidária, ou seja, quando há um vazamento de dados, por exemplo, todos os agentes da cadeia serão responsabilizados. “Consequentemente, empresas têm buscado resguardo com operadores, tentando se precaver caso um terceiro falhe. O fato é que a gestão de terceiros terá um papel fundamental”, disse Maressa.
“A grande novidade é que a LGPD foi baseada nos princípios de privacidade, o que é novo para as organizações. Esse era um assunto tocado sem muita prioridade dentro das instituições, mas agora é lei”, afirmou Batista. De agora em diante, tende-se a ouvir mais sobre o conceito de Privacy by Design. “Ter um incidente de privacidade será diferente de um incidente de segurança”.
Outro ponto evidenciado pela consultoria é a ausência de times de gestão de crises cibernéticas nas empresas. Com a LGPD, as organizações terão que possuir programas claros de como responderão a incidentes cibernéticos quando eles acontecerem, algo inexistente na maioria das corporações hoje. A lei obrigará empresas a reportarem incidentes, que deverão ser feitos pela figura do encarregado.
Para as organizações que ainda não começaram a se preocupar com o tema, os especialistas enfatizam a importância de se antecipar. A recomendação é que eles façam um data mapping para entender com quais tipos de dados elas lidam hoje, ter visibilidade do ciclo de vida dessa informação e se situar em relação aos riscos. Feito isso, é aconselhável fazer uma avaliação de gaps, construir um programa de privacidade, implementar esse programa, criar uma estrutura de operação e monitoramento contínuo.
O papel tecnológico
Diante de todo esse contexto, as empresas terão de se apoiar muito, não apenas em processos, mas em tecnologias. Algumas tendem a ser cruciais, inclusive nesses “primeiros passos” mencionados anteriormente. Destacam-se nesse processo as soluções de DLP, CASB e de Security Analytics.
Segundo Andre Carraretto, Security Strategist da Symantec, o DLP é uma peça-chave para quem deseja estar em conformidade com a LGPD. Essa tecnologia é capaz de mapear e classificar os dados, ver onde eles estão, como são utilizados, em quais dispositivos. Além disso, é ele quem protege o dado e impede que saia da empresa, caso a ameaça tenha penetrado no sistema.
O recurso ainda é um forte aliado quando bem integrado com outras tecnologias, como o CASB. “As duas se complementam, pois junta a melhor solução de visibilidade na Nuvem com a melhor tecnologia de análise de dado”, explica Carraretto.
Outras soluções também tendem a se destacar com a vigência da nova Lei, como o Security Analytics e sua capacidade de gravar pacotes sem perdas 24×7. Segundo o especialista, é um ótimo recurso forense, onde os analistas poderão buscar nessa plataforma o contexto que precisam para saber como devem se preparar para responder a uma ameaça. “Enquanto o SIEM atua como uma espécie de alarme, o Analytics enriquece a análise para o trabalho investigativo”.
De acordo com Carraretto, a Lei vai dar mais empowerment para a área de Segurança para ela conseguir o que sempre quis: ser tratada com mais seriedade.
