Classificação de Dados e Informações, 
Lei Geral de Proteção de Dados – LGPD

Setembro | 2019

O objetivo da classificação dos dados e das informações é para priorizar o foco da segurança, propondo maior nível, de tal maneira que dificulte a intrusão e ataques cibernéticos.

De acordo com José Pela Neto, sócio da prática de Cyber Risk da Deloitte, um tema muito debatido ultimamente, mas ainda complexo para grande parte da população e das empresas, é a Lei Geral de Proteção de Dados (Lei 13.708/18), mais conhecida como LGPD, elaborada com base na lei europeia General Data Protection Regulation (GDPR), que passou a vigorar a partir de maio do ano passado – 2018.

A LGPD estabelece bases legais para o tratamento de dados pessoais pelas organizações, garantindo diversos direitos aos titulares dessas informações. Em linhas gerais, as empresas precisarão ter cuidado redobrado com a coleta, o tratamento, o armazenamento e o compartilhamento de dados pessoais de seus clientes. Em caso de algum incidente, as empresas deverão comunicar ao órgão regulador chamado Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e o consumidor terá direito à indenização. As novas regras passam a valer a partir de agosto de 2020.

 

Ainda está nebuloso para grande parte das empresas critérios e cenários de maior criticidade em relação aos objetivos estratégicos dos negócios. A pressão regulatória que a Lei trará, já que exigirá esforços consideráveis para o controle de qualidade quanto ao tratamento dos dados pessoais e aumento da responsabilidade nas medidas organizacionais para gestão do risco cibernético na proteção desses dados.

 

Diante deste quadro, nós da Brasiliano INTERISK elaboramos um Framework para implantar e operacionalizar a LGPD. Este framework, conforme figura abaixo, é comporto por sete fases:

framwork.png

Neste nosso artigo vamos focar a fase 2: Coletar, Identificar e Classificar Informações e Dados Pessoais, pois consideramos uma fase crucial e estratégica do processo de implantação do processo de LGPD.

 

O objetivo da classificação dos dados e das informações é para priorizar o foco da segurança, propondo maior nível, de tal maneira que dificulte a intrusão e ataques cibernéticos. A Brasiliano INTERISK classifica a Relevância das informações e dados através de dois quesitos:

 

- PRIMEIRO QUESITO: Relevância do impacto, ou seja, o quanto que o ativo, a informação ou dado é importante e estratégico para a empresa sob o ponto de vista de imagem, financeiro, operacional e legal, em caso haver sequestro, violação, manipulação, divulgação, destruição, entre outros cenários de riscos cibernéticos. Com estes critérios, o gestor consegue priorizar quanto que a informação é relevante para a organização em termos de impacto e sugere tratamento de segurança e sigilo, como também impõe níveis de acesso e manipulação. É o primeiro passo para prevenir ataques cibernéticos de qualquer natureza.

 

- SEGUNDO QUESITO: Relevância do nível do conteúdo dos dados e informações. Tem que haver com níveis de acesso para divulgação e manipulação. A classificação dos dados e informações é focado em seus objetivos estratégicos e na estratégia da empresa, tendo três níveis de classificação: estratégico, tático e operacional.

 

O resultado do cruzamento destes dois critérios possui como resultado a Matriz de Relevância das Informações e Dados.

 

É uma Matriz 3 x 3, que classifica a posição do Ativo, da Informação e Dado na Matriz de Relevância em três níveis: Alta, Média e Baixa Relevância para a Instituição.

Captura_de_Tela_2019-10-02_às_16.54.23.p

Matriz de Relevância das Informações e Dados - Brasiliano INTERISK

Os critérios são do Nível do Conteúdo e do Impacto na Empresa são:

 

 1) Nível do Conteúdo das Informações e Dados em função da estratégia e objetivos estratégicos

Captura_de_Tela_2019-10-02_às_16.54.46.p

Critérios de Classificação do Nível da Informação e ou Dado – Brasiliano INTERISK

2) Impacto das Informações e Dados, na estratégia e objetivos estratégicos para a instituição, em caso de vazamento, roubo, sequestro, destruição, manipulação, das informações/dados. Os subcritérios a serem mensurados, através de uma média ponderada, com pesos, são:

Captura_de_Tela_2019-10-02_às_16.55.11.p

As notas para cada subcritério serão mensuradas nos valores de 1 a 3, dentro da régua:

Captura_de_Tela_2019-10-02_às_16.57.14.p

Fazemos uma média Ponderada:

Captura_de_Tela_2019-10-02_às_16.58.02.p

Teremos a seguinte escala:

Captura_de_Tela_2019-10-02_às_16.58.31.p

EXEMPLO: Temos quatro informações e queremos classificá-las quanto ao seu conteúdo e impacto na empresa. As informações são:

 

1. Banco de dados dos clientes de pessoa jurídica com o cadastro completo, incluindo CNPJ, nome dos dados de identidade sócios, CPF, Carteira de identidade, Faturamento, média de compra mês. 

 

2. Banco de dados dos clientes com o cadastro pessoal completo, incluindo: nome, dados de identidade, patrimônio, condição pessoal, condição securitária, perfil de compras e condição de saúde. 

 

3. Banco de dados dos clientes com o cadastro de nome e CPF;   

 

4. Banco de dados dos clientes com o cadastro completo, incluindo CNPJ, nome dos dados de identidade sócios, CPF, Carteira de identidade, Faturamento, média de compra mês. 

Tabela de Classificação do Conteúdo

Captura_de_Tela_2019-10-02_às_16.58.54.p

Tabela de Classificação do Impacto

Captura_de_Tela_2019-10-02_às_16.58.43.p

Com os critérios classificados no exemplo dado das quatro informações, temos as seguintes relevâncias:

Captura_de_Tela_2019-10-02_às_16.59.16.p

Matriz de Relevância das Informações e Dados

O que significa a relevância das informações e dados para a LGPD? Significa o que devemos priorizar para prover a segurança devida, tanto para recursos lógicos, físicos, organizacionais, capacitação de pessoal.

Com esta classificação a empresa tem condições de identificar quais informações e dados são relevantes e focar a atuação em controles e sistemas. O importante é saber onde focar para fornecer a segurança necessária das informações e dados pessoais.

No exemplo acima, temos 4 informações: 2 estratégicas, uma tática e 1 operacional. Ao cruzarmos os critérios, as informações de maior relevância foram 1,2 e 4, que devem ter um nível de segurança cibernética com todas as defesas preventivas, detectivas e mitigatórias implantadas e operacionalizadas. A informação 3 possui relevância baixa, portanto não pode ser foco específico, tendo apenas que possuir o mínimo necessário.  

A Matriz de Relevância das Informações e Dados fornece uma visão estratégica para o gestor de informações e dados, o Data Proteccion Officer - DPO, pois dentro de um grande universo de informações e dados que as empresas possuem hoje em dia, nesta quarta revolução industrial, pode-se ressaltar as que possuem maior relevância.

Através da Matriz de Relevância o DPO realiza o famoso Pareto, 20 x 80, ou seja 20% das informações e dados são as mais relevantes e as que devem ser protegidas.

Com as Informações classificadas, o DPO possui condições de partir para as outras fases da operacionalização do processo da LGPD, que nosso Software INTERISK fornece estas ferramentas e processo estruturado.