DLP COMO PREPARAÇÃO PARA LEI DE PROTEÇÃO DE DADOS E COMPLIANCE A GDPR

Mais do que a segurança de dados em operações críticas, a plataforma de DLP (prevenção a perda de dados) é um bom começo para mapear os riscos, escalonar os investimentos e planejar as prioridades para compliance à Lei Geral de Proteção de Dados. Os prazos são curtos diante da lista de requisitos a ser cumprida até fevereiro de 2020. Contudo, antes de contratar os produtos de criptografia, firewall e todo aparato de segurança, é necessário definir em que focar; saber exatamente por onde andam seus dados.

Sem um mapeamento preciso dos dados, os projetos de compliance incorrem em dois tipos de risco, financeiro e organizacional. Do ponto de vista econômico, decisões tomadas sob pressão, e muitas vezes de forma isolada, podem levar a custos desnecessários. Um bom planejamento minimiza os custos, inclusive pelo melhor aproveitamento dos investimentos já feitos.

Pior do que gastar criptografando várias versões do mesmo dado, ou configurando VPNs para trafegar informações pouco relevantes à operação de negócio, é o risco de implementações desordenadas trazerem novos problemas. Ou seja, antes de sair criptografando tudo, é bom pensar que os dados eventualmente terão que ser deduplicados, auditados, classificados, além de expostos e modificados conforme regras bem rígidas de transparência (referentes aos direitos do titular dos dados).

Simplificando o mapeamento e a classificação dos dados sensíveis

Localizar as informações, ou pedaços de informação, críticas era um obstáculo tradicional de qualquer projeto que requisitasse governança de dados. Hoje, os recursos de automação do DLP, ao mesmo tempo em que continuam a garantir a aplicação das políticas nos dados classificados, simplificam essa tarefa.

A proteção de informações pessoalmente identificáveis, objeto das novas legislações, não se restringe às bases de dados e vai além da própria TI. Por isso, as atuais funcionalidades de Discovery do DLP vasculham registros em sistemas legados; imagens digitalizadas (com OCR); aplicações de terceiros; end point e onde quer que possa estar o CPF de um cliente, o endereço de um funcionário ou a prescrição de um paciente.

Para acelerar a análise de riscos e impacto ao negócio a partir da visibilidade obtida com o DLP, a plataforma inclui templates de conformidade a regulações de 80 países – automaticamente localiza e aplica as políticas padrão para os dados críticos.

Ciclo de vida dos dados pessoais – fechar com firmeza e abrir com critério

A segurança da informação, e as consequentes penalidades a uso indevido ou vazamento, faz parte de uma tendência legislativa global de assegurar aos cidadãos direito ao controle de seus dados pessoais. É importante considerar esse objetivo mais amplo do Direito e das próprias boas práticas de conduta corporativa. Além do sigilo, as pessoas podem visualizar, corrigir ou excluir informações suas que as organizações tenham. (Evidentemente com as exceções, como informações de crédito.)

Para as empresas que operam com parceiros ou clientes na União Europeia, a GDPR (regulação geral de privacidade de dados, vigente desde maio deste) já impõe o risco de multas de até 4% da receita anual para casos de vazamento de dados. No Brasil, a penalidade parece mais leve, 2%, mas em qualquer caso o prejuízo operacional e à reputação pesam bem mais. Portanto, é claro que se proteger dos ataques massivos a bases de informações continua prioritário.

Contudo, também é importante destacar que a evolução dos direitos não significa recuo da economia de dados. Pelo contrário, pode ser um alavancador das organizações éticas, que usam a inteligência de dados a serviço dos legítimos interesses das pessoas. Ou seja, seus usuários vão utilizar cada vez mais os dados, até pelo aumento da confiança nos processos digitais. Portanto, ter controle e flexibilidade para definir regras granulares de acesso se mostrará fundamental após a implementação.

Por que começar pelo DLP

Para a agenda de compliance à Lei de Proteção de Dados Pessoais, pouco mais de 12 meses não é um prazo tranquilo. E não se trata de uma Instrução Normativa ou algo em que a TI tenha referências específicas. De fato, é uma questão que envolve o jurídico, os times de negócio e, é claro, o financeiro. Muita coisa depende da definição de estratégias, mas algumas respostas já podem ser antecipadas para a hora que começar a correria.

A partir da visibilidade e das facilidades de automação do DLP, as melhorias no gerenciamento dos dados, fora a segurança, já apresentam retorno, além de preparar a base de informações para os próximos desafios.

Em um material já traduzido ao português, podem-se ver as características técnicas, funcionalidades e as avaliações independentes da plataforma de DLP da Forcepoint.

Para conferir a aderência do Forcepoint DLP a sua organização e experimentar níveis exclusivos de facilidade de uso, faça um teste gratuito.

Dúvidas ou sugestões? Deixe aqui no seu comentário!