Controle de acesso será fundamental para atender regras do LGPD

Um dos pontos chave da Lei Geral de Proteção de Dados Pessoais (LGPD), que entra em vigor em 29 de dezembro de 2020, são as regras relacionadas ao registro de atividades de processamento em relação aos dados pessoais, incluindo a necessidade de controladores e operadores manterem o registro das operações de tratamento de dados (Artigo 37) e a formulação de boas práticas de governança (Artigo 50). Mas será que as empresas estão preparadas para atender às novas exigências?

Levando em consideração um estudo realizado pela Varonis no último ano, que revelou que 64% das organizações dizem não saber onde seu conteúdo sensível está localizado e quem pode acessá-lo, as empresas ainda têm um longo caminho pela frente para atenderem às novas regras.

Segundo a última edição do Varonis Data Risk Report, divulgada em 2018, 21% de todas as pastas em uma empresa são abertas a todos os funcionários, e 88% das organizações com mais de 1 milhão de pastas têm mais de 100 mil abertas para qualquer membro da equipe. Ou seja, quase não há controle e nem registros do que é realizado dentro dos arquivos de dados e por quem.

Saber onde estão localizadas as informações pessoais que precisam ser protegidas é só o primeiro passo para estar em conformidade com a LGPD. Uma vez que você sabe onde está localizado o conteúdo sensível, os maiores desafios vêm a seguir: entender quem tem acesso a essas informações, quem está usando, quem é o dono, se foram violados, se podem ser excluídos, se oferecem riscos e quem vai ser afetado com uma eventual mudança em seu conteúdo.

O LGPD, mesmo sendo algo relativamente novo – especialmente para as empresas que não foram afetadas pelo GDPR, a lei europeia de proteção de dados –, reafirma uma boa prática já bastante conhecida dos especialistas de segurança, mas frequentemente esquecida pelos líderes de negócio: quanto mais sensíveis são as informações, menos pessoas devem ter acesso a esses dados.

Isso reforça a necessidade de contar com as ferramentas adequadas para controle de acesso às informações e, principalmente, para realização de análises de segurança das informações de forma rápida e fácil, focando nos dados de arquivos específicos ou até nas atividades de um indivíduo ou grupo de indivíduos em relação às informações que acessam.

Assim, as empresas vão poder definir amplamente tendências nas atividades de acesso da empresa, incluindo a presença de dados obsoletos sensíveis que estão gerando riscos desnecessários ao negócio. Segundo informações do último Varonis Data Report, 76% de todas as pastas contêm dados obsoletos, um problema que, inclusive, também é previsto pelo LGPD, uma vez que a lei deixa claro que as empresas só podem manter informações enquanto forem necessárias e, caso não atendam a esse requisito, devem eliminá-las permanentemente.

Ou seja, contar com as ferramentas adequadas para controle de acesso e análise de segurança das informações para a LGPD, além de facilitar a geração de relatórios para dar aos auditores o poder de determinar se as políticas de segurança apropriadas estão em aplicação, vai melhorar a estratégia de segurança de dados como um todo, reduzindo os riscos para o negócio.

Diante deste cenário, buscar soluções equipadas com tecnologias de análise do comportamento do usuário, como o User Behaviour Analytics (UBA), vai ser o foco para estar em conformidade com o LGPD. Como detectam atividades em tempo real, mostrando exatamente onde um problema está acontecendo, essas tecnologias permitem identificar com precisão quais dados e quais clientes vão ser afetados, aumentando a velocidade de resposta.

*Carlos Rodrigues é vice-presidente da Varonis para América Latina