LGPD e a Gestão de Ativos: 5 Pontos de Atenção para Atender a Lei

LGPD e a Gestão de Ativos: 5 Pontos de Atenção para Atender a Lei

LGPD e a Gestão de Ativos: 5 Pontos de Atenção para Atender a Lei

LGPD descarte de mídias gestão de ativos
 

Em vigor desde setembro de 2020, a LGPD (Lei Geral de Proteção de Dados Pessoais), gerou mudanças em diversas áreas de uma empresa e a gestão de ativos não fugiu desses impactos.

Identificar os ativos das organizações e definir as devidas responsabilidades pela proteção dos ativos são os objetivos da seção 8 da Norma ISO 27.002 para Gestão de Ativos. 

Assim, processos como o inventário dos ativos, o vínculo aos usuários dos ativos, a forma de uso, a devolução e tratamento dos ativos, bem como o descarte e tratamento físico de mídias, agora vão além dos controles internos e podem até passar a serem responsabilidade do setor de patrimônio, sendo o principal objetivo o atendimento a LGPD.

Abaixo apresentamos os principais pontos de atenção relacionados a LGPD e a gestão de ativos e procedimentos de implantação de processo.

Continue lendo e confira!

 
 
 

 
 


5 Pontos de Atenção para Atender a LGPD na Gestão de Ativos

1. Proprietário

Da mesma forma que ocorre nos procedimentos de gestão de ativos, com a classificação de centro de custo ou centro de resultados, o vínculo do proprietário ou responsável convém ocorrer na aquisição ou transferência.

Para o proprietário do ativo convém:

  1. Assegurar que os ativos são inventariados; 
  2. Assegurar que os ativos são adequadamente classificados e protegidos; 
  3. Definir e analisar periodicamente criticamente as classificações e restrições ao acesso aos ativos importantes, levando em conta as políticas de controle de acesso aplicáveis; 
  4. Assegurar um adequado tratamento quando o ativo é excluído ou destruído.

2. Uso Aceitável dos ativos

A recomendação é identificar, documentar e implementar regras para o uso correto das informações dos ativos que são associados a dados sensíveis e dos recursos de processamento de dados.

3. Devolução de Ativos

Quando ocorrer o retorno de ativos que podem estar associados a dados sensíveis, esse processo de devolução deve ser feito de forma correta, de forma a evitar o vazamento de dados, bem como deve ser realizada a responsabilização para que não ocorra cópias.

4. Tratamento dos ativos

A respeito do tratamento dos ativos, convém que os seguintes itens sejam considerados: 

  1. Restrições de acesso para apoiar os requisitos de proteção para cada nível de classificação;
  2. Manutenção de um registro formal dos destinatários de ativos autorizados; 
  3. Proteção de cópias temporárias ou permanentes da informação a um nível consistente com a proteção da informação original; 
  4. Armazenamento dos ativos de TI de acordo com as especificações dos fabricantes; 
  5. Identificação eficaz de todas as cópias das mídias, para chamar a atenção dos destinatários autorizados.

5. Tratamento e descarte de mídias

 
 

Convém que as seguintes diretrizes para o gerenciamento de mídias removíveis sejam consideradas: 

  1. Quando não for mais necessário, o conteúdo de qualquer meio magnético reutilizável seja destruído, caso venha a ser retirado da organização; 
  2. Quando necessário e prático, seja requerida a autorização para remoção de qualquer mídia da organização e mantido o registro dessa remoção como trilha de auditoria; 
  3. Toda mídia seja guardada de forma segura em um ambiente protegido, de acordo com as especificações do fabricante; 
  4. Convém que sejam usadas, no caso em que a integridade e confidencialidade dos dados sejam considerações importantes, técnicas de criptografia, para proteger os dados na mídia removível; 
  5. Para mitigar o risco de degradar a mídia enquanto os dados armazenados ainda são necessários, convém que os dados sejam transferidos para uma mídia nova antes de se tornarem ilegíveis; 
  6. Cópias múltiplas de dados valiosos sejam armazenadas em mídias separadas para reduzir riscos futuros de perda ou dano que ocorram por coincidência nessas mídias; 
  7. As mídias removíveis sejam registradas para limitar a oportunidade de perda de dados; 
  8. As unidades de mídias removíveis sejam habilitadas somente se houver uma necessidade do negócio; 
  9. Onde houver a necessidade para o uso de mídia removível, a transferência da informação contida na mídia seja monitorada.

