Proteção de Dados Baseada em Riscos. Dicas para implementação
Mario Alves W. de Souza, MSc, MBA, MBS, CIEIE, CIEAC, CEGRC
Gerente de Gestão de Riscos da Brasiliano INTERISK
Setembro | 2020
Tratando-se de implementação da proteção de dados, encontramos farto material gratuito e de qualidade na internet. O que não existe, e acredito ser um ponto de melhoria da lei, é a implementação baseada em riscos.
Talvez a sua não existência na lei esteja associado ao fato de que, se tratando de uma lei, deve-se buscar a plena implementação, porém, a lei é abrangente e, corretamente, não abordar de forma detalhada os controles a serem aplicados.
Um exemplo simples consiste no consentimento que a empresa deve obter do titular; pode ser feito por meio de um sistema robusto ou de papéis e planilhas. Qual implementar?
Essa decisão não deve estar pautada exclusivamente no recurso disponível para o projeto, deve ir além disso baseando-se no risco envolvido. Gosto de afirmar que o melhor controle não é o mais caro tampouco o com maior tecnologia aplicada, é o que atende de forma ajustada as necessidades do negócio, apresentando uma ótima relação custo x benefício.
Nesse sentido, entender a estrutura do risco de proteção de dados é essencial, e o modelo esquemático abaixo, influenciado pelo Bow-Tie, proporciona essa visão:
Fatores de Risco
Também chamado de “Fonte de Risco”, trata-se de ameaças e vulnerabilidades que podem levar a concretização do risco. Uma base para obtenção, no caso de proteção de dados, é analisando os anexos da IS0 27701 e os artigos da LGPD.
Entender como os fatores agem no risco é essencial e pode variar de acordo com a empresa. Por exemplo, a classificação de dados pode ser mais motriz em determinada em empresa do que em outra.
Risco
Os riscos de proteção de dados podem ser interpretados no parágrafo VII do Art.6 da LGPD:
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Dessa forma, vislumbro os riscos abaixo:
A criticidade do risco é obtida entendendo a probabilidade de sua concretização considerando os fatores de risco e sua influência frente os controles existentes.
Impacto
O impacto é realizado considerando os cenários possíveis caso o risco se concretize. Importante considerar as múltiplas consequências em termos de imagem, perda financeira, problemas legais e transtornos operacionais.
Conclusão
O entendimento da criticidade do risco é determinante para o planejamento das ações de implementação. Com recursos escassos e necessidade de maior fluidez nos processos, a adoção de controles adequados é necessária. Observo que o mercado não tem aderido a gestão baseada em riscos quanto a proteção de dados e isso pode acarretar em surpresas indesejadas.