Estamos na reta final para a a implantação da LGPD. As multas vão começar a ser aplicadas a partir de agosto.

O quanto a sua empresa está preparada?

Que ações ainda faltam para mitigar os riscos?

LGPD
Como dissemos no artigo Revisitando a Segurança da Informação, as estruturas das organizações se abriram para múltiplos canais, sobre os quais não é mais possível ter controle de quem acessa e com que objetivo. São clientes, funcionários, fornecedores, parceiros, prestadores de serviços e o público em geral, que procuram informações específicas. Cada pessoa precisa ser credenciada e seu direito de acesso confirmado, antes de permitir que elas cheguem às informações.
 

O checklist mínimo para a LGPD

As políticas e processos elaborados nas etapas de planejamento precisam ser implementadas de maneira objetiva e prática, garantindo que a estratégia de segurança possa ser auditada e melhorada em cada etapa.

Para isso vale revisar se:

  1. Os instrumentos de gestão de segurança estão centralizados ou se estão espalhadas por inúmeras “Ilhas”, dificultando a gestão.
  2. O quanto as estratégias estão automatizadas e imunes a eventuais erros humanos.
  3. As chaves criptográficas são adequadas em sua forma, quantidade e gestão, permitindo o controle de todo o ciclo de vida das mesmas, desde a sua criação até o seu descarte.
  4. A proteção criptográfica se estende aos ambientes virtualizados, aos ambientes de Cloud conratados, aos dados em repouso, em uso e em trânsito.
  5. Os dados sensíveis estão adicionalmente protegidos contra acessos indevidos, invasões, quebras de segurança nas cadeias de forneceres e parceiros e adequadamente anonimizados em bases de informação analíticas, geradas para as centrais de atendimento etc.
 
 

Proteger dados em múltiplos servidores, em múltiplas nuvens, utilizando múltiplas chaves de criptografia.

Este é o complexo desafio que as organizações enfrentam neste estágio em que aumentam as ameaças, ao mesmo tempo que precisam abrir suas fronteiras para interagir com um ambiente de informações cada vez mais amplos e com múltiplos participantes.

A criptografia, utilizada de forma  adequada e gerenciada de forma centralizada, passa a ser a ferramenta mais poderosa para enfrentar esses desafio.

A proteção pode evoluir gradualmente, acrescentando camadas gradativas de segurança, num processo também crescente de complexidade, mobilização de recursos e granulosidade das ferramentas.

Novas camadas de segurança em cada etapa

Seguindo o Princípio de Pareto, poderíamos dizer que 80% dos riscos poderiam ser mitigados com 20% das ações de proteção.

É necessário identificar ações rápidas e de custo relativamente baixo que podem alavancar resultados. 

Veja esta proposta de roteiro:

Pareto
  1. A sugestão é começar por implementar uma plataforma que faça o gerenciamento automático e centralizado das chaves criptográficas e certificados, que serão utilizados para as mais diversas finalidades. Concentre o legado de chaves e certificados nesta plataforma e implemente as políticas de gestão destes componentes, parametrizando os scripts de gestão necessários.
  2. Em seguida, proteja seu ambiente office. As ferramentas office pode operar utilizando chaves criptográficas para essa finalidade.
  3. Criptografe os ambientes virtualizados. Esta medida protegerás imagens das máquinas virtuais e os arquivos no seu interior contra Ramsonware, roubos de dados etc.
  4. Controle as chaves criptográficas utilizadas para criptografar os ambientes AWS, Google e Azure. Desta forma, as chaves poderão ser rotacionadas automaticamente de tempos em tempos e até mesmo destruídas em casos de ameaças severas.
  5. Criptografe as bases de dados utilizando os recursos de Transparent Data Encryption (TDE). Desta forma, os dados estarão protegidos contra acessos indevidos. Esta medida é particularmente adequada para a proteção de bases de informações de backup, logs e outros dados que devem ser mantidos por exigências legais.
  6. Os dados sensíveis podem ser protegidos com recursos de Format Preserving Encryption (FPE). Com estes recursos a informação sensível é transformada em um token, preservado o formato do campo. 
 
Este roteiro incremental permitirá a segurança do ambiente de dados, em uma escala gradativa de implantação, investimentos, treinamento e operação. Resultados concretos são conquistados em cada etapa, mitigando riscos financeiros e de imagem e evitando multas.