Captura_de_Tela_2020-10-06_às_10.32.10

Proteção de Dados Baseada em Riscos. Dicas para implementação

Mario Alves W. de Souza, MSc, MBA, MBS, CIEIE, CIEAC, CEGRC

Gerente de Gestão de Riscos da Brasiliano INTERISK

Setembro | 2020

Tratando-se de implementação da proteção de dados, encontramos farto material gratuito e de qualidade na internet. O que não existe, e acredito ser um ponto de melhoria da lei, é a implementação baseada em riscos.

Talvez a sua não existência na lei esteja associado ao fato de que, se tratando de uma lei, deve-se buscar a plena implementação, porém, a lei é abrangente e, corretamente, não abordar de forma detalhada os controles a serem aplicados.

Um exemplo simples consiste no consentimento que a empresa deve obter do titular; pode ser feito por meio de um sistema robusto ou de papéis e planilhas. Qual implementar?

Essa decisão não deve estar pautada exclusivamente no recurso disponível para o projeto, deve ir além disso baseando-se no risco envolvido. Gosto de afirmar que o melhor controle não é o mais caro tampouco o com maior tecnologia aplicada, é o que atende de forma ajustada as necessidades do negócio, apresentando uma ótima relação custo x benefício.

Nesse sentido, entender a estrutura do risco de proteção de dados é essencial, e o modelo esquemático abaixo, influenciado pelo Bow-Tie, proporciona essa visão:

Fatores de Risco

Também chamado de “Fonte de Risco”, trata-se de ameaças e vulnerabilidades que podem levar a concretização do risco. Uma base para obtenção, no caso de proteção de dados, é analisando os anexos da IS0 27701 e os artigos da LGPD.

Entender como os fatores agem no risco é essencial e pode variar de acordo com a empresa. Por exemplo, a classificação de dados pode ser mais motriz em determinada em empresa do que em outra.

Risco

Os riscos de proteção de dados podem ser interpretados no parágrafo VII do Art.6 da LGPD:

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

 

Dessa forma, vislumbro os riscos abaixo:

A criticidade do risco é obtida entendendo a probabilidade de sua concretização considerando os fatores de risco e sua influência frente os controles existentes.

 

Impacto

O impacto é realizado considerando os cenários possíveis caso o risco se concretize. Importante considerar as múltiplas consequências em termos de imagem, perda financeira, problemas legais e transtornos operacionais.

 

Conclusão

O entendimento da criticidade do risco é determinante para o planejamento das ações de implementação. Com recursos escassos e necessidade de maior fluidez nos processos, a adoção de controles adequados é necessária. Observo que o mercado não tem aderido a gestão baseada em riscos quanto a proteção de dados e isso pode acarretar em surpresas indesejadas.

Nossas redes sociais
Brasiliano INTERISK
Contato
  • Facebook - Grey Circle
  • LinkedIn - Grey Circle
  • YouTube - Grey Circle

Rua Barão de Jaceguai, 1768 - Campo Belo
São Paulo - SP - CEP: 04606-004