Política de Segurança da Informação e LGPD Lei nº 13.709/2018
Esta aula aborda os princípios da segurança da informação e a Lei Geral de Proteção de Dados (LGPD), preparando você para proteger informações confidenciais e garantir a conformidade legal.
Introdução
Segurança da Informação
A segurança da informação é crucial para proteger ativos digitais como dados, sistemas e infraestrutura de ameaças e acessos não autorizados.
LGPD
A Lei Geral de Proteção de Dados (LGPD) visa proteger dados pessoais, estabelecendo regras para o tratamento de informações sobre indivíduos.
Importância das políticas de segurança da informação
1
Proteção de Ativos
As políticas de segurança da informação garantem a proteção de ativos valiosos, como dados confidenciais, sistemas críticos e infraestrutura tecnológica.
2
Prevenção de Perdas
Elas ajudam a prevenir perdas financeiras, interrupções de negócios e danos à reputação causados por incidentes de segurança.
3
Conformidade Legal
As políticas de segurança contribuem para a conformidade com leis e regulamentos, como a LGPD, evitando multas e penalidades.
Objetivos da política de segurança da informação
Confidencialidade
Garantir que apenas pessoas autorizadas acessem informações confidenciais.
Integridade
Manter a precisão e a completeza da informação, evitando alterações não autorizadas.
Disponibilidade
Assegurar o acesso à informação quando e onde necessário, evitando interrupções.
Benefícios de uma política de segurança da informação
Proteção de Dados
Minimiza o risco de perda, roubo ou acesso não autorizado a dados confidenciais.
Prevenção de Ataques
Ajuda a prevenir ataques cibernéticos, como phishing, malware e ransomware.
Confiança do Cliente
Fortalece a confiança dos clientes e parceiros na segurança de seus dados e informações.
Redução de Custos
Minimiza os custos de recuperação de dados e incidentes de segurança.
Conformidade regulatória
As organizações precisam atender a diversos requisitos regulatórios para garantir a segurança da informação e proteção de dados. O não cumprimento dessas normas pode resultar em penalidades severas.
LGPD
A Lei Geral de Proteção de Dados (LGPD) - Lei 13.709/2018 exige que as organizações implementem medidas de segurança para proteger dados pessoais. Isso inclui:
- Mapeamento completo do ciclo de vida dos dados
- Implementação de controles técnicos e administrativos
- Nomeação de um Encarregado de Proteção de Dados (DPO)
- Relatórios de impacto à proteção de dados pessoais
1
Lei de Crimes Cibernéticos
A Lei nº 12.737/2012 (Lei Carolina Dieckmann) criminaliza atos como invasão de sistemas, acesso indevido e divulgação de informações. As organizações devem:
- Implementar controles de acesso rigorosos
- Manter registros de atividades dos usuários
- Estabelecer procedimentos de resposta a incidentes
- Realizar auditorias de segurança regulares
2
Outras Normas
Existem diversas outras normas setoriais e regulamentos que exigem medidas de segurança, incluindo:
- Marco Civil da Internet (Lei nº 12.965/2014)
- Resoluções do Banco Central para instituições financeiras
- Normas da ANS para organizações de saúde
- ISO 27001 e outras certificações internacionais
3
O cumprimento dessas regulamentações não só protege a organização de sanções legais, mas também fortalece sua reputação e confiabilidade perante clientes e parceiros.
Estrutura de uma política de segurança da informação
1
Introdução
Objetivo, escopo e aplicação da política.
2
Definições
Termos e conceitos relevantes para a política.
3
Responsabilidades
Papéis e responsabilidades das partes interessadas.
4
Controles de Segurança
Medidas técnicas e administrativas para proteger a informação.
5
Gerenciamento de Incidentes
Procedimentos para lidar com incidentes de segurança.
6
Monitoramento e Revisão
Como a política será monitorada e revisada.
Papéis e responsabilidades
Papel | Responsabilidade | |
Administrador de Segurança da Informação | Desenvolver, implementar e gerenciar a política de segurança. | |
Usuários | Cumprir as normas da política e reportar qualquer atividade suspeita. | |
Gerenciador de Riscos | Identificar, analisar e mitigar riscos à segurança da informação. |
Ativos de informação
1
Dados
Informações confidenciais, como dados pessoais, registros financeiros e propriedade intelectual.
2
Sistemas
Plataformas de software, hardware e redes que armazenam e processam dados.
3
Infraestrutura
Físicas, como servidores, dispositivos de rede e centros de dados.
4
Pessoas
Funcionários, contratados e outros indivíduos que têm acesso à informação.
Classificação e manuseio da informação
Classificação
Atribuir níveis de confidencialidade à informação com base em seu valor e impacto.
Manuseio
Estabelecer diretrizes para o acesso, uso, compartilhamento e armazenamento de dados.
Controle de Acesso
Implementação de mecanismos para restringir o acesso à informação de acordo com a classificação.
Controles de acesso
Autenticação
Verificar a identidade do usuário antes de permitir o acesso.
1
Autorização
Definir os privilégios de acesso de cada usuário com base em sua função e necessidade.
2
Controle de Acesso
Monitorar e registrar todas as atividades de acesso à informação.
3
Backup e recuperação de dados
1
Backup
Criar cópias de segurança dos dados para garantir a recuperação em caso de perda ou dano.
2
Recuperação
Restaurar os dados a partir de backups, garantindo a continuidade das operações.
3
Testes
Realizar testes periódicos de recuperação para garantir a eficácia dos procedimentos.
Segurança física e ambiental
1
Controle de Acesso
Restrições físicas para evitar acesso não autorizado a áreas sensíveis.
2
Monitoramento
Utilizar sistemas de vigilância para detectar atividades suspeitas.
3
Condições Ambientais
Controlar temperatura, umidade e outras condições para garantir a segurança dos equipamentos.
Gerenciamento de incidentes
1
Identificação
Detectar e identificar um incidente de segurança.
2
Análise
Investigar a causa do incidente e avaliar o impacto.
3
Resposta
Implementar medidas para conter o incidente e minimizar danos.
4
Recuperação
Restaurar os sistemas e dados afetados e aprender com o incidente.
Monitoramento e revisão
Monitoramento Contínuo
Monitorar os sistemas e redes para detectar atividades suspeitas.
Revisão Periódica
Revisar a política de segurança regularmente para garantir sua eficácia.
Treinamento e conscientização
Implantação da política de segurança
Comunicação
Comunicar a política de segurança a todos os usuários.
Treinamento
Fornecer treinamento sobre as políticas e procedimentos.
Monitoramento
Monitorar a implementação e o cumprimento da política.
Revisão
Revisar a política periodicamente para adaptá-la às necessidades da organização.
LGPD – Lei Geral de Proteção de Dados
A LGPD é um marco legal que visa proteger dados pessoais, assegurando o direito à privacidade e à autodeterminação informativa.
Impacto da LGPD na segurança da informação
Obrigações de Segurança
A LGPD impõe aos controladores de dados a obrigação de adotar medidas de segurança para proteger dados pessoais.
Gestão de Riscos
As organizações precisam identificar, analisar e mitigar riscos à proteção de dados.
Transparência
É preciso informar os titulares de dados sobre como seus dados são tratados.
Direitos dos titulares de dados
Acesso
Direito de acessar seus dados pessoais.
Correção
Direito de solicitar a correção de dados imprecisos.
Exclusão
Direito de solicitar a exclusão de seus dados.
Obrigações das organizações
1
Base Legal
Ter uma base legal válida para o tratamento de dados.
2
Consentimento
Obter o consentimento livre, informado e inequívoco do titular.
3
Segurança
Implementar medidas de segurança para proteger dados pessoais.
Medidas de conformidade com a LGPD
1
Política de Privacidade
Definir como os dados são coletados, utilizados e protegidos.
2
Treinamento
Capacitar funcionários sobre a LGPD e as políticas de segurança.
3
Auditoria
Verificar periodicamente a conformidade com a lei.
Classificação de dados pessoais
Dados Sensíveis
Dados sobre origem racial ou étnica, convicções religiosas, opiniões políticas, etc.
Dados Pessoais
Informações que identificam uma pessoa, como nome, CPF, endereço, etc.
Dados Anônimos
Dados que não permitem a identificação do titular.
Controles de acesso e tratamento de dados
Controle de Acesso
Restrigir o acesso a dados pessoais apenas a pessoas autorizadas.
1
Tratamento de Dados
Definir os propósitos e as formas de tratamento de dados.
2
Minimização de Dados
Coletar apenas os dados realmente necessários para a finalidade.
3
Registro de atividades de tratamento
1
Registro de Atividades
Manter um registro detalhado de todas as operações de tratamento de dados.
2
Finalidade
Registrar a finalidade específica do tratamento de dados.
3
Destinatários
Identificar os destinatários dos dados pessoais.
Avaliação de impacto à proteção de dados
1
Identificação de Riscos
Identificar os riscos à proteção de dados em diferentes atividades.
2
Análise de Impacto
Avaliar a probabilidade e o impacto dos riscos.
3
Medidas Mitigadoras
Implementar medidas para reduzir ou eliminar os riscos.
Procedimentos em caso de incidentes
1
Notificação
Notificar a autoridade nacional de proteção de dados em caso de violação.
2
Investigação
Investigar o incidente para identificar as causas e o impacto.
3
Mitigação
Implementar medidas para conter o incidente e minimizar danos.
4
Comunicação
Comunicar o incidente aos titulares de dados afetados.
Responsabilidades do encarregado de dados
Monitoramento
Monitorar o cumprimento das normas da LGPD.
Comunicação
Responder a solicitações de titulares de dados e autoridades.
Incidentes
Gerenciar e reportar incidentes de segurança.
Sanções e penalidades
Multas
Multas de até 2% do faturamento bruto da empresa.
Bloqueio de Dados
Bloqueio do tratamento de dados em caso de violação.
Outras Sanções
Outras sanções podem incluir advertências, suspensão de atividades e publicação da infração.
Considerações finais
A política de segurança da informação e a LGPD são elementos essenciais para a proteção de dados pessoais e a garantia da conformidade legal. É fundamental que as organizações invistam em medidas robustas para proteger seus dados e garantir a privacidade dos titulares.