Classificação de Dados e Informações,
Lei Geral de Proteção de Dados – LGPD
Antonio Celso Ribeiro Brasiliano, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Presidente da Brasiliano INTERISK
Setembro | 2019
O objetivo da classificação dos dados e das informações é para priorizar o foco da segurança, propondo maior nível, de tal maneira que dificulte a intrusão e ataques cibernéticos.
De acordo com José Pela Neto, sócio da prática de Cyber Risk da Deloitte, um tema muito debatido ultimamente, mas ainda complexo para grande parte da população e das empresas, é a Lei Geral de Proteção de Dados (Lei 13.708/18), mais conhecida como LGPD, elaborada com base na lei europeia General Data Protection Regulation (GDPR), que passou a vigorar a partir de maio do ano passado – 2018.
A LGPD estabelece bases legais para o tratamento de dados pessoais pelas organizações, garantindo diversos direitos aos titulares dessas informações. Em linhas gerais, as empresas precisarão ter cuidado redobrado com a coleta, o tratamento, o armazenamento e o compartilhamento de dados pessoais de seus clientes. Em caso de algum incidente, as empresas deverão comunicar ao órgão regulador chamado Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e o consumidor terá direito à indenização. As novas regras passam a valer a partir de agosto de 2020.
Ainda está nebuloso para grande parte das empresas critérios e cenários de maior criticidade em relação aos objetivos estratégicos dos negócios. A pressão regulatória que a Lei trará, já que exigirá esforços consideráveis para o controle de qualidade quanto ao tratamento dos dados pessoais e aumento da responsabilidade nas medidas organizacionais para gestão do risco cibernético na proteção desses dados.
Diante deste quadro, nós da Brasiliano INTERISK elaboramos um Framework para implantar e operacionalizar a LGPD. Este framework, conforme figura abaixo, é comporto por sete fases:
Neste nosso artigo vamos focar a fase 2: Coletar, Identificar e Classificar Informações e Dados Pessoais, pois consideramos uma fase crucial e estratégica do processo de implantação do processo de LGPD.
O objetivo da classificação dos dados e das informações é para priorizar o foco da segurança, propondo maior nível, de tal maneira que dificulte a intrusão e ataques cibernéticos. A Brasiliano INTERISK classifica a Relevância das informações e dados através de dois quesitos:
- PRIMEIRO QUESITO: Relevância do impacto, ou seja, o quanto que o ativo, a informação ou dado é importante e estratégico para a empresa sob o ponto de vista de imagem, financeiro, operacional e legal, em caso haver sequestro, violação, manipulação, divulgação, destruição, entre outros cenários de riscos cibernéticos. Com estes critérios, o gestor consegue priorizar quanto que a informação é relevante para a organização em termos de impacto e sugere tratamento de segurança e sigilo, como também impõe níveis de acesso e manipulação. É o primeiro passo para prevenir ataques cibernéticos de qualquer natureza.
- SEGUNDO QUESITO: Relevância do nível do conteúdo dos dados e informações. Tem que haver com níveis de acesso para divulgação e manipulação. A classificação dos dados e informações é focado em seus objetivos estratégicos e na estratégia da empresa, tendo três níveis de classificação: estratégico, tático e operacional.
O resultado do cruzamento destes dois critérios possui como resultado a Matriz de Relevância das Informações e Dados.
É uma Matriz 3 x 3, que classifica a posição do Ativo, da Informação e Dado na Matriz de Relevância em três níveis: Alta, Média e Baixa Relevância para a Instituição.
Matriz de Relevância das Informações e Dados - Brasiliano INTERISK
Os critérios são do Nível do Conteúdo e do Impacto na Empresa são:
1) Nível do Conteúdo das Informações e Dados em função da estratégia e objetivos estratégicos
Critérios de Classificação do Nível da Informação e ou Dado – Brasiliano INTERISK
2) Impacto das Informações e Dados, na estratégia e objetivos estratégicos para a instituição, em caso de vazamento, roubo, sequestro, destruição, manipulação, das informações/dados. Os subcritérios a serem mensurados, através de uma média ponderada, com pesos, são:
As notas para cada subcritério serão mensuradas nos valores de 1 a 3, dentro da régua:
Fazemos uma média Ponderada:
Teremos a seguinte escala:
EXEMPLO: Temos quatro informações e queremos classificá-las quanto ao seu conteúdo e impacto na empresa. As informações são:
1. Banco de dados dos clientes de pessoa jurídica com o cadastro completo, incluindo CNPJ, nome dos dados de identidade sócios, CPF, Carteira de identidade, Faturamento, média de compra mês.
2. Banco de dados dos clientes com o cadastro pessoal completo, incluindo: nome, dados de identidade, patrimônio, condição pessoal, condição securitária, perfil de compras e condição de saúde.
3. Banco de dados dos clientes com o cadastro de nome e CPF;
4. Banco de dados dos clientes com o cadastro completo, incluindo CNPJ, nome dos dados de identidade sócios, CPF, Carteira de identidade, Faturamento, média de compra mês.
Tabela de Classificação do Conteúdo
Tabela de Classificação do Impacto
Com os critérios classificados no exemplo dado das quatro informações, temos as seguintes relevâncias:
Matriz de Relevância das Informações e Dados
O que significa a relevância das informações e dados para a LGPD? Significa o que devemos priorizar para prover a segurança devida, tanto para recursos lógicos, físicos, organizacionais, capacitação de pessoal.
Com esta classificação a empresa tem condições de identificar quais informações e dados são relevantes e focar a atuação em controles e sistemas. O importante é saber onde focar para fornecer a segurança necessária das informações e dados pessoais.
No exemplo acima, temos 4 informações: 2 estratégicas, uma tática e 1 operacional. Ao cruzarmos os critérios, as informações de maior relevância foram 1,2 e 4, que devem ter um nível de segurança cibernética com todas as defesas preventivas, detectivas e mitigatórias implantadas e operacionalizadas. A informação 3 possui relevância baixa, portanto não pode ser foco específico, tendo apenas que possuir o mínimo necessário.
A Matriz de Relevância das Informações e Dados fornece uma visão estratégica para o gestor de informações e dados, o Data Proteccion Officer - DPO, pois dentro de um grande universo de informações e dados que as empresas possuem hoje em dia, nesta quarta revolução industrial, pode-se ressaltar as que possuem maior relevância.
Através da Matriz de Relevância o DPO realiza o famoso Pareto, 20 x 80, ou seja 20% das informações e dados são as mais relevantes e as que devem ser protegidas.
Com as Informações classificadas, o DPO possui condições de partir para as outras fases da operacionalização do processo da LGPD, que nosso Software INTERISK fornece estas ferramentas e processo estruturado.