Recomendações para o descarte das mídias

Por fim, mesmo no momento do descarte das mídias, alguns pontos devem ser levados em consideração:

  1. Convém que mídias contendo informações confidenciais sejam guardadas e destruídas de forma segura e protegida, como, por exemplo, através de incineração ou trituração, ou da remoção dos dados para uso por outra aplicação dentro da organização; 
  2. Procedimentos sejam implementados para identificar os itens que requerem descarte seguro; 
  3. Pode ser mais fácil implementar a coleta e o descarte seguros de todas as mídias a serem inutilizadas do que tentar separar apenas aquelas contendo informações sensíveis; 
  4. Muitas organizações oferecem serviços de coleta e descarte de mídia; convém que sejam tomados cuidados na seleção de um fornecedor com experiência e controles adequados; 
  5. Convém que o descarte de itens sensíveis seja registrado, sempre que possível, para se manter uma trilha de auditoria.

O processo de compilação de um inventário de ativos é um pré-requisito importante da gestão de riscos. A ABNT NBR ISO/IEC 27005 , a característica principal do inventário de ativos para atender a ISO 27.000 e a classificação dos ativos através também pelo ciclo de vida da informação.

Em suma, os riscos de vazamento de dados e as penalizações da LGPD podem ser mitigados com a implementação de processos administrativos. A Estrutura da ISO 27.002 na seção 8 é um norteador para normatizar procedimentos nas companhias. A ação de identificar um proprietário, estruturar e restringir o acesso aos dados, junto a gestão de ativo de TI com viés de contenção de risco cibernético são meios das companhias gerenciarem esse risco.

Como se adequar?

As definições de tratamento de dados são extensas e engloba cerca de 20 ações relacionadas à coleta e descarte dos dados.

Por isso, as organizações têm optado por consultorias norteadoras, de forma que gestores de patrimônio e DPO’s (encarregados pelo tratamento de dados pessoais) planejam, organizam, dirigem e controlam toda a Gestão de Ativos de TI para atender a LGPD.

A Afixcode possui estrutura interna de inteligência de dados, que juntamente com nossa área de levantamento patrimonial compila solução integral para atender a organização de ativos, conforme a LGPD, ISO  27002 e matriz de risco.

Conclusão: A partir da LGPD, ampliou-se o papel da gestão de ativos

Com isso, a gestão de ativos não está mais restrita apenas a controles contábeis, patrimoniais e fiscais, onde se destaca a apuração de despesas de depreciação, apuração de créditos sobre imobilizado e planos de manutenção e reposição. A partir da LGPD é obrigatório a correta guarda dos dados pessoais, descarte de hardwares, controles dos dados em mídias removíveis e físicas.

Fonte: ABNT NBR ISO/IEC 27002, Ed. 2ª; 2013.

 
 

 
Compartilhe esse conteúdo:
 
Diogo Teixeira
Diogo Teixeira
Diogo Teixeira da Silva é Bacharel em administração formado pela Faculdades Porto Alegrense FAPA, Master Business Administration in Marketing pela Uniritter Universities e Graduando em Ciência de Dados pela Laureate International Universities. Atuou por 10 anos com Consultor de empresa e Encarregado de Patrimonial, atualmente é Executivo Regional de Negócios e Soluções da AFIXCODE. LinkedIn: /in/diogo-teixeira

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Compartilhar
Compartilhar
Twittar