Tempo de leitura: 4 minutos
Na 21ª edição da Talk Introduce Segurança da Informação com ênfase na LGPD nosso CEO Esdras Moreira explora os temas com o consultor de tecnologia e professor Fernando Weege:
➡ Os pilares da Segurança da Informação, Política da Segurança da Informação
➡ A norma ISO/IEC 27001/2013
➡ A Lei Geral de Proteção de Dados Pessoais – a LGPD
➡ Os 10 princípios da LGPD e como iniciar a Implementação
Confira!
Acompanhe também a Talk Introduce #20 sobre Cibersegurança com a Sophos
Conecte-se com a gente e acompanhe as próximas edições da Talk Introduce
Principais Insights
Pilares da segurança da informação: Integridade, confiabilidade e disponibilidade
“Existem diversos caminhos para que a segurança exista. ” – Esdras Moreira
“A grande máxima da segurança é: é preciso fechar tudo para depois abrir. […] é preciso restringir para depois fazer liberações.” – Fernando Weege
“A Norma ISO/IEC 27001/2013 é um guia de melhores práticas em Segurança da Informação que explica O QUE deve ser feito e não COMO deve ser feito.” – Fernando Weege
“Temos que ter ciência que é importante chegar em um meio termo entre a proteção e o engessamento da empresa. […] É preciso enxergar de que maneiras é possível proteger e manter a empresa operando.” – Fernando Weege
“O usuário de um computador é que está logado para o sistema. […] Se alguém acessar o sistema com o meu usuário, sou ‘eu’ que estou acessando, eu sou responsável por isso.” – Fernando Weege
“Toda a senha é pessoal e intransferível.” – Fernando Weege
“Existem dois ativos principais que norteiam a organização: as informações e as pessoas.” – Fernando Weege
A Segurança Física
Contempla qualquer controle que interrompa ou minimize o acesso físico a ambientes controlados.
- Porta
- Parede
- Cadeado
- Cofre
- Porta giratória (bancos)
A Segurança Lógica
Contempla controles lógicos que limitam o acesso a ambientes informatizados.
- Permissionamentos de rede
- Permissionamentos de sistemas
- Firewall
- Proxy
- Antivírus
- Senha
Setores afetados pela PSI (Política de Segurança da Informação)
- Tecnologia da Informação
- Jurídico (Compliance)
- Áreas de Negócio
Lei Geral de Proteção de Dados Pessoais (LGPD)
- A princípio entra em vigor em Agosto de 2021
- Trata exclusivamente dos titulares de dados pessoais
- Explica O QUE deve ser feito e não COMO deve ser feito.
Os 10 Princípios da LGPD
1. Finalidade
O tratamento de dados deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem a possibilidade de tratamento posterior de forma incompatível com as finalidades.
2. Adequação
O tratamento de dados deve ser compatível com as finalidades informadas ao titular dos dados e de acordo com o contexto do tratamento.
3. Necessidade
O tratamento de dados deve ser limitado ao mínimo necessário para a realização das suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento dos dados.
4. Livre Acesso
Deve ser garantido aos titulares dos dados a consulta facilitada e gratuita sobre a forma e a duração do tratamento de dados, bem como sobre a integralidade de seus dados pessoais.
5. Qualidade dos dados
Deve ser garantido aos titulares dos dados a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade do seu tratamento.
6. Transparência
Deve ser garantido aos titulares dos dados informações claras, precisas, e facilmente acessíveis sobre a realização do tratamento e dos respectivos agentes de tratamento, observados os segredos comercial e industrial.
7. Segurança
Devem ser utilizadas medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
8. Prevenção Devem ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
9. Não discriminação Deve ser impossibilitada a realização de tratamento de dados para fins discriminatórios, ilícitos ou abusivos.
10. Responsabilização e Prestação de Contas Devem ser adotadas medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive da eficácia dessas medidas.
Como iniciar a Implementação
- Mapear o fluxo de dados pessoais
- Dados Estruturados e Dados Não Estruturados
- Criar o Relatório de Impacto (DPIA)
- Criar/Atualizar a Política de Segurança da Informação
- Implementar o Portal LGPD
Link permanente