LGPD e a Gestão de Ativos: 5 Pontos de Atenção para Atender a Lei
Em vigor desde setembro de 2020, a LGPD (Lei Geral de Proteção de Dados Pessoais), gerou mudanças em diversas áreas de uma empresa e a gestão de ativos não fugiu desses impactos.
Identificar os ativos das organizações e definir as devidas responsabilidades pela proteção dos ativos são os objetivos da seção 8 da Norma ISO 27.002 para Gestão de Ativos.
Assim, processos como o inventário dos ativos, o vínculo aos usuários dos ativos, a forma de uso, a devolução e tratamento dos ativos, bem como o descarte e tratamento físico de mídias, agora vão além dos controles internos e podem até passar a serem responsabilidade do setor de patrimônio, sendo o principal objetivo o atendimento a LGPD.
Abaixo apresentamos os principais pontos de atenção relacionados a LGPD e a gestão de ativos e procedimentos de implantação de processo.
Continue lendo e confira!
5 Pontos de Atenção para Atender a LGPD na Gestão de Ativos
1. Proprietário
Da mesma forma que ocorre nos procedimentos de gestão de ativos, com a classificação de centro de custo ou centro de resultados, o vínculo do proprietário ou responsável convém ocorrer na aquisição ou transferência.
Para o proprietário do ativo convém:
- Assegurar que os ativos são inventariados;
- Assegurar que os ativos são adequadamente classificados e protegidos;
- Definir e analisar periodicamente criticamente as classificações e restrições ao acesso aos ativos importantes, levando em conta as políticas de controle de acesso aplicáveis;
- Assegurar um adequado tratamento quando o ativo é excluído ou destruído.
2. Uso Aceitável dos ativos
A recomendação é identificar, documentar e implementar regras para o uso correto das informações dos ativos que são associados a dados sensíveis e dos recursos de processamento de dados.
3. Devolução de Ativos
Quando ocorrer o retorno de ativos que podem estar associados a dados sensíveis, esse processo de devolução deve ser feito de forma correta, de forma a evitar o vazamento de dados, bem como deve ser realizada a responsabilização para que não ocorra cópias.
4. Tratamento dos ativos
A respeito do tratamento dos ativos, convém que os seguintes itens sejam considerados:
- Restrições de acesso para apoiar os requisitos de proteção para cada nível de classificação;
- Manutenção de um registro formal dos destinatários de ativos autorizados;
- Proteção de cópias temporárias ou permanentes da informação a um nível consistente com a proteção da informação original;
- Armazenamento dos ativos de TI de acordo com as especificações dos fabricantes;
- Identificação eficaz de todas as cópias das mídias, para chamar a atenção dos destinatários autorizados.
5. Tratamento e descarte de mídias
Convém que as seguintes diretrizes para o gerenciamento de mídias removíveis sejam consideradas:
- Quando não for mais necessário, o conteúdo de qualquer meio magnético reutilizável seja destruído, caso venha a ser retirado da organização;
- Quando necessário e prático, seja requerida a autorização para remoção de qualquer mídia da organização e mantido o registro dessa remoção como trilha de auditoria;
- Toda mídia seja guardada de forma segura em um ambiente protegido, de acordo com as especificações do fabricante;
- Convém que sejam usadas, no caso em que a integridade e confidencialidade dos dados sejam considerações importantes, técnicas de criptografia, para proteger os dados na mídia removível;
- Para mitigar o risco de degradar a mídia enquanto os dados armazenados ainda são necessários, convém que os dados sejam transferidos para uma mídia nova antes de se tornarem ilegíveis;
- Cópias múltiplas de dados valiosos sejam armazenadas em mídias separadas para reduzir riscos futuros de perda ou dano que ocorram por coincidência nessas mídias;
- As mídias removíveis sejam registradas para limitar a oportunidade de perda de dados;
- As unidades de mídias removíveis sejam habilitadas somente se houver uma necessidade do negócio;
- Onde houver a necessidade para o uso de mídia removível, a transferência da informação contida na mídia seja monitorada.
Recomendações para o descarte das mídias
Por fim, mesmo no momento do descarte das mídias, alguns pontos devem ser levados em consideração:
- Convém que mídias contendo informações confidenciais sejam guardadas e destruídas de forma segura e protegida, como, por exemplo, através de incineração ou trituração, ou da remoção dos dados para uso por outra aplicação dentro da organização;
- Procedimentos sejam implementados para identificar os itens que requerem descarte seguro;
- Pode ser mais fácil implementar a coleta e o descarte seguros de todas as mídias a serem inutilizadas do que tentar separar apenas aquelas contendo informações sensíveis;
- Muitas organizações oferecem serviços de coleta e descarte de mídia; convém que sejam tomados cuidados na seleção de um fornecedor com experiência e controles adequados;
- Convém que o descarte de itens sensíveis seja registrado, sempre que possível, para se manter uma trilha de auditoria.
O processo de compilação de um inventário de ativos é um pré-requisito importante da gestão de riscos. A ABNT NBR ISO/IEC 27005 , a característica principal do inventário de ativos para atender a ISO 27.000 e a classificação dos ativos através também pelo ciclo de vida da informação.
Em suma, os riscos de vazamento de dados e as penalizações da LGPD podem ser mitigados com a implementação de processos administrativos. A Estrutura da ISO 27.002 na seção 8 é um norteador para normatizar procedimentos nas companhias. A ação de identificar um proprietário, estruturar e restringir o acesso aos dados, junto a gestão de ativo de TI com viés de contenção de risco cibernético são meios das companhias gerenciarem esse risco.
Como se adequar?
As definições de tratamento de dados são extensas e engloba cerca de 20 ações relacionadas à coleta e descarte dos dados.
Por isso, as organizações têm optado por consultorias norteadoras, de forma que gestores de patrimônio e DPO’s (encarregados pelo tratamento de dados pessoais) planejam, organizam, dirigem e controlam toda a Gestão de Ativos de TI para atender a LGPD.
A Afixcode possui estrutura interna de inteligência de dados, que juntamente com nossa área de levantamento patrimonial compila solução integral para atender a organização de ativos, conforme a LGPD, ISO 27002 e matriz de risco.
Conclusão: A partir da LGPD, ampliou-se o papel da gestão de ativos
Com isso, a gestão de ativos não está mais restrita apenas a controles contábeis, patrimoniais e fiscais, onde se destaca a apuração de despesas de depreciação, apuração de créditos sobre imobilizado e planos de manutenção e reposição. A partir da LGPD é obrigatório a correta guarda dos dados pessoais, descarte de hardwares, controles dos dados em mídias removíveis e físicas.
Fonte: ABNT NBR ISO/IEC 27002, Ed. 2ª; 2013.